it-swarm-id.com

Server web mana yang lebih aman, Apache, nginx atau lighttpd?

Kami mencoba memutuskan server web mana yang akan dipilih untuk aplikasi PHP kami.

Manakah dari Apache, nginx atau lighttpd yang paling aman? Manakah dari ini yang memiliki lubang keamanan paling dan paling parah?

22
Peter Smit

OS dan server web tempat Anda memiliki pengalaman terbanyak adalah biasanya akan menjadi yang paling aman.

Keamanan tergantung pada semua lapisan, bukan hanya server web. Jika Anda memilih satu dengan sangat sedikit kerentanan, tetapi tidak mengerti cara mengkonfigurasinya, kemungkinan besar Anda tidak akan mengerti cara mengkonfigurasinya dengan aman.

Mereka semua adalah server web yang matang, jadi yang paling Anda pahami adalah yang paling bisa Anda amankan.

35
Bradley Kreider

Bagi saya jawaban untuk pertanyaan ini adalah "itu tergantung".

Pertama saya kira itu tergantung pada apa yang Anda maksud dengan aman. Jika Anda mencari kebebasan dari cacat perangkat lunak maka Anda dapat melihat statistik kerentanan untuk produk yang dimaksud dari situs seperti http://www.secunia.com atau http: // www.cvedetails.com .

dari yang Anda bisa mendapatkan pandangan tentang berapa banyak masalah keamanan telah diakui dan ditambal untuk umum, yang dapat membuat Anda mengatakan bahwa suatu produk lebih atau kurang aman.

Sayangnya tidak semua produk mendapatkan tingkat pengawasan yang sama, sehingga mungkin bukan ukuran yang baik.

Hal lain yang perlu dipertimbangkan adalah kemampuan keamanan. Jika ada kemampuan keamanan khusus yang Anda butuhkan (mis., Integrasi WAF) maka itu mungkin mendorong server web pilihan Anda.

Dalam hal pertanyaan spesifik Anda, saya akan mengatakan bahwa Apache baru-baru ini memiliki catatan keamanan yang cukup baik (sebagian besar bahasa yang saya lihat di versi yang lebih mutakhir cenderung dalam modul bukan modul server inti).

Mengenai yang lain, Anda bisa berpendapat bahwa mereka aman jika tidak ada kerentanan yang dipublikasikan untuk mereka, tetapi mereka mungkin masih memiliki masalah yang tidak diakui secara publik.

11
Rory McCune

Terlepas dari kegilaan rentang tajuk baru-baru ini, saya pikir Anda dapat membuat kasus yang bagus untuk Apache, jika Anda menghapusnya hanya untuk apa yang Anda butuhkan. mod_security juga merupakan nilai tambah untuk Apache.

Anda juga harus memutuskan tidak hanya berdasarkan rekam jejak tetapi juga berdasarkan seberapa baik menurut Anda mereka akan maju. Banyak yang merupakan fungsi dari proses kematangan, keadaan basis kode, dll. Saya pikir Apache cukup baik secara umum, meskipun seperti yang saya katakan, hapus hanya ke apa yang Anda butuhkan.

Apache memiliki banyak bola mata di atasnya, artinya akan ada lebih banyak bug yang dilaporkan menentangnya, tetapi ingat bahwa hanya karena bug tidak dilaporkan terhadap suatu produk tidak berarti bahwa mereka tidak ada di sana, jadi jika Anda ditargetkan dalam serangan, pendapat saya adalah bahwa Anda ingin yang tidak diketahui sesedikit mungkin, dan Apache mungkin menang dalam hitungan itu.

3
Steve Dispensa

bagi saya, tidak masalah di Apache atau nginx atau lighttpd, itu masalah tinggal dengan pembaruan, instal hanya plugin dan modul yang diperbarui yang dimoderasi dan diperbarui setiap minggu/bulanan, dan yang paling penting adalah TIDAK PERNAH melakukan kesalahan pada aplikasi web ( python, Perl, php, mysql, rtmp ....) jika Apache Anda dan modulnya ditambal/diperbarui, dan Anda memiliki buffer buffer sql atau php sehingga tidak berguna, dan tentang OS Anda dapat membuat server windows yang aman dan Anda dapat membuat server unix yang vulnreable

sumber: Saya peretas Elite White

http://www.zone-h.org/archive/notifier=k3rnel31

http://www.zone-h.org/archive/notifier=k3rnel31_2

http://www.zone-h.org/archive/notifier=k3rnel31_

http://www.zone-h.org/archive/notifier=k3rnel31_4

1
K3rnel31