Caucho-Status auf Produktiv-Systemen deaktivieren

Mischa Sameli, Senior Webapplication-Entwickler

Zu viele Informationen Preis geben ist kein guter Rat, wenn es um Webserver-Konfigurationen geht. Und so offenbart Caucho’s Resin Application Server in Kombination mit Railo und Apache entschieden zu viele Information – die sich aber unterdrücken lassen.

Der Resin-Server bietet generell die Möglichkeit, eine Status-Übersicht über eingetragene Web-Hosts abzurufen. Ist diese Option aktiviert, gelangt man über eine Url an die durchaus sensitiven Daten: www.meineurl.com/caucho-status

Angezeigt erhält man zum Beispiel folgende Auflistung:

Die Ausgabe der Status-Informationen lässt sich natürlich unterdrücken. Und zwar über den Konfigurationsparameter CauchoStatus. Je nachdem wie das Caucho-Modul in Apache oder IIS eingebunden wird, kann die Ausgabe der Informationen mit den Werten yes oder no gesteuert werden.

Beispiel 1: Apache httpd.conf global

1LoadModule caucho_module /usr/lib/httpd/modules/mod_caucho.so
2ResinConfigServer localhost 6800
3CauchoConfigCacheDirectory /tmp
4CauchoStatus yes|no

Beispiel 2: Apache httpd.conf VirtualHost-Definition

1<VirtualHost dev-backslash>
2 ServerName dev-backslash
3 ServerAdmin m.sameli@backslash.ch
4 DocumentRoot "/wwwroot/dev-backslash"
5 <Directory "/wwwroot/dev-backslash">
6 ResinConfigServer localhost 6800
7 CauchoConfigCacheDirectory /tmp
8 CauchoStatus yes|no
9 </Directory>
10</VirtualHost>

Die Herstellerin des Resin Application Server, die Caucho Technology, Inc., empfiehlt in der Dokumentation klar, dass der CauchoStatus auf Live-Systemen deaktiviert werden sollte.