IIS und ASP.NET Header verstecken

Nicht jeder möchte, dass jeder sehen kann, was für ein Webserver für die eigene Homepage verwendet wird. Dies sind bzw. können schließlich auch sicherheitsrelevante Informationen darstellen.

Der IIS sowie ASP.NET verschicken aber standardmäßig ihre Versionssignaturen über die HTTP-Header an den Client.

IIS Header Bloat

Die ungeliebten Header sind hierbei

  • Server Microsoft/IIS8.0
  • X-AspNetMvc-Version 5.5.2
  • X-AspNet-Version 4.0.30319
  • X-Powered-By: ASP.NET

Um diese künftig nicht mehr zu verwenden reichen zwei Einträge in der Web-Config:

<configuration>
  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Powered-By" />
        <remove name="Server" />

Das deaktiviert die Header des IIS, also Server sowie X-Powered-By

Zusätzlich brauchen wir noch

 <system.web>
    <httpRuntime enableVersionHeader="false"/>

um X-AspNet-Version aus dem Header zu bekommen.

Für ASP.NET sieht das nicht ganz so einfach aus; hier müssen wir leider den Code anfassen.

Dazu müssen wir folgenden Code in die Global.asax.cs einfügen:

public class MvcApplication : System.Web.HttpApplication
{
    protected void Application_Start()
    {
        MvcHandler.DisableMvcResponseHeader = true;

Dies entfernt den Header X-AspNetMvc-Version.

Der Webserver verschickt nun keine weiteren Header-Informationen, die ihn bzw. dessen Version entlarven könnte.

Security through Obscurity

Auch wenn dieses Vorgehen nur eine Taktik der Verschleierung darstellt sorgt es gleichermaßen für eine Erhöhung der Sicherheit. Es gibt durchaus Bots, die gezielt auf Webserver-Produkte und -Versionen ausgerichtet sind. Nimmt man diesen die Grundinformation erhöht das die Wahrscheinlichkeit, dass eine Unregelmäßigkeit in den Anfragen frühzeitig erkannt wird.