Discussion :

[tartife]

Bonjour à tous,

Je ne sais pas si je poste au bon endroit, merci d'avance au Modos de déplacer mon message

Je ne suis pas réellement bloquée techniquement, mais à la recherche d'une info.

Je me trouve face à une question de cours qui me laisse perplexe : "Y a t-il un intérêt pour le server Web de ne pas envoyer le field Server dans le header de réponse HTTP?"

J'ai déjà consulté énormément de docs, et la seule info intéressante trouvée, est que ce champ retourne la version du Serveur Web au client. Mais en quoi un client a -t- il besoin de cette info?

Merci d'avance.

[_Mac_]

Dans l'absolu, ça ne sert à rien à ma connaissance, sauf si tu veux éventuellement essayer d'exploiter des failles de sécurité de ce serveur : vu qu'il te dit qui il est a priori (a priori car un en-tête Server, ça se forge un peu comme on veut), tu doit pouvoir aller consulter une base de bugs ou d'exploits connus sur ce serveur.

[tartife]

exploiter des failles de sécurité de ce serveur

J'ai poursuivit mes recherches, et j'aboutis à la même conclusion que toi. Sur la RFC2616, il est d'ailleurs indiqué :

La révélation du nom et de la version du logiciel serveur peut présenter le risque de permettre des attaques extérieures contre telle ou telle application dont les "portes dérobées" sont connues. Les développeurs de serveurs auront tout intérêt à laisser l'émission de cette information optionnelle.

Dans ce cas, si ce header a été retenu à la normalisation, quel était son but initial?
Y a t-il des gens qui l'utilise actuellement? Pourquoi?

[_Mac_]

Dans ce cas, si ce header a été retenu à la normalisation, quel était son but initial?

Aucune idée. Faut demander à Tim Berners Lee ce qu'il lui est passé par la tête à ce moment-là. J'imagine que tout comme le client se présente avec l'en-tête User-Agent, il s'est dit que le serveur devrait logiquement en faire autant.

Y a t-il des gens qui l'utilise actuellement? Pourquoi?

Je ne sais pas du tout.