Le Blog Utux

HTTP 200 GET /

How to remove server_tokens in Azure Application Gateway

Rédigé par uTux Aucun commentaire

In Azure, the Application Gateway is basically a reverse proxy, passing traffic to some backends. While testing the SSL certificate of a listener with ssllabs, I have been surprised by the "HTTP server signature" field: Nexus/2.14.10-01. Indeed, the backend was a Nexus service, but I was expecting to see the server signature of the Application Gateway (which is Nginx), or nothing, but not the backend.

Turns out the HTTP response contains the following header:

< HTTP/1.1 200 OK
< Server: Nexus/2.14.10-01
[...]

Many sysadmins and organizations consider this as a security issue, giving attackers information about the server. While I do not totally agree with this statement (Obfuscation), I often disable this information. This is simple with Nginx and Apache, but what about Azure Application Gateway?

Application Gateway -> Your application gateway -> Rewrites -> + Rewrite set

Name and Association
  • Name: give a name to your rewrite set. Ie: DisableServerTokens.
  • Associated routing rules: Select the rule associated to your backend(s)
Rewrite rule configuration
  • Rewrite rule name: give a name to your rewrite rule name. Ie: DisableServerHeader.
  • Action type: Delete
  • Header type: Response
  • Header name: Common header
  • Common header: Server

Then Save your modifications. This should remove the "Server" HTTP header.

La gratuité du web

Rédigé par uTux 7 commentaires

Je suis un vieux, je ne suis pas inscrit sur facebook et j'utilise encore les flux RSS pour suivre mes sites favoris. Un agrégateur de flux RSS permet, comme son nom l'indique, de vérifier l'existence de nouveaux éléments et les notifier a l'utilisateur. L'effet intéressant c'est que cela permet de mesurer la masse d'information que l'on reçoit. Par exemple certains utilisateurs ont tellement de flux qu'ils sont notifiés de plusieurs milliers d'éléments par semaine, ça fait beaucoup.

En ce qui me concerne je suis abonné à plusieurs sources. Longtemps "suiveur" de Phoronix j'ai fini par laisser tomber pour deux raisons :

  1. Ce site inonde mon agrégateur de flux RSS, parfois plusieurs dizaines d'articles par jour.
  2. Le manque de pertinence de l'information proposée. Pour illustrer mon propos voici un article exemple : Sarah Sharp Steps Down As Linux Kernel Developer. Reprise d'une mailing list, aucune analyse, aucune critique, juste les polémiques inutiles en commentaires.

Pourquoi une telle dégradation de la qualité de l'information ? Selon moi c'est simplement pour survivre.

L'économie gratuite du web est en crise car le modèle de financement par la publicité est à bout. A la télévision ou à la radio on peut zapper mais ce n'est pas mesurable, entendez par là que les annonceurs ne savent pas combien de personnes ont effectivement écouté la publicité. Par contre sur le web, avec les bloqueurs de publicité c'est possible, les annonceurs savent combien de fois la publicité a été vue. Cela leur permet de rémunérer plus ou moins le site qui les affiche, et c'est ça le problème car plus il y a d'utilisateurs d'AdBlock/uBlock, moins il y a d'argent. C'est donc le prétexte rêvé pour accuser les internautes de tuer les sites qu'ils visitent en bloquant la publicité.

La culture du financement par la pub, fléau du XXIe siècle et solution par défaut à tous les problèmes me tape sur le système. Un web sans bloqueur de publicités est simplement inenvisageable pour moi. Tuxicoman a mesuré le nombre de requêtes HTTP, le volume et le temps de chargement des pages sur des sites connus avec et sans bloqueur de publicité, son constat est le suivant : ~90% du temps d’affichage des articles de ces sites est dépensé par l’utilisateur pour quelque chose dont il se fout : la publicité et l’espionnage de son comportement.
La solution ne passe donc pas par la culpabilisation ou le rejet des utilisateurs d'AdBlock/uBlock mais par un changement sérieux de politique de la part des annonceurs, ou de modèle économique pour les acteurs du web.

Beaucoup de sites d'information proposent déjà des abonnements payants aux visiteurs, leur permettant ainsi de ne pas avoir de publicité. Phoronix en fait partie et pour convaincre les visiteurs de débourser de l'argent, il faut se démarquer. Pour cela soit il faut faire de l'information de qualité, soit mitrailler à longueur de journée des contenus courts. C'est visiblement la seconde option qui a été choisie et c'est regrettable. A l'inverse, Nextinpact mise sur l'information de qualité. En effet les articles sont plus long et surtout l'information est analysée et critiquée. Le journaliste Marc Rees par exemple lit les textes de loi pour nous en expliquer le principe et grâce à lui nous avons suivi l'arrivée de la Loi sur le renseignement, avec une analyse plus pertinente que beaucoup de media qui se contentaient de dire "cette loi va régulariser ce qui se faisait avant, c'est pour votre sécurité, faites pas chier, vous n'allez pas en mourir, lol". Coluche disait : Les journalistes ne croient pas les mensonges des hommes politiques, mais ils les répètent, c'est pire !. NextInpact fait exception et c'est pourquoi je me suis abonné (payant).

D'autres sites suivent la voie du rachat et de la centralisation. Jeuxvideo.com par exemple s'est fait racheter par Webedia, grand annonceur de contenus publicitaires. Cette dépendance est risquée car quid de la liberté de publication des journalistes quand celui qui donne le chèque a tout intérêt à placer un maximum de publicité et de contenus sponsorisés. Le journaliste est-il libre de dire que le gros jeu du moment est une bouse sachant que le site sur lequel il publie diffuse de la publicité pour ce même jeu ? Non. Real Myop, co-auteur d'une émission vidéo à succès (Speed Game) diffusée sur jeuxvideo.com, dénonce la dégradation de l'ambiance et des conditions de travail depuis leur rachat par Webedia ayant même poussé plusieurs chroniqueurs à la démission : article à lire ici. De plus, que se passera-t-il si la majorité des sites d'information finissent dans les mains d'un seul groupe et que ce dernier décide d'imposer un abonnement payant aux visiteurs ?

En conclusion, on constate que la roue tourne. En effet les sites gratuits d'information qui ont tué les journaux papier sont à leur tour en train de mourir et cherchent comment être rentables ou simplement comment survivre. La croissance explosive du web a atteint son maximum, et tout comme la crise des jeux vidéo de 1983, beaucoup d'éditeurs disparaîtront, ceux qui survivront changeront de modèle économique ou le conserveront et auront le monopole.

Fil RSS des articles de ce mot clé