IIS vs. Apache: Wat is de juiste security keuze?
Niet zo heel lang geleden hadden beheerders niet veel keuze als het ging om het webserver platform binnen hun organisatie. Werd er Windows gebruikt, dan draaide er Microsoft's Internet Information Server (IIS), gebruikte men Linux/Unix, dan zat men vast aan Apache. Tijden zijn echter veranderd en het Apache HTTP Server Project heeft nu ook een Windows distributie van de webserver uitgebracht, die afstamt van de originele NCSA httpd server. Nu zijn er twee keuzes voor Windows beheerders, en heeft men tenminste enige flexibiliteit. Vanuit een security oogpunt gezien kan men over de keuze twisten. Daarom beschrijft dit artikel vier factoren die helpen bij het bepalen van het veiligste platform binnen de organisatie:
1. Inherente server lekken
2. Bestaande kennis van het platform
3. Gemak voor de systeembeheerder
4. Vaardigheden van de ontwikkelaars
Reacties (27)
Voor mij Apache, draait op zowel als op unix/bsd/linux en
andere systeme. Wij/ons bedrijf houden niet van een lock-in
sollution. Overigens hebben wij ook goed ervaringen met de
beveiliging van apache ... nooit last van wormen oid gehad.
andere systeme. Wij/ons bedrijf houden niet van een lock-in
sollution. Overigens hebben wij ook goed ervaringen met de
beveiliging van apache ... nooit last van wormen oid gehad.
Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.
Dat is een groot voordeel van gratis software boven betaalde
software.
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.
Dat is een groot voordeel van gratis software boven betaalde
software.
Door Redactie
Niet zo heel lang geleden hadden beheerders niet veel keuze als het ging
om het webserver platform binnen hun organisatie. Werd er Windows
gebruikt, dan draaide er Microsoft's Internet Information Server (IIS),
gebruikte men Linux/Unix, dan zat men vast aan Apache. Tijden zijn echter
veranderd en het Apache HTTP Server Project heeft nu ook een Windows
distributie van de webserver uitgebracht, die afstamt van de originele
NCSA httpd server.
Uhmm... Bestaat er niet al heel lang een Windows versie van Apache?Niet zo heel lang geleden hadden beheerders niet veel keuze als het ging
om het webserver platform binnen hun organisatie. Werd er Windows
gebruikt, dan draaide er Microsoft's Internet Information Server (IIS),
gebruikte men Linux/Unix, dan zat men vast aan Apache. Tijden zijn echter
veranderd en het Apache HTTP Server Project heeft nu ook een Windows
distributie van de webserver uitgebracht, die afstamt van de originele
NCSA httpd server.
Als je naar het archief van Apache gaat staat versie 1.3.17 voor Windows
met een 'laatst gewijzigd'-datum van 2 februari 2001.
Zie ook: http://archive.apache.org/dist/httpd/binaries/win32/
Door Anoniem
Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.
Dat is een groot voordeel van gratis software boven betaalde
software.
Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.
Dat is een groot voordeel van gratis software boven betaalde
software.
IIS zit gewoon bij windows , wat dat betreft zijn de pakketten dus gelijk. Voor
het geld wat je op die manier overhoud zul je dan weinig studie tijd
kunnen 'kopen'
Door Anoniem
Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.
Dat is een groot voordeel van gratis software boven betaalde
software.
En wat is het voordeel dan? IIS heb ik al voor 300 eurootjes, daar kun je Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.
Dat is een groot voordeel van gratis software boven betaalde
software.
niet veel studie voor verrichten. Het is eerder lood om oud ijzer zou ik
zeggen. Als ik het bespaarde geld in studie moet steken ben ik natuurlijk
net zo duur uit.
ik vind het zinloos..ik kies liever voor de webserver die
bij het package management hoort zodat ik makkelijk kan
updaten via windows update of yum.
Daarnaast hangt het ook af wat voor soort script taal evt
gebruikt gaat worden.
Als ik dan nog zou moeten kiezen dan zou ik zelf voor IIS
kiezen..IIS peformed veel beter voor statische content dan
Apache..(doe maar eens een goeie apache benchmark test op
een apache webserver en een iis webserver).
Maar nogmaals..het hangt er helemaal van af wat voor content
er geplaatst wordt
bij het package management hoort zodat ik makkelijk kan
updaten via windows update of yum.
Daarnaast hangt het ook af wat voor soort script taal evt
gebruikt gaat worden.
Als ik dan nog zou moeten kiezen dan zou ik zelf voor IIS
kiezen..IIS peformed veel beter voor statische content dan
Apache..(doe maar eens een goeie apache benchmark test op
een apache webserver en een iis webserver).
Maar nogmaals..het hangt er helemaal van af wat voor content
er geplaatst wordt
17-08-2005, 12:55 door
egeltje
Apache is toch al sinds jaar en dag voor het Winows platform te verkrijgen?
Ik meen me te herinneren dat ik hier vijf jaar geleden al mee speelde, voor
ik naar FreeBSD overging.
Ik meen me te herinneren dat ik hier vijf jaar geleden al mee speelde, voor
ik naar FreeBSD overging.
IIS zit standaard bij Windows XP Professional, het is niet
standaard geinstalleerd, dat moet je doen via Software in
configuratiescherm en dan Windows Onderdelen.
Apache is ook heel makkelijk te installeren met alles erop
en eraan.
Kheb met beide ervaring, Apache / PHP tegenwoordig wat beter
als IIS / ASP. PHP kan ook op IIS maar daar moet je niet
alles van verwachten :) Werkt verder wel gewoon goed hoor.
ASP heb ik al een jaar niet meer gedaan en heb ik ook nooit
met enige databases gewerkt. Meer om alles een beetje te
bekijken en leren/testen.
Verder is Apache gewoon een prachtige en hele stabiele
webserver.
standaard geinstalleerd, dat moet je doen via Software in
configuratiescherm en dan Windows Onderdelen.
Apache is ook heel makkelijk te installeren met alles erop
en eraan.
Kheb met beide ervaring, Apache / PHP tegenwoordig wat beter
als IIS / ASP. PHP kan ook op IIS maar daar moet je niet
alles van verwachten :) Werkt verder wel gewoon goed hoor.
ASP heb ik al een jaar niet meer gedaan en heb ik ook nooit
met enige databases gewerkt. Meer om alles een beetje te
bekijken en leren/testen.
Verder is Apache gewoon een prachtige en hele stabiele
webserver.
17-08-2005, 14:03 door
raboof
IIS zit standaard bij Windows XP Professional
Ik gebruik het zelf niet, maar meen me te herinneren dat dat een enigszins kreupele versie is (onder andere geen ondersteuning voor vhosts).
Persoonlijk zou ik voor Apache kiezen, omdat het onder linux e.d. kan
draaien, en omdat (hier) meer mensen ervaring hebben met Apache dan
met IIS.
Het beveiligingsniveau van beide webserver pakketten is tegenwoordig
goed. Apache werd lang afgeraden (in hun eigen docs) om productie mee
te draaien op windows (wegens performance/stabiliteit). Blij te lezen dat
dat tegenwoordig blijkbaar wel kan.
Net zo belangrijk als de veiligheid is de kwaliteit van de
ontwikkelmogelijkheden. ASP.Net is een zalige ontwikkelomgeving dus dat
betekent voor mij IIS. (moet bekennen dat ik Mono nog niet heb
uitgeprobeerd).
PHP/ASP zijn leuke handige talen, maar op een gegeven moment wil je
een niveau hoger. En dan is het dus ASP.Net of Java.
goed. Apache werd lang afgeraden (in hun eigen docs) om productie mee
te draaien op windows (wegens performance/stabiliteit). Blij te lezen dat
dat tegenwoordig blijkbaar wel kan.
Net zo belangrijk als de veiligheid is de kwaliteit van de
ontwikkelmogelijkheden. ASP.Net is een zalige ontwikkelomgeving dus dat
betekent voor mij IIS. (moet bekennen dat ik Mono nog niet heb
uitgeprobeerd).
PHP/ASP zijn leuke handige talen, maar op een gegeven moment wil je
een niveau hoger. En dan is het dus ASP.Net of Java.
apache httpd op windows servers is geen goed idee; het is een keupele
versie mbt. authenticatie, threading, process separation.. ed. erg veel werk
om goed op te zetten. extensies als php en perl en servlets/jsp doen het
prima met iis via de isapi interface en iis is een fluitje van een cent om op
te zetten op huidige windows servers (win2003).
versie mbt. authenticatie, threading, process separation.. ed. erg veel werk
om goed op te zetten. extensies als php en perl en servlets/jsp doen het
prima met iis via de isapi interface en iis is een fluitje van een cent om op
te zetten op huidige windows servers (win2003).
het gaat hier wel om wat je zou kiezen op een
windowsplatform, dat je apache gebruikt omdat je unix draait
is niet boeiend ivm het artikel.
windowsplatform, dat je apache gebruikt omdat je unix draait
is niet boeiend ivm het artikel.
Door Anoniem
PHP/ASP zijn leuke handige talen, maar op een gegeven moment
wil je
een niveau hoger. En dan is het dus ASP.Net of Java.
PHP/ASP zijn leuke handige talen, maar op een gegeven moment
wil je
een niveau hoger. En dan is het dus ASP.Net of Java.
Een niveau lager bedoel je.
Door Anoniem
Een niveau lager bedoel je.
Mischien moet je je even wat meer in die talen verdiepen.Door Anoniem
PHP/ASP zijn leuke handige talen, maar op een gegeven moment
wil je
een niveau hoger. En dan is het dus ASP.Net of Java.
PHP/ASP zijn leuke handige talen, maar op een gegeven moment
wil je
een niveau hoger. En dan is het dus ASP.Net of Java.
Een niveau lager bedoel je.
Door Anoniem
IIS zit gewoon bij windows , wat dat betreft zijn de
pakketten dus gelijk. Voor
het geld wat je op die manier overhoud zul je dan weinig
studie tijd
kunnen 'kopen'
Door Anoniem
Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.
Dat is een groot voordeel van gratis software boven betaalde
software.
Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.
Dat is een groot voordeel van gratis software boven betaalde
software.
IIS zit gewoon bij windows , wat dat betreft zijn de
pakketten dus gelijk. Voor
het geld wat je op die manier overhoud zul je dan weinig
studie tijd
kunnen 'kopen'
Mmmm..., je hebt toch voor Windows betaald of niet?
Apache is gratis; en neem daarbij een gratis
besturingssysteem als bijv. Debian of FreeBSD. Kosten noppes.
Verder werd hierboven 300 euro genoemd; dat staat gelijk aan
6 uur studie voor Apache.
Als je alleen Windows wilt, dan moet je betalen en blijf je
betalen.
Als ik het bespaarde geld in studie moet steken ben
ik natuurlijk net zo duur uit.
ik natuurlijk net zo duur uit.
Maar je begrijpt meer! Meer kennis = beter salaris.
Java is voor luie programmeurs die liever 1x een pakketje ontwikkelen op
een buggy virtualisatielayer in plaats van native te programeren.
Het idee achter java is goed, bovenstaand, maar de uitwerking is dat je
regelmatig je JRE weer mag deinstalleren omdat je met een ander op java
gebasseerd wanproduct moet werken en die draait nu net niet meer onder
de huidig geinstalleerde JRE versie.
een buggy virtualisatielayer in plaats van native te programeren.
Het idee achter java is goed, bovenstaand, maar de uitwerking is dat je
regelmatig je JRE weer mag deinstalleren omdat je met een ander op java
gebasseerd wanproduct moet werken en die draait nu net niet meer onder
de huidig geinstalleerde JRE versie.
Dat Sun zijn beloften niet kan waarmaken moet je niet afschuiven op luie
eindgebruikers...
eindgebruikers...
''Daarom beschrijft dit artikel vier factoren die helpen bij
het bepalen van het veiligste platform binnen de organisatie:''
Jammer dat er voordat je zover bent nog een hele andere
belangrijke afweging moet maken, techniek mag best een rol
spelen in een beslissing, maar is buseniss wise nooit de
drijfveer.
Wanneer je als organisatie gebonden bent aan allerlei
regelwetgeving kan het zo maar eens zijn dat 'gratis', (dus
geen officiele support mogelijkheden) al niet eens in
aanmerking komt voor de realisatie van je project.
Wanneer alle verplichte criteria zijn doorlopen, ga je dan
eens druk maken om techniek en de (on)mogelijkheden die
hierbij horen.
Overigens denk ik in dit geval dat beide producten elkaar
niet zoveel zullen ontlopen.
het bepalen van het veiligste platform binnen de organisatie:''
Jammer dat er voordat je zover bent nog een hele andere
belangrijke afweging moet maken, techniek mag best een rol
spelen in een beslissing, maar is buseniss wise nooit de
drijfveer.
Wanneer je als organisatie gebonden bent aan allerlei
regelwetgeving kan het zo maar eens zijn dat 'gratis', (dus
geen officiele support mogelijkheden) al niet eens in
aanmerking komt voor de realisatie van je project.
Wanneer alle verplichte criteria zijn doorlopen, ga je dan
eens druk maken om techniek en de (on)mogelijkheden die
hierbij horen.
Overigens denk ik in dit geval dat beide producten elkaar
niet zoveel zullen ontlopen.
Verder is Apache gewoon een prachtige en hele stabiele
webserver.[/quote]
Totaal zinloos en niet onderbouwde conclusie.
Waar baseer je dit op, op die zolderkamer configuratie van je ?
Door Anoniem
Maar je begrijpt meer! Meer kennis = beter salaris.
Daar heb ik als organisatie toch helemaal geen bal aan? Niet alleen moet Als ik het bespaarde geld in studie moet steken ben
ik natuurlijk net zo duur uit.
ik natuurlijk net zo duur uit.
Maar je begrijpt meer! Meer kennis = beter salaris.
ik geld uitgeven aan extra studie maar ik moet ook nog eens meer salaris
betalen. Niet aantrekkelijk
Ik heb het artikel nog niet gelezen, maar ik uit eigen
ervaring trek ik de conclusie dat bij beiden de configuratie
het grootste risico is. Bij IIS vanwege al het
gebruikersvriendelijke maar onoverzichtelijke gefuck met
venstertjes, bij Apache vanwege de onoverzichtelijke
inconsistente config-file spaghetti.
Aan Apache stoort het me dat je flink moet klooien om de
(vaak lekke) applicaties van users in een multi-hosting
omgeving veilig in hun eigen gebiedje in te metselen. Ik
weet niet hoe dat tegenwoordig met IIS zit. Maar een veilige
LAMP install (vervang naar voorkeur Linux voor een BSD en
MySQL voor Postgress), de meest gebruikte toepassing van
Apache, zoniet webservers in het algemeen, zou toch
zolangzamerhand wel de default mogen zijn.
ervaring trek ik de conclusie dat bij beiden de configuratie
het grootste risico is. Bij IIS vanwege al het
gebruikersvriendelijke maar onoverzichtelijke gefuck met
venstertjes, bij Apache vanwege de onoverzichtelijke
inconsistente config-file spaghetti.
Aan Apache stoort het me dat je flink moet klooien om de
(vaak lekke) applicaties van users in een multi-hosting
omgeving veilig in hun eigen gebiedje in te metselen. Ik
weet niet hoe dat tegenwoordig met IIS zit. Maar een veilige
LAMP install (vervang naar voorkeur Linux voor een BSD en
MySQL voor Postgress), de meest gebruikte toepassing van
Apache, zoniet webservers in het algemeen, zou toch
zolangzamerhand wel de default mogen zijn.
Ik werk al een jaar voor mijn werkgever met Apache / PHP / MySQL onder
Windows.
De Windows 2003 server met Apache draait al meer dan een jaar foutloos!
Onze conclusie is dat deze combinatie veilig en bijzonder stabiel draait.
Windows.
De Windows 2003 server met Apache draait al meer dan een jaar foutloos!
Onze conclusie is dat deze combinatie veilig en bijzonder stabiel draait.
18-08-2005, 18:55 door
spatieman
je hebt ook kompleet packages waar alles in zit voor windows :)
draait ook wel lekker
draait ook wel lekker
Kijk ook eens naar: http://www.apachefriends.org/en/
20-08-2005, 17:16 door
Rob Jansen
Dat IIS bijna net zo veilig als Apache ben ik niet mee eens,
het aantal security warnings zal bijna gelijk zijn. 28 voor
IIS en 25 Apache ben ik niet mee eens.
Maar de succesvolle aanvallen op IIS servers zijn veel
groter, ik zie vaak genoeg aanvallen op IIS servers in m'n
Apache log, een worm die succesvol Apache aanvalt kan ik me
niet herrinneren.
Bij Apache kijken veel meer mensen naar de code, iedere
beveiligings deskundige die een puntje wil scoren kan een
beveiligings lek in Apache zoeken, dus volgens mij is het
nivo van de beveilingslekken in Apache veel lager, IIS is
closed source, beveiliging door ontwetendheid.
Dus het aantal beveilingswaarschuwingen zal bij open source
hoger zijn, maar dat zijn meestal fouten die je heel
moeilijk kunt uitbuiten.
het aantal security warnings zal bijna gelijk zijn. 28 voor
IIS en 25 Apache ben ik niet mee eens.
Maar de succesvolle aanvallen op IIS servers zijn veel
groter, ik zie vaak genoeg aanvallen op IIS servers in m'n
Apache log, een worm die succesvol Apache aanvalt kan ik me
niet herrinneren.
Bij Apache kijken veel meer mensen naar de code, iedere
beveiligings deskundige die een puntje wil scoren kan een
beveiligings lek in Apache zoeken, dus volgens mij is het
nivo van de beveilingslekken in Apache veel lager, IIS is
closed source, beveiliging door ontwetendheid.
Dus het aantal beveilingswaarschuwingen zal bij open source
hoger zijn, maar dat zijn meestal fouten die je heel
moeilijk kunt uitbuiten.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
