Existe uma maneira de configurar o Apache para descartar a conexão de qualquer solicitação, resultando em um status HTTP diferente de 200 (ou possivelmente uma lista de códigos de status)? A ideia é que, em vez de retornar qualquer informação a um hacker investigando o servidor, apenas encerre a conexão quando uma solicitação inválida for feita. Estou pensando em algo semelhante às regras DROP do iptables, mas na camada de aplicação.
Eu percebo que isso não seria um substituto para outras medidas de segurança (firewall, proxy reverso, mod_security, controle de acesso, páginas de erro não padrão, etc), mas seria uma medida adicional.
Você pode fazer 403 retornar uma página 404 & código de status (certifique-se de que ambos são!), o que jogaria fora as pessoas bisbilhotando. Eu acredito que o Google e muitos outros sites grandes fazem isso. No entanto, deixar cair a conexão após um erro como este não é útil (e pode até ser prejudicial).
Tags security apache-2.2 apache-2.4