<div dir="ltr">I'm +1 on cleaning that up as well. I wouldn't think someone would base client behavior on a comment in an error message - too brittle.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jan 25, 2023 at 9:55 AM Nash, Edward <<a href="mailto:E.Nash@dvz-mv.de">E.Nash@dvz-mv.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I'd be +1 on sending as little information about the server as possible (aka "secure") by default.<br>
<br>
Whatever the technical merits, this one always comes up on security checklists, and anything that makes it harder to forget to set everything up correctly is fine by me - assuming the documentation of how to get the version details for debugging is clear and easy to find (as an FAQ, or maybe in a new "Troubleshooting" section in the docs?).<br>
<br>
Best regards,<br>
<br>
Ed<br>
<br>
-----Ursprüngliche Nachricht-----<br>
Von: MapServer-dev <<a href="mailto:mapserver-dev-bounces@lists.osgeo.org" target="_blank">mapserver-dev-bounces@lists.osgeo.org</a>> Im Auftrag von Seth G<br>
Gesendet: Mittwoch, 25. Januar 2023 16:13<br>
An: MapServer Devs <<a href="mailto:mapserver-dev@lists.osgeo.org" target="_blank">mapserver-dev@lists.osgeo.org</a>><br>
Betreff: [MapServer-dev] MapServer version information in error messages<br>
<br>
Hi all,<br>
<br>
Does anyone have any thoughts about removing MapServer version information from any errors/responses sent to client applications?<br>
<br>
A few relevant online discussions [1] [2]. As MapServer falls more in the generic server category I'd be +1 on removing the details from responses (and leaving them in the client applications). <br>
<br>
See <a href="https://github.com/MapServer/MapServer/pull/6794" rel="noreferrer" target="_blank">https://github.com/MapServer/MapServer/pull/6794</a> for some more details. I added in Proj and GDAL versions which are handy for admins/debugging, but provide more information to a malevolent party looking to attack a MapServer instance. <br>
<br>
Seth<br>
<br>
[1] <a href="https://softwareengineering.stackexchange.com/questions/345072/is-my-app-version-a-sensitive-information" rel="noreferrer" target="_blank">https://softwareengineering.stackexchange.com/questions/345072/is-my-app-version-a-sensitive-information</a><br>
[2] <a href="https://security.stackexchange.com/questions/170352/is-it-safe-to-display-version-information-on-a-public-webpage-of-your-web-app" rel="noreferrer" target="_blank">https://security.stackexchange.com/questions/170352/is-it-safe-to-display-version-information-on-a-public-webpage-of-your-web-app</a><br>
<br>
--<br>
web:<a href="https://geographika.net" rel="noreferrer" target="_blank">https://geographika.net</a><br>
twitter: @geographika<br>
_______________________________________________<br>
MapServer-dev mailing list<br>
<a href="mailto:MapServer-dev@lists.osgeo.org" target="_blank">MapServer-dev@lists.osgeo.org</a><br>
<a href="https://lists.osgeo.org/mailman/listinfo/mapserver-dev" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailman/listinfo/mapserver-dev</a><br>
_______________________________________________<br>
MapServer-dev mailing list<br>
<a href="mailto:MapServer-dev@lists.osgeo.org" target="_blank">MapServer-dev@lists.osgeo.org</a><br>
<a href="https://lists.osgeo.org/mailman/listinfo/mapserver-dev" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailman/listinfo/mapserver-dev</a><br>
</blockquote></div>