Qiitaで提供しているサービスのHTTPのResponse headerについて

[Brutus03]

Qiitaで提供しているサービスのHTTPのResponse headerについて報告です。

下記、サービスが返すHTTPのResponse headerですが、x-powered-byヘッダーが付与されているため、PHPのバージョン情報が表示されています。

• https://zine.qiita.com/
• https://blog.qiita.com/

特に理由がなければ、攻撃者に余計な情報を与えてしまうことになるため、バージョン情報を表示させない様にx-powered-byヘッダーは無効化した方が良いのではないかと思いました。ご確認お願いします。

参考：HTTP ヘッダー

[kyntk]

@Brutus03
ご報告いただきありがとうございます。
いただいた内容は先程対応完了いたしました!

また、今まではきちんとセキュリティに関する運用ルールを定められておらず申し訳ありません。
セキュリティに関する内容がオープンな場でやりとりされてしまうと悪用されるリスクも存在するため、今後は別途報告できる方法を用意する予定です。
今後はそちらにてご報告いただければと思います。

[Brutus03]

本件について、修正されたことを確認しました。迅速な対応ありがとうございます。
また、下記についてですが失礼しました。私もどこで報告すべきか迷い、GitHub Discussionsにて報告した次第です。今後また何かセキュリティ関連で発見した際は、そちらにて報告いたします。

セキュリティに関する内容がオープンな場でやりとりされてしまうと悪用されるリスクも存在するため、今後は別途報告できる方法を用意する予定です。
今後はそちらにてご報告いただければと思います。

[kyntk]

ありがとうございます!

[kskwtnk]

@Brutus03
こちらの件、ご報告いただきありがとうございました！
SECURITY.mdを設置し、報告用のメールアドレスを記載しましたので、今後もし発見いただきましたらこちらからお願いします！

https://github.com/increments/qiita-discussions/blob/main/SECURITY.md