Fingerprints sollten vermieden werden. Nachfolgend einige Möglichkeiten:
Apache
ServerTokens Prod ServerSignature Off
Sensible Daten per HTTP
/** * @return string */ private function getConfigCryptoKey16() { return (string)basic\utility\config::get('brandbox', 'cryptoKey16'); } /** * @param string $encrypted * @return mixed */ private function decrypt($encrypted = '') { $decrypted = ''; if($encrypted != ''): $cryptoKey16 = $this->getConfigCryptoKey16(); $decrypted = openssl_decrypt($encrypted, 'aes-256-cbc', $cryptoKey16, 0, $cryptoKey16); endif; return $decrypted; } /** * @param $decrypted * @return mixed */ private function encrypt($decrypted) { $cryptoKey16 = $this->getConfigCryptoKey16(); return openssl_encrypt($decrypted, 'aes-256-cbc', $cryptoKey16, 0, $cryptoKey16); }
Fingerprinting von Assets
Es ist nicht möglich, Assets nicht zu fingerprinten. Wird bspw. eine Datei jquery.js ausgeliefert, liefern bereits die Meta-Daten Informationen über die eingesetzte Version. Im Fall von Assets ist es notwendig, regelmäßige Security-Fixes bereitzustellen.