hola amigos como lo dice en el titulo he visto la vulnerabilidad de HEADER http, pero no he encontrado como evitar esto?
les cuento que lo probe haciendo con el .htacces con la siguente linea
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACKE|GET) [NC]
RewriteRule ^(.*)$ - [F,L]

ahora pruebo con Live HTTP Headers de firefox y envio una peticion por GET en la linea de User-Agent:  pero la pagina carga bien con el valor agregado.
entonces me parece que esa no es la forma de protegerme, es aqui donde pregunto

si estoy haciendolo mal ó debo de aplicar otra forma de proteccion?
y aprovecho para pedir consejos sobre un buen firewall libre para windows

Nota: trabajo con APACHE, PHP,MySQL, todo esto con XAMPP en Windows 2008.
gracias  y salu2.

¿Apache sigue siendo vulnerable a smuggling?

yo también lo estuve mirando, no para bloquear header, pero si para trace y options.

Con el mod_security del Apache lo puedes hacer, aunque teóricamente también con el propio Apache con una RewriteRule, al menos eso dice la documentación oficial.

Con Apache 2 basta con poner un:

TraceEnable off

en el httpd.conf

http://httpd.apache.org/docs/2.2/mod/core.html#traceenable

hola el-brujo he puesto el mod_security en mi web puse lo que son las reglas basicas segun encontre en la web, pero ahora mi pregunta es como puedo realizar pruebas de que en verdad lleva a cabo las reglas?
haber si puedes echarme una mano en esto.

Por eso lo decia, se me hacia raro xD
De todos modos, nunca está de más activar protecciones en apache, usar chmod, y tener un IDS+IPS
También puedes emparanoyarte y mirar (si tienes tiempo y ganas) cosas como bastille, suricata (/snort), psad, ossec...