Zwischenablageverlauf von Windows aktivieren

Der neue Windows Zwischenablageverlauf kann jetzt bis zu 25 Einträge aufnehmen und zeigt dann Text und Bilder nach Aufruf der Tastenkombination Win+V übereinander in einer Historie.

Ab Funktionsupdate Oktober 2020 kommt Windows 10 wie angekündigt mit neuen Funktionen der Zwischenablage. Der von der Windows User Community lange erwartete Zwischenablage-Verlauf, ermöglicht nun mehrere Textelemente, Bilder oder auch Dateien in der Zwischenablage zu speichern.

Die neuesten Einräge werden dabei immer an den Anfang gesetzt, diese zuvor mit Ctrl+C kopiert wurden. Mit einem Klick auf einen Eintrag wird dieser ab der Cursor-Position eingefügt, zum Beispiel in Notepad oder in ein Word Dokument. Ein Klick auf die drei Punkte rechts bei einem Eintrag zeigt ein Popup Fenster mit der Auswahl den Eintrag zu löschen, alles löschen oder auf Startseite, mehr dazu im nächsten Absatz. Mit Ctrl+V wird nach wie vor der letzte Eintrag aus der Zwischenablage eingefügt.

Abbildung: Windows Zwischenablageverlauf

Praktisch ist die Fixieren (P) Funktion Auf Startseite, die es mit Klick auf die drei Pin-Icons rechts neben dem Eintrag gibt. Damit bleiben die Einträge in der Zwischenablage, auch bei einem Windows-Neustart oder wenn der Zwischenablageverlauf mit einem Klick auf Alle löschen komplett entfernt wird.

Aktivieren lässt sich der Zwischenablageverlauf in den Einstellungen – mit der Eingabe von Einstellungen für Zwischenablage im Suchfeld.

Abbildung: Windows Zwischenablageverlauf aktivieren

Apache ServerSignatur deaktivieren

ServerSignatur und ServerTokens bei Apache und Nginx unterdrücken, kein HTTP-Server-Header für PHP

Es gibt zahlreiche Möglichkeiten, wie Webseiten Sicherheitsbedrohungen ausgesetzt werden. Informationen in der ServerSignatur and ServerTokens sind für Systeme erhöhte Risiken und können gegen sie eingesetzt werden.

Die ServerSignatur und ServerTokens liefert wichtige Information über den Server mit den Erweiterungen und das Betriebssystem. Bei einem Apache Server auf Debian GNU/Linux wird die Apache Versionsnummer und Betriebssysteminformation in der HTTP Server Header Signatur angezeigt.

$ wget --server-response --spider http://www.foo.com/index.php
Spider mode enabled. Check if remote file exists.
--2020-12-12 14:41:06--  http://www.foo.com/index.php
Resolving www.foo.com (www.foo.com)... 192.168.123.45
Connecting to www.foo.com (www.foo.com)|192.168.123.45|:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 301 Moved Permanently
  Date: Sat, 12 Dec 2020 13:41:06 GMT
  Server: Apache/2.4.35 (Debian) PHP/7.3.5~deb10u2 OpenSSL/1.1.1i
  Location: https://www.foo.com/index.php
  Keep-Alive: timeout=5, max=100
  Connection: Keep-Alive
  Content-Type: text/html; charset=iso-8859-1
Location: https://www.foo.com/index.php [following]
Spider mode enabled. Check if remote file exists.

Diese im HTTP Server Header angezeigte Information bei Zeile 10 gibt aufschluss über die Webserver Versionsnummer und die PHP-Version, die OpenSSL Version für Transport Layer Security sowie das Betriebssystem.

Die ServerSignatur und ServerTokens können vertrauliche Informationen zu den auf dem Webserver ausgeführten Softwareversionen enthalten. Wird eine Seite auf dem Server nicht gefunden, sendet der Server dem Client eine Fehlerseite, dabei erscheint im Browser die Seite, Not Found.

Abbildung: Browser Seite mit HTTP-Statuscode 404 und Serversignatur

Ein toter Link wird mit dem HTTP-Statuscode 404 dem Browser zurückgegeben, dazu werden noch weitere Informationen über den Webserver sowie die verwendete Version bekanntgegeben.

Es wird empfohlen die Serversignatur zu deaktivieren, wenn das System vor offenen Bedrohungen geschützt werden soll. In diesem Tutorial wird gezeigt, wie die Serversignatur unterdrückt werden kann.

Apache HTTP ServerSignature und ServerTokens bei Debian deaktivieren

Unter Debian 10 (buster) wird die Konfiguration der Serversignatur in der Datei security.conf vorgenommen.

$ vi /etc/apache2/conf-available/security.conf

Die Standard Einstellung bei Debian 10 (buster) und auch bei Ubuntu für ServerSignature ist On und ServerTokens ist Full. Daktivieren lassen sich diese wie folgt.

ServerTokens Prod
ServerSignature Off

Die änderung der Apache Webserver Konfiguration übermehmen.

$ systemctl restart apache2.service

Apache HTTP ServerSignature und ServerTokens bei CentOS deaktivieren

Bei CentOS (RedHat) wird die änderung der ServerSignature und ServerTokens in der Apache Konfigurationsdatei httpd.conf vorgenommen.

$ vi /etc/httpd/conf/httpd.conf
...
ServerTokens Prod
ServerSignature Off
..

Deaktivierung der HTTP-ServerSignature und ServerTokens für CentOS übernehmen.

$ systemctl restart httpd.service

Nach der deaktivierung der ServerSignature und ServerTokens wird diese in der HTTP Server Header Ausgabe nicht mehr angezeigt. Die überprüfung der änderung kann mit wget oder hier gemacht werden.

$ wget --server-response --spider http://www.foo.com/index.php
Spider mode enabled. Check if remote file exists.
--2020-12-12 15:15:33--  http://www.foo.com/index.php
Resolving www.foo.com (www.foo.com)... 192.168.123.45
Connecting to www.foo.com (www.foo.com)|192.168.123.45|:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 301 Moved Permanently
  Date: Sat, 12 Dec 2020 14:15:33 GMT
  Server: Apache
  Location: https://www.foo.com/index.php
  Keep-Alive: timeout=5, max=100
  Connection: Keep-Alive
  Content-Type: text/html; charset=iso-8859-1
Location: https://www.foo.com/index.php [following]
Spider mode enabled. Check if remote file exists.

Das deaktivieren der Serversignatur kann auch mit einer .htaccess-Datei erreicht werden, diese wird falls nicht bereits vorhanden, in der Docroot erstellt.

$ echo -e "ServerTokens Prod\nServerSignature Off" >> .htaccess

PHP-Version unterdrücken im HTTP Server Header

Die Ausgabe der PHP Versionsnummer wird bei Debian 10 (buster) wie folgt in der Datei php.ini unterdrückt.

$ vi /etc/php/7.4/apache2/php.ini
...
expose_php = Off
..

Bei CentOS (RedHat) wird der PHP Version Header unterdrückung in der php.ini unter folgendem Pfad vorgenommen.

$ vi /etc/php.ini
...
expose_php = Off
..

Apache HTTP-Response-Header

Die Apache ServerTokens Direktive hat die folgenden möglichen Werte, die an Clients gesendet werden, wenn der spezifische Wert festgelegt wird.

ServerTokens Prod[uctOnly]
    Der Server sendet (zB): Server: Apache
ServerTokens Major
    Der Server sendet (zB): Server: Apache/2
ServerTokens Minor
    Der Server sendet (zB): Server: Apache/2.0
ServerTokens Min[imal]
    Der Server sendet (zB): Server: Apache/2.0.41
ServerTokens OS
    Der Server sendet (zB): Server: Apache/2.0.41 (Unix)
ServerTokens Full (oder nicht angegeben)
    Der Server sendet (zB): Apache/2.4.37 (Debian) PHP/7.3.5~deb10u2 OpenSSL/1.1.1

Diese Einstellung gilt für den gesamten Server und kann nicht auf Virtual-Host-Basis aktiviert oder deaktiviert werden.

Nginx HTTP Server_tokens OFF

Für den Nginx Webserver ist die Datei nginx.conf zu editieren.

$ vi /etc/nginx/nginx.conf

http {
...
    server_tokens off;
...

Die deaktivierung der Nginx Serversignatur übernehmen.

$ systemctl restart nginx.service
Die mobile Version verlassen