Apache и Microsoft Internet Information Services, или IIS, являются двумя наиболее широко используемыми веб-серверами. По данным Netshare, в январе 2021 года у Apache было чуть более 59 процентов доли рынка, а у IIS - 22 процента.
Безопасность является серьезной проблемой для веб-администраторов, поскольку отказ в обслуживании, доступ к конфиденциальной или системной информации, повышение привилегий, манипулирование данными и спуфинг — это ежедневные угрозы. Ни один из серверов не идеален; оба подвержены этим видам уязвимостей, поэтому для начала можете использовать услугу аренда vps.
Об Apache
Этот хостинг имеет хорошую производительность прямо из коробки, однако настройка производительности важна для оптимизации сервера, независимо от того, размещаете ли вы локально или в облаке с помощью таких сервисов, как Google Cloud или Microsoft Azure. Поскольку HTTP-сервер Apache имеет множество функций, многие из которых вам не понадобятся для обслуживания собственного приложения, вам следует исключить модули и функции, которые вам не нужны. Это повысит скорость работы приложений и общую производительность Apache.
Когда дело доходит до производительности, общепринято считать, что с Apache все в порядке. Этот хостинг лучше, чем IIS, но немного медленнее, чем его основной конкурент с открытым исходным кодом Nginx. Это подтверждено объективными тестами. Хотя Apache ни в коем случае не является медленным для большинства общих задач, его сдерживают две основные особенности:
- Раздутие функций: Apache часто сравнивают с MS Word — чрезвычайно многофункциональным приложением, в котором 90% пользователей регулярно используют только около 10% функций.
- Apache - это сервер, основанный на процессах, в отличие от многих своих конкурентов, которые являются основанными на событиях или асинхронными по своей природе. На сервере, основанном на процессах, каждое одновременное соединение требует отдельного потока, что влечет за собой значительные накладные расходы. С другой стороны, асинхронный сервер управляется событиями и обрабатывает запросы в одном или нескольких потоках.
В Apache Software Foundation есть группа безопасности, которая документирует и исправляет ошибки безопасности и внедряет исправления.
Об IIS
Ранее известный как Internet Information Server, IIS 7.5 является неотъемлемой частью семейства серверов Microsoft, в настоящее время Windows Server 2008. IIS не устанавливается по умолчанию, но доступен через «Установка и удаление программ». Как и Apache, Microsoft выпустила IIS для широкой публики в середине 1995 года. Хотя Apache занимает лидирующую позицию на общем рынке, IIS является предпочтительной веб-платформой для компаний из списка Fortune 1000.
Недавние уязвимости
В 2010 году Secunia сообщила о трех рекомендациях для Apache HTTP Server 2.2.x. Один был очень тяжелым, другой — умеренным, а третий — менее тяжелым. Эти три уязвимости повлияли на отказ в обслуживании на 50 процентов, доступ к конфиденциальной информации - на 33 процента и 17 процентов — на доступ к системе. За тот же период Secunia сообщила о четырех рекомендациях для Microsoft Internet Information Services 7.x. Два были очень тяжелыми, а два — умеренными. Шестьдесят процентов затронуло доступ к системе и 40 процентов - отказ в обслуживании.
Безопасность веб-сервера
«И IIS, и Apache, если они установлены в соответствии с указаниями разработчиков, относительно безопасны», — заявляет Роджер А. Граймс, советник по безопасности InfoWorld. «Большинство вредоносных заражений веб-сайтов являются результатом административных ошибок и ошибок приложений, а не основного программного обеспечения веб-сервера». В исследовании, проведенном Google, вредоносное ПО (вредоносное ПО) равномерно распределялось по обоим серверам.