¿Por qué la mayoría de los servidores no usan el encabezado del Servidor HTTP, pero la mayoría de los navegadores usan el agente del Usuario? [cerrado]

Navega tus respuestas
2

He leído que el encabezado del servidor divulgaría información y que su uso sería malo. Los argumentos hechos en esa pregunta también se aplican al encabezado del agente de usuario. Entonces, ¿por qué se sigue utilizando y no es un "dummy", como el que Google usa para el campo del encabezado del servidor?

Según tengo entendido, el agente de usuario fue útil en los días en que los navegadores aún tenían muchos errores y generaban resultados muy diferentes. Hasta cierto punto, esto también es cierto hoy, pero ciertamente ha disminuido. ¿No hay otro método para saber si un navegador dice "Soy móvil" que el agente de usuario? Además, los agentes de usuario son un desastre. Los proveedores de navegadores intentaron engañar a los estupidos scripts de reconocimiento del agente de usuario, debido a que el agente de usuario de Chrome se lee como una lista de navegadores relevantes y motores de representación.

Entonces, ¿por qué no están abandonados?

    
pregunta user10008 30.07.2014 - 23:16
fuente

1 respuesta

6

Las cadenas de agente de usuario proporcionan información útil a las compañías que ejecutan servidores web. Si están considerando la introducción de características del sitio web o el contenido, querrán saber si la mayoría de su base de usuarios tiene navegadores compatibles con esa tecnología. Pueden ver las cadenas de usuario-agente registradas en el último mes o dos y tener una idea de qué navegadores están en uso. También puede proporcionarles información útil, como si el usuario se está conectando a través de un dispositivo móvil en lugar de una PC, que se puede usar para personalizar la experiencia del usuario.

A la inversa, no conozco ningún propósito para los servidores web que revelen su producto o versión que no sea para ayudar a terceros (por ejemplo, Netcraft ) que recopilan y resumen dicha información. El usuario nunca ve el tipo de servidor y el navegador no actúa de manera diferente según el banner del servidor (que he visto).

Dado que los servidores web de Internet siempre están funcionando y son de acceso público, los atacantes pueden escanearlos con bastante facilidad en busca de signos de vulnerabilidad. Un sitio no debería depender solo de la ofuscación de qué servidor web y la versión que están usando para la seguridad, sino que puede ayudar a que sean un objetivo menos probable. Como realmente no molesta nada desactivar el banner del servidor, es un cambio más fácil de introducir.

Si bien el usuario corre el riesgo de revelar que está usando un navegador específico que puede ser vulnerable a ataques específicos, un atacante no puede escanear Internet en busca de navegadores vulnerables. Un usuario tendría que enviar una solicitud específicamente a un servidor controlado por un atacante para que recopile esta información. Por lo tanto, puede haber menos riesgo asociado con la divulgación de esta información sobre un navegador.

Estoy seguro de que el agente de usuario podría abandonarse en favor de una 'cadena de características' o algún otro mecanismo para comunicar información sobre qué es el navegador y qué puede manejar a los servidores web. Pero también es probable que los atacantes tomen las huellas dactilares y puedan adivinar el posible navegador según la lista de características provista.

    
respondido por el PwdRsch 30.07.2014 - 23:54
fuente

Lea otras preguntas en las etiquetas

¿Cómo implementar la funcionalidad de restablecimiento de contraseña sin ser susceptible a la fuga del referer entre dominios? ¿Por qué se hash de un CSR?