header
x-forwarded-for
httpd.conf:
...
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" proxy
SetEnvIf X-Forwarded-For "^.*\..*\..*\..*" forwarded
LogFormat "%h %l %u %t \"%r\" %>s %b" common
...
CustomLog "logs/access_log" combined env=!forwarded
CustomLog "logs/access_log" proxy env=forwarded
CAA records
Wie schaut ein CAA Record aus in bind:
xn--hllrigl-90a.at. CAA 1 issue "letsencrypt.org"
Erstellen lassen sich die CAA Records unter sslmate.com/caa. So bekommt man auch eine Auflistung aktueller Kürzel der CAs.
CAA Record mit dig überprüfen:
$ dig CAA höllrigl.at ... ;; QUESTION SECTION: ;höllrigl.at. IN CAA ;; ANSWER SECTION: höllrigl.at. 300 IN CAA 0 iodef "mailto:hostmaster@xn--hllrigl-90a.at" höllrigl.at. 300 IN CAA 0 issue "letsencrypt.org" ...
Wenn dig den CAA Type noch nicht versteht:
$ dig höllrigl.at type257 ... ;; QUESTION SECTION: ;höllrigl.at. IN TYPE257 ;; ANSWER SECTION: höllrigl.at. 300 IN TYPE257 \# 22 000569737375656C657473656E63727970742E6F7267 höllrigl.at. 300 IN TYPE257 \# 43 0005696F6465666D61696C746F3A686F73746D617374657240786E2D 2D686C6C7269676C2D3930612E6174
MS IIS Server Header
Im IIS den Server Header zu deaktivieren ist nicht leicht. Es finden sich jede Menge Anleitungen dazu – aber nichts funktioniert.
Im Apache verändert man diesen Header über eine Zeile in einem Textfile (ServerTokens Prod). Eigentlich erwarte ich da, dass Microsoft für den IIS ein Häkchen oder ein Dropdown im GUI anbietet, mit dem man das ändern kann. Gibt es das nicht, würde ich einen Wert in der Registry erwarten – den gibt es aber auch nicht wirklich.
Eine einfache Möglichkeit bietet EASILY REMOVE UNWANTED HTTP HEADERS IN IIS 7.0 TO 8.5. Einfach das .msi Paket herunterladen, installieren, fertig.
Das ist natürlich gleichzeitig der Nachteil – man muss dazu ein MSI Paket installieren.
Das Paket ist laut Virustotal sauber. Ob jemand das auf einem produktiven Server installieren will, muss aber jeder für sich selbst entscheiden.
Link des Tages
Für eine schnelle Überprüfung, ob eventuell sicherheitsrelevante HTTP Header gesetzt sind: securityheaders.io
HTTP Header
Beim Testen von Webservern oder PHP-Scripts die die HTTP-Header auswerten sollen, hab ich bisher noch keine zufriedenstellende Lösung gefunden.
– Ein erster Ansatz war es Telnet zu verwenden, was sich als äusserst Mühsam herausstellt.
– Bald darauf landet man bei der Firefox Extension "Tamper Data" mit der sich die Header-Daten Manipulieren lassen. Da aber für jeden Request wieder angefragt wird, ob überhaupt Daten geändert werden sollen, und bei jedem Request wieder vergessen wird
– Noch eine Möglichkeit sind Curl-Aufrufe. Diese bieten sich für Scripte und automatische Verarbeitung an – sind aber ansonsten genau so mühsam.
– Eine geniale Lösung ohne Plugins stellt Opera mit Opera Dragonfly zur Verfügung:
Starten von Dragonfly 
Auswählen von Netzwerk -> "Anfrage Starten" 
Voll automatisch lassen sich Requests wiederholen. Alle Header lassen sich überschreiben. Und der Browser merkt sich, was als letztes Aufgerufen wurde. Eigentlich alles was man sich wünscht, nachdem man bisher mit den anderen Lösungen gelebt hat.