it-swarm-eu.dev

Který webový server je bezpečnější, Apache, nginx nebo lighttpd?

Snažíme se rozhodnout, který webový server zvolit pro naši aplikaci PHP).

Který z Apache, nginx nebo lighttpd je nejbezpečnější? Která z nich měla nejzávažnější bezpečnostní díry?

22
Peter Smit

Operační systém a webový server, s nímž máte největší zkušenosti, jsou obvykle nejbezpečnější.

Zabezpečení závisí na všech vrstvách, nejen na webovém serveru. Pokud vyberete jednu s velmi malými chybami zabezpečení, ale nerozumíte tomu, jak ji nakonfigurovat, pravděpodobně nebudete rozumět, jak ji bezpečně nakonfigurovat.

Všichni jsou to vyspělé webové servery, takže ten, kterému nejlépe rozumíte, je ten, který budete moci zabezpečit nejvíce.

35
Bradley Kreider

Pro mě je odpověď na tuto otázku „záleží“.

Za prvé, myslím, že to záleží na tom, co máte na mysli v bezpečí. Pokud hledáte svobodu od softwarových vad, můžete se podívat na statistiky zranitelnosti dotyčných produktů z webů jako http://www.secunia.com nebo http: // www.cvedetails.com .

od těch se můžete podívat, kolik bezpečnostních otázek bylo veřejně uznáno a opraveno, což by vás mohlo vést k tomu, že produkt je více či méně bezpečný.

Bohužel ne všechny výrobky mají stejnou úroveň kontroly, takže nemusí být dobrým měřítkem.

Druhou věcí, kterou je třeba zvážit, jsou bezpečnostní funkce. Pokud existují specifické bezpečnostní funkce, které požadujete (např. Integrace WAF), pak by to mohlo řídit váš výběr webového serveru.

Pokud jde o vaši konkrétní otázku, řekl bych, že Apache má v poslední době poměrně dobrý bezpečnostní záznam (většina z vulnů, které jsem viděl ve více aktuálních verzích, bývá v modulech, nikoli v jádru serveru).

Pokud jde o ostatní, můžete tvrdit, že jsou v bezpečí, pokud pro ně nejsou publikována žádná zranitelná místa, ale pak mohou mít problémy, které nejsou veřejně uznány.

11
Rory McCune

Bez ohledu na nedávné šílenství záhlaví řady si myslím, že byste mohli udělat dobrý důvod pro Apache, pokud to svléknete pouze na to, co potřebujete. mod_security je také pěkné plus pro Apache.

Měli byste se také rozhodnout nejen na základě výsledků, ale také na základě toho, jak dobře si myslíte, že budou postupovat vpřed. Hodně z toho je funkcí procesní zralosti, stavu kódové základny atd. Myslím, že Apache obecně funguje celkem dobře, i když, jak jsem řekl, svlékněte jej pouze na to, co potřebujete.

Apache má spoustu očních bulví, což znamená, že proti němu bude hlášeno více chyb, ale pamatujte, že to, že chyby nejsou hlášeny proti produktu, neznamená, že tam nejsou, takže pokud jste cílené v útoku, můj názor je, že chcete nejmenší možné neznámé, a Apache pravděpodobně vyhraje v tomto počtu.

3
Steve Dispensa

pro mě nezáleží na Apache nebo nginx nebo lighttpd, záleží na tom, zda zůstanete s aktualizacemi, instalujete pouze aktualizované pluginy a moduly, které jsou každý týden/měsíc moderovány a aktualizovány, a nejdůležitější je NIKDY udělat chybu ve webových aplikacích ( python, Perl, php, mysql, rtmp ....), pokud váš Apache a jeho moduly jsou opraveny/aktualizovány, a u máte přetečení sqli nebo php vyrovnávací paměti, takže je k ničemu, a o OS u můžete vytvořit zabezpečený Windows server a vy může vytvořit vulnreable unixový server

zdroj: Jsem Elite White hacker

http://www.zone-h.org/archive/notifier=k3rnel31

http://www.zone-h.org/archive/notifier=k3rnel31_2

http://www.zone-h.org/archive/notifier=k3rnel31_

http://www.zone-h.org/archive/notifier=k3rnel31_4

1
K3rnel31