Stiamo cercando di decidere quale server web scegliere per la nostra applicazione PHP.
Quale di Apache, nginx o lighttpd è il più sicuro? Quale di questi ha avuto i buchi di sicurezza più severi?
Stiamo cercando di decidere quale server web scegliere per la nostra applicazione PHP.
Quale di Apache, nginx o lighttpd è il più sicuro? Quale di questi ha avuto i buchi di sicurezza più severi?
Il sistema operativo e il server web con cui si ha maggiore esperienza di solito saranno i più sicuri.
La sicurezza dipende da tutti i livelli, non solo dal server web. Se ne scegli una con pochissime vulnerabilità, ma non capisci come configurarla, molto probabilmente non capirai come configurarla in modo sicuro.
Sono tutti server web maturi, quindi quello che capisci meglio è quello che sarai in grado di proteggere di più.
Per me la risposta a questa domanda è "dipende".
Innanzitutto suppongo che dipenda da cosa intendi per sicurezza. Se stai cercando la libertà dai difetti del software, potresti esaminare le statistiche di vulnerabilità per i prodotti in questione da siti come link o link .
da quelli che potresti avere una visione di quanti problemi di sicurezza sono stati riconosciuti pubblicamente e patchati, il che potrebbe portarti a dire che un prodotto è più o meno sicuro.
Purtroppo non tutti i prodotti ricevono lo stesso livello di controllo, quindi potrebbe non essere una buona misura.
L'altra cosa da considerare sono le funzionalità di sicurezza. Se ci sono specifiche funzionalità di sicurezza necessarie (ad esempio, l'integrazione WAF), allora questo potrebbe guidare la scelta del server web.
Per quanto riguarda la tua domanda specifica, direi che Apache ha avuto di recente un buon record di sicurezza (la maggior parte dei vuln che ho visto nelle versioni più aggiornate tendono ad essere nei moduli e non nel core server).
Per quanto riguarda gli altri, potresti obiettare che sono sicuri se non ci sono vulnerabilità pubblicate per loro, ma potrebbero ancora avere problemi che non sono riconosciuti pubblicamente.
Nonostante la pazzia del colpo di testa recente, penso che si possa fare un buon esempio per Apache, se si riduce a ciò che è necessario. mod_security è un bel vantaggio anche per Apache.
Dovresti anche decidere non solo in base al track record ma basandoti su quanto pensi che possano andare avanti. Molto di ciò è una funzione della maturità del processo, dello stato della base di codice, ecc. Penso che Apache funzioni piuttosto bene in generale, sebbene, come ho detto, lo spoglio solo per quello che ti serve.
Apache ha molti occhi su di esso, il che significa che avrà più bug segnalati contro di esso, ma ricorda che solo perché i bug non vengono segnalati su un prodotto non significa che non ci siano, quindi se tu sei il bersaglio di un attacco, la mia opinione è che vuoi il minor numero di incognite possibile, e Apache probabilmente vince su quel conteggio.
per me, non importa su apache o nginx o lighttpd, è importante rimanere con gli aggiornamenti, installare solo plugin e moduli aggiornati che sono moderati / aggiornati settimanalmente / mensilmente e il più importante è MAI fare un errore sul applicazioni web (python, perl, php, mysql, rtmp ....) se il tuo apache ed i suoi moduli sono corretti / aggiornati, e hai overflow del buffer sqli o php quindi è inutile, e su OS puoi fare una finestra sicura server ed è possibile creare un server unix vulnerabile
source: I am Elite White hacker
Leggi altre domande sui tag webserver known-vulnerabilities