Verräterische HTTP-Header
19.09.2022, 00:00 Uhr
Wider den Exhibitionismus
ASP.NET (Core) verwenden, ohne zu verraten, dass man es nutzt? Dazu müssen einige HTTP-Header verschwinden.
Mittelmäßiger Witz gefällig? Aber gerne doch: Vier Männer gehen in eine Bar. Woran erkennt man den Pudding-Vegetarier? Er erzählt es ungefragt. Wer sich nun angegriffen fühlt, setze einfach „Lastenradfahrer“ oder „Balkonkraftwerkbesitzer“ ein, funktioniert genauso. Während diese Form der unnötigen Selbstauskunft in sozialen Situationen maximal Augenrollen oder betretenes Schweigen als Konsequenz hat, sieht das bei Webanwendungen anders aus. Verrät eine Site allzu offensichtlich Informationen darüber, welche Systeme und Software im Einsatz sind, womöglich noch inklusive Versionsnummern, freut das Angreifer aller Art.
Angenommen, es existiert eine bekannte Sicherheitslücke in bestimmten Versionen der IIS oder von ASP.NET Core. Tatsächlich gibt es hierfür öffentliche Auflistungen, etwa bei der amerikanischen Forschungseinrichtung beziehungsweise Militärorganisation MITRE, die „Common Vulnerabilities and Exposures“, kurz CVEs, unter [2] veröffentlicht. Und in der Tat gibt es dort Einträge sowohl für Microsofts Webserver [3] als auch für das Web-Framework ASP.NET Core [4]. Die gute Nachricht: Alles bereits behoben, nur ältere Versionen sind betroffen. Die schlechte Nachricht: Wie die Lebenserfahrung zeigt, wird nicht immer alles und zeitnah aktualisiert.
Jetzt 1 Monat kostenlos testen!
Sie wollen zukünftig auch von den Vorteilen eines plus-Abos profitieren? Werden Sie jetzt dotnetpro-plus-Kunde.
- + Digitales Kundenkonto,
- + Zugriff auf das digitale Heft,
- + Zugang zum digitalen Heftarchiv,
- + Auf Wunsch: Weekly Newsletter,
- + Sämtliche Codebeispiele im digitalen Heftarchiv verfügbar