Standaardconfiguraties zijn gemakkelijk voor de beheerder die vlug iets wil opzetten, maar als je bijvoorbeeld een Tor-site optuigt, verdient het aanbeveling om er even de documentatie er grondig op na te lezen.

Ars Technica wijst op een blog van afgelopen weekend, waarin een anonieme informaticastudent beschrijft hoe een populaire .onion-zoekmachine de serverstatus zichtbaar maakte. Apache zorgt er default voor dat module mod_status is ingeschakeld en dat deze enkel te bereiken is via 127.0.0.1.

Maar omdat de Tor-daemon standaard ook op localhost draait, is de serverstatus (met onder meer informatie over het verkeer, de gebruikte resources en individuele http-requests) van buitenaf te zien als mensen .onion/server-status aanspreken. Dit issue is bekend, maar staat niet specifiek vermeld in de configuratiehandleiding van Tor.

Dit probleem is aan te pakken door een IP-adres in de private range (bijvoorbeeld 192.168.1.1) toe te wijzen aan de Tor-service, wat meerdere van dergelijke configuratiefouten voorkomt. Wat dit specifieke issue betreft, kunnen beheerders de Apache 2.x-module uitschakelen met een 'sudo a2dismod status'.