it-swarm-es.com

¿Qué servidor web es más seguro, Apache, nginx o lighttpd?

Estamos tratando de decidir qué servidor web elegir para nuestra aplicación PHP.

¿Cuál de Apache, nginx o lighttpd es el más seguro? ¿Cuál de estos ha tenido los agujeros de seguridad más y más severos?

22
Peter Smit

El sistema operativo y el servidor web con los que tiene más experiencia son generalmente serán los más seguros.

La seguridad depende de todas las capas, no solo del servidor web. Si elige uno con muy pocas vulnerabilidades, pero no comprende cómo configurarlo, lo más probable es que no comprenda cómo configurarlo de forma segura.

Todos son servidores web maduros, por lo que el que mejor entienda es el que podrá proteger más.

35
Bradley Kreider

Para mí, la respuesta a esta pregunta es "depende".

En primer lugar, supongo que depende de lo que quieras decir con seguro. Si está buscando liberarse de defectos de software, puede consultar las estadísticas de vulnerabilidad de los productos en cuestión en sitios como http://www.secunia.com o http: // www.cvedetails.com .

de los que podría obtener una vista de cuántos problemas de seguridad se han reconocido y parcheado públicamente, lo que podría llevarlo a decir que un producto es más o menos seguro.

Lamentablemente, no todos los productos obtienen el mismo nivel de escrutinio, por lo que puede no ser una buena medida.

La otra cosa a considerar son las capacidades de seguridad. Si necesita capacidades de seguridad específicas (p. Ej., Integración WAF), eso podría impulsar su elección de servidor web.

En términos de su pregunta específica, diría que Apache recientemente ha tenido un registro de seguridad bastante bueno (la mayoría de las vulnerabilidades que he visto en versiones más actualizadas tienden a estar en módulos, no en el servidor central).

En cuanto a los demás, podría argumentar que son seguros si no hay vulnerabilidades publicadas para ellos, pero aún así pueden tener problemas que no se reconocen públicamente.

11
Rory McCune

A pesar de la locura del encabezado de rango reciente, creo que puede hacer un buen caso para Apache, si lo reduce a lo que necesita. mod_security es una buena ventaja para Apache también.

También debe decidir no solo según el historial sino también según lo bien que cree que lo harán en el futuro. Mucho de eso es una función de la madurez del proceso, el estado de la base de código, etc. Creo que Apache funciona bastante bien en general, aunque, como dije, lo reduzca a lo que necesita.

Apache tiene muchos ojos en él, lo que significa que tendrá más errores reportados en su contra, pero recuerde que solo porque no se reportan errores en un producto no significa que no estén allí, así que si está apuntado a un ataque, mi opinión es que quieres la menor cantidad de incógnitas posibles, y Apache probablemente gane en ese sentido.

3
Steve Dispensa

para mí, no importa Apache o nginx o lighttpd, se trata de permanecer con actualizaciones, instalar solo complementos y módulos actualizados que sean moderados y actualizados semanalmente/mensualmente, y lo más importante es NUNCA cometer un error en las aplicaciones web ( python, Perl, php, mysql, rtmp ....) si su Apache y sus módulos están parcheados/actualizados, y tiene desbordamiento de búfer sqli o php, por lo que es inútil, y sobre el sistema operativo puede hacer un servidor de Windows seguro y usted puede hacer un servidor unix vulnreable

fuente: Soy el hacker Elite White

http://www.zone-h.org/archive/notifier=k3rnel31

http://www.zone-h.org/archive/notifier=k3rnel31_2

http://www.zone-h.org/archive/notifier=k3rnel31_

http://www.zone-h.org/archive/notifier=k3rnel31_4

1
K3rnel31