it-swarm-eu.dev

Welcher Webserver ist sicherer, Apache, Nginx oder LightTPD?

Wir versuchen zu entscheiden, welchen Webserver wir für unsere PHP -Anwendung) auswählen sollen.

Welches von Apache, Nginx oder LightTPD ist am sichersten? Welches davon hatte die größten und schwerwiegendsten Sicherheitslücken?

22
Peter Smit

Das Betriebssystem und der Webserver, mit denen Sie am meisten Erfahrung haben, sind normalerweise am sichersten.

Die Sicherheit hängt von allen Ebenen ab, nicht nur vom Webserver. Wenn Sie eine mit sehr wenigen Sicherheitslücken auswählen, aber nicht verstehen, wie sie konfiguriert werden soll, werden Sie höchstwahrscheinlich nicht verstehen, wie sie sicher konfiguriert werden kann.

Es sind alles ausgereifte Webserver. Derjenige, den Sie am besten verstehen, ist derjenige, den Sie am besten sichern können.

35
Bradley Kreider

Für mich lautet die Antwort auf diese Frage "es kommt darauf an".

Zunächst einmal denke ich, es hängt davon ab, was Sie unter sicher verstehen. Wenn Sie auf der Suche nach Freiheit von Softwarefehlern sind, können Sie sich die Schwachstellenstatistiken für die betreffenden Produkte auf Websites wie http://www.secunia.com oder http: //) ansehen www.cvedetails.com .

von diesen können Sie einen Überblick darüber erhalten, wie viele Sicherheitsprobleme öffentlich anerkannt und behoben wurden, was dazu führen kann, dass Sie sagen, dass ein Produkt mehr oder weniger sicher ist.

Leider werden nicht alle Produkte gleich genau geprüft, so dass dies möglicherweise keine gute Maßnahme ist.

Die andere zu berücksichtigende Sache sind Sicherheitsfunktionen. Wenn Sie bestimmte Sicherheitsfunktionen benötigen (z. B. WAF-Integration), kann dies Ihre Wahl des Webservers beeinflussen.

In Bezug auf Ihre spezielle Frage würde ich sagen, dass Apache in letzter Zeit eine ziemlich gute Sicherheitsbilanz hatte (die meisten der Vulns, die ich in aktuelleren Versionen gesehen habe, befinden sich in der Regel in Modulen, nicht auf dem Kernserver).

In Bezug auf die anderen könnten Sie argumentieren, dass sie sicher sind, wenn keine veröffentlichten Sicherheitslücken für sie vorhanden sind, aber dann haben sie möglicherweise immer noch Probleme, die nicht öffentlich anerkannt werden.

11
Rory McCune

Ungeachtet der jüngsten Verrücktheit der Range-Header können Sie Apache gut vertreten, wenn Sie es nur auf das reduzieren, was Sie brauchen. mod_security ist auch für Apache ein schönes Plus.

Sie sollten sich auch nicht nur nach der Erfolgsbilanz entscheiden, sondern auch danach, wie gut Sie denken, dass sie in Zukunft erfolgreich sein werden. Vieles davon hängt von der Prozessreife, dem Status der Codebasis usw. ab. Ich denke, Apache funktioniert im Allgemeinen ziemlich gut, obwohl es, wie gesagt, nur auf das reduziert wird, was Sie benötigen.

Apache hat viele Augäpfel drauf, was bedeutet, dass mehr Fehler gemeldet werden. Denken Sie jedoch daran, dass nur, weil keine Fehler gegen ein Produkt gemeldet werden, dies nicht bedeutet, dass sie nicht vorhanden sind Ich bin der Meinung, dass Sie bei einem Angriff so wenig Unbekanntes wie möglich wollen, und Apache gewinnt wahrscheinlich in dieser Hinsicht.

3
Steve Dispensa

für mich spielt es keine Rolle, ob Apache, Nginx oder LightTPD verwendet werden. Es geht darum, bei Updates zu bleiben, nur aktualisierte Plugins und Module zu installieren, die wöchentlich/monatlich moderiert und aktualisiert werden. Das Wichtigste ist, NIEMALS einen Fehler in den Webanwendungen zu machen ( Python, Perl, PHP, MySQL, RTMP ...) Wenn Ihr Apache und seine Module gepatcht/aktualisiert sind und Sie einen SQL- oder PHP-Pufferüberlauf haben, so dass er nutzlos ist, und über das Betriebssystem können Sie einen gesicherten Windows-Server und Sie erstellen kann einen vulnreable Unix-Server machen

quelle: Ich bin Elite White Hacker

http://www.zone-h.org/archive/notifier=k3rnel31

http://www.zone-h.org/archive/notifier=k3rnel31_2

http://www.zone-h.org/archive/notifier=k3rnel31_

http://www.zone-h.org/archive/notifier=k3rnel31_4

1
K3rnel31