Sto utilizzando il link per il mio sistema incorporato. È "sicuro" come server web più conosciuti come Apache o lighttpd?
Essendo un server Web meno noto, è meno probabile che venga colpito da attacchi, ma forse anche meno testato.
Sto utilizzando il link per il mio sistema incorporato. È "sicuro" come server web più conosciuti come Apache o lighttpd?
Essendo un server Web meno noto, è meno probabile che venga colpito da attacchi, ma forse anche meno testato.
Aggiornamento: come sottolineato da Moti Korets qui , la mia risposta si riferisce a" Vector Ultra Mini Httpd ", non" ACME mini_httpd "che ora realizzo è stato richiesto dall'OP.
No, non è sicuro.
Anche la versione più recente, v1.21 soffre di un grave overflow del buffer basato sullo stack, il che significa che un utente malintenzionato remoto può ottenere il controllo del proprio sistema. CVE qui .
Non fare affidamento sull'oscurità di mini_httpd per migliorare la sicurezza.
Come accennato nella risposta di SilverlightFox, c'è un'eccezionale vulnerabilità. Sono sorpreso che non ci siano ulteriori problemi: potrebbe essere che le persone non si siano appena testate.
Per me, come pen-tester di sistemi embedded, mini_httpd è una bandiera rossa. Se vedo questo nelle intestazioni, ci sarà quasi sempre una vulnerabilità da qualche altra parte. Questo è ovviamente aneddotico, ma ho visto una correlazione molto strong.
Vorrei rimanere con un demone più conosciuto e testato.
lighttpd è ancora relativamente leggero e risponde ai report di sicurezza. Sarebbe una buona scelta se speri di ospitare contenuti interattivi ricchi.
yaSSL di wolfSSL è un demone HTTP orientato alla sicurezza che vale la pena guardare. È molto leggero e fornisce supporto a pagamento, se necessario.
nginx è diventato fattibile anche per i sistemi embedded più grandi negli ultimi anni.
Non ho il privilegio di commentare la risposta di SilverlightFox, quindi menzionerò qui che il CVE collegato riguarda "Ultra mini httpd" che è un server Windows HTTP, probabilmente diverso da mini_httpd di ACME.
E mentre mini_httpd sembra non mantenuto, gli sviluppatori Debian stanno facendo un buon lavoro per mantenerlo. Potresti voler controllare la pagina del pacchetto , in particolare origine pacchetto debian .
In quel tarball troverai il file "changelog" che menziona alcuni bug e un CVE, quindi puoi applicare le patch dalla sottodirectory "patches". Oppure usa il pacchetto Debian mantenuto.
Credo che tu sia ben trattato allora, e mini-httpd dovrebbe essere abbastanza sicuro.
Leggi altre domande sui tag webserver