<div dir="ltr"><div>Sorry, I forgot to add the mailing list to the recipients</div><div><br></div><div>Best,</div><div>Thodoris<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Oct 18, 2023 at 11:17 PM Aleksandar Lazic <<a href="mailto:al-nginx@none.at">al-nginx@none.at</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Teo.<br>
<br>
On 2023-10-18 (Mi.) 21:18, Teo Tyrov wrote:<br>
> Hello Alex,<br>
> <br>
> This directive removes only the version, so it is still disclosed that <br>
> the nginx server is used. I would be asked to remove the entire header <br>
> in my previous company, which as far as I know, is not possible without <br>
> external modules.<br>
<br>
got it.<br>
<br>
> On Wed, Oct 18, 2023 at 10:05 PM Aleksandar Lazic <<a href="mailto:al-nginx@none.at" target="_blank">al-nginx@none.at</a> <br>
> <mailto:<a href="mailto:al-nginx@none.at" target="_blank">al-nginx@none.at</a>>> wrote:<br>
> <br>
>     Hi Teo.<br>
> <br>
>     On 2023-10-18 (Mi.) 20:38, Teo Tyrov wrote:<br>
>      > # HG changeset patch<br>
>      > # User Theodoros Tyrovouzis <<a href="mailto:teotyrov@gmail.com" target="_blank">teotyrov@gmail.com</a><br>
>     <mailto:<a href="mailto:teotyrov@gmail.com" target="_blank">teotyrov@gmail.com</a>> <mailto:<a href="mailto:teotyrov@gmail.com" target="_blank">teotyrov@gmail.com</a><br>
>     <mailto:<a href="mailto:teotyrov@gmail.com" target="_blank">teotyrov@gmail.com</a>>>><br>
>      > # Date 1697653906 -10800<br>
>      > #      Wed Oct 18 21:31:46 2023 +0300<br>
>      > # Node ID 112e223511c087fac000065c7eb99dd88e66b174<br>
>      > # Parent  cdda286c0f1b4b10f30d4eb6a63fefb9b8708ecc<br>
>      > Add "server_identification" http option that hides server<br>
>     information<br>
>      > disclosure in responses<br>
>      ><br>
>      > In its responses, nginx by default sends a "Server" header which<br>
>      > contains "nginx" and the nginx version. Most production systems<br>
>     would<br>
>      > want this information hidden, as it is technical information<br>
>     disclosure<br>
>      > (<a href="https://portswigger.net/web-security/information-disclosure" rel="noreferrer" target="_blank">https://portswigger.net/web-security/information-disclosure</a><br>
>     <<a href="https://portswigger.net/web-security/information-disclosure" rel="noreferrer" target="_blank">https://portswigger.net/web-security/information-disclosure</a>>). nginx<br>
>      > does provide the option "server_tokens off;" which hides the<br>
>     version,<br>
>      > but in order to get rid of the header, nginx needs to be compiled<br>
>     with<br>
>      > the headers_more module, for the option "more_clear_headers".<br>
>     This patch<br>
>      > provides an http option for hiding that information, which also<br>
>     hides<br>
>      > the server information from the default error responses.<br>
>      ><br>
>      > An alternative would be to add a new option to server_tokens, e.g.<br>
>      > "incognito".<br>
> <br>
>     What's wrong with this directive?<br>
>     <a href="http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens" rel="noreferrer" target="_blank">http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens</a> <<a href="http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens" rel="noreferrer" target="_blank">http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens</a>><br>
> <br>
>     [snipp]<br>
> <br>
>     Regards<br>
>     Alex<br>
> <br>
<br>
</blockquote></div>