Estamos intentando decidir qué servidor web elegir para nuestra aplicación PHP.
¿Cuál de los más seguros es Apache, nginx o lighttpd? ¿Cuál de estos ha tenido los agujeros de seguridad más severos y graves?
Estamos intentando decidir qué servidor web elegir para nuestra aplicación PHP.
¿Cuál de los más seguros es Apache, nginx o lighttpd? ¿Cuál de estos ha tenido los agujeros de seguridad más severos y graves?
El sistema operativo y el servidor web con los que tiene más experiencia son, por lo general, generalmente los más seguros.
La seguridad depende de todas las capas, no solo del servidor web. Si elige una con muy pocas vulnerabilidades, pero no entiende cómo configurarlo, lo más probable es que no entienda cómo configurarlo de manera segura.
Todos son servidores web maduros, por lo que el que mejor entiendes es el que más podrás proteger.
Para mí, la respuesta a esta pregunta es "depende".
Primero que nada, supongo que depende de lo que quieras decir con seguro. Si no está exento de defectos de software, puede consultar las estadísticas de vulnerabilidad de los productos en cuestión en sitios como enlace o enlace .
de aquellos a los que podría obtener una vista de cuántos problemas de seguridad han sido reconocidos y parchados públicamente, lo que podría llevarlo a decir que un producto es más o menos seguro.
Lamentablemente, no todos los productos tienen el mismo nivel de control, por lo que puede que no sea una buena medida.
La otra cosa a considerar es la capacidad de seguridad. Si hay capacidades de seguridad específicas que necesita (por ejemplo, integración con WAF), entonces eso podría impulsar su elección de servidor web.
En cuanto a su pregunta específica, diría que Apache recientemente ha tenido un registro de seguridad bastante bueno (la mayoría de las vulnerabilidades que he visto en versiones más actualizadas suelen estar en módulos que no son el servidor central).
En cuanto a los demás, podría argumentar que están seguros si no hay vulnerabilidades publicadas para ellos, pero es posible que aún tengan problemas que no se reconocen públicamente.
A pesar de la locura reciente del encabezado de rango, creo que puede hacer un buen caso para Apache, si solo lo reduce a lo que necesita. mod_security es una buena ventaja para Apache también.
También debe decidir no solo en función del historial, sino también en función de lo bien que crea que seguirán adelante. Mucho de eso es una función de la madurez del proceso, el estado de la base de código, etc. Creo que a Apache le va bastante bien en general, aunque, como he dicho, desglose solo lo que necesita.
Apache tiene muchos globos oculares, lo que significa que habrá más errores informados, pero recuerda que solo porque no se informen errores contra un producto no significa que no estén allí, así que si eres el blanco de un ataque, mi opinión es que quieres la menor cantidad de incógnitas posibles, y Apache probablemente gana en ese conteo.
para mí, no importa en apache o nginx o lighttpd, sí importa con actualizaciones, instale solo complementos y módulos actualizados que sean semanales / mensuales moderados y actualizados, y lo más importante NUNCA cometa un error en el aplicaciones web (python, perl, php, mysql, rtmp ....) si su apache y sus módulos están parchados / actualizados, y u tiene un desbordamiento de búfer de sqli o php, por lo que es inútil, y sobre el sistema operativo puede hacer una ventana segura servidor y usted puede hacer un servidor unix vulnerable
fuente: soy hacker Elite White
Lea otras preguntas en las etiquetas webserver known-vulnerabilities