it-swarm.dev

Quale server Web è più sicuro, Apache, nginx o lighttpd?

Stiamo provando a decidere quale server Web scegliere per la nostra applicazione PHP.

Quale di Apache, nginx o lighttpd è il più sicuro? Quale di questi ha avuto le falle di sicurezza più e più gravi?

22
Peter Smit

Il sistema operativo e il server Web con cui hai più esperienza sono di solito saranno i più sicuri.

La sicurezza dipende da tutti i livelli, non solo dal server web. Se ne scegli uno con pochissime vulnerabilità, ma non capisci come configurarlo, molto probabilmente non capirai come configurarlo in modo sicuro.

Sono tutti server web maturi, quindi quello che comprendi meglio è quello che sarai in grado di proteggere di più.

35
Bradley Kreider

Per me la risposta a questa domanda è "dipende".

Prima di tutto credo che dipenda da cosa intendi per sicuro. Se stai cercando la libertà da difetti del software, puoi consultare le statistiche di vulnerabilità per i prodotti in questione da siti come http://www.secunia.com o http: // www.cvedetails.com .

da quelli si potrebbe avere una visione di quanti problemi di sicurezza sono stati riconosciuti e patchati pubblicamente, il che potrebbe portarti a dire che un prodotto è più o meno sicuro.

Sfortunatamente non tutti i prodotti hanno lo stesso livello di controllo, quindi potrebbe non essere una buona misura.

L'altra cosa da considerare è la capacità di sicurezza. Se sono necessarie funzionalità di sicurezza specifiche (ad es. Integrazione WAF), ciò potrebbe guidare la scelta del server Web.

Per quanto riguarda la tua domanda specifica, direi che Apache ha recentemente avuto un discreto record di sicurezza (la maggior parte dei vulns che ho visto in versioni più aggiornate tendono ad essere in moduli e non nel server principale).

Per quanto riguarda gli altri, potresti obiettare che sono sicuri se non ci sono vulnerabilità pubblicate per loro, ma potrebbero ancora avere problemi che non sono riconosciuti pubblicamente.

11
Rory McCune

Nonostante la recente follia del range header, penso che tu possa fare un buon caso per Apache, se lo riduci solo a ciò di cui hai bisogno. mod_security è un bel vantaggio anche per Apache.

Dovresti anche decidere non solo in base ai risultati ottenuti, ma in base a quanto pensi che faranno in futuro. Molto di questo è una funzione della maturità del processo, dello stato della base di codice, ecc. Penso che Apache faccia abbastanza bene in generale, anche se come ho detto, riducilo solo a ciò di cui hai bisogno.

Apache ha molti bulbi oculari su di esso, il che significa che avrà più bug segnalati contro di esso, ma ricorda che solo perché i bug non vengono segnalati contro un prodotto non significa che non ci sono, quindi se sei preso di mira in un attacco, la mia opinione è che vuoi il minor numero possibile di incognite e Apache probabilmente vince su quel punto.

3
Steve Dispensa

per me, non importa su Apache o nginx o lighttpd, si tratta di rimanere con gli aggiornamenti, installare solo plugin e moduli aggiornati che sono moderati e aggiornati settimanalmente/mensilmente e il più importante è MAI fare un errore sulle applicazioni web ( python, Perl, php, mysql, rtmp ....) se Apache e i suoi moduli sono patchati/aggiornati e hai un overflow del buffer sqli o php quindi è inutile, e sul sistema operativo puoi creare un server Windows sicuro e tu può creare un server unix vulnerabile

fonte: sono un hacker Elite White

http://www.zone-h.org/archive/notifier=k3rnel31

http://www.zone-h.org/archive/notifier=k3rnel31_2

http://www.zone-h.org/archive/notifier=k3rnel31_

http://www.zone-h.org/archive/notifier=k3rnel31_4

1
K3rnel31