Hi,

Manchmal sendet der Header ja z.B. 'X-Powered-By PHP/5.2.4'. Weiß jemand ob das immer so ist?

Nein, dem ist nicht so.

Der Header wird standardmäßig beim Aufruf von PHP-Seiten gesendet (die müssen ja ansonsten nicht als PHP-Seiten erkennbar sein - z.B. mit .html-Endung). Üblicherweise bleibt es auch bei dieser Standardkonfiguration.

Bei "meinen" Servern wird dieser Header aber z.B. entweder gar nicht gesendet, oder, wo dies nicht machbar war (auf Servern bei anderen Providern), mit einem anderen Wert gesendet, der nichts mit PHP zu tun hat.

Generell ist es IMHO empfehlenswert, solch "sensible" Informationen wie Versionsnummern *nicht* zu veröffentlichen. Man muß einem potentiellen Angreifer ja nicht unbedingt auf die Nase binden, welchen (vielleicht sogar noch nicht patchbaren) Exploit er für ein System versuchen muß (das freut einen z.B. immer, wenn Blogbesitzer immer frank und frei verkünden, was man konkret braucht, um ihr Wordpress-System zu hacken >;->).

Das ist zwar nicht das entscheidende Kriterium für die Sicherheit, aber man muß es bösen Buben ja nicht auch noch leichter machen ...

Gruß, Cybaer