在创建基于 SSL 的网站时,我一直使用 Apache Webserver。如果您拥有证书,Python HTTP Server 库似乎也可以处理基于 SSL 的服务。我不确定 Python 网络服务器能否提供与 Apache 一样安全的服务,但由于我无法找到更多关于它的质量的信息,我想知道我是否在浪费时间尝试使用它在我的 web2py 框架中。
在安全性方面,使用 Python HTTP Server SSL 与 Apache SSL 的优缺点是什么?
注意:我不关心性能和承重
【问题讨论】:
标签: python apache security ssl webserver
Apache 和 Python 都使用 OpenSSL 库,因此仅从这一非常简单的功能来看,它们应该几乎相同。 (有点奇怪的问题……你为什么不考虑此更改的所有其他安全影响?)
话虽如此,HTTP 守护程序非常复杂,而且这些 HTTP 守护程序的安全性也大相径庭。 Apache 仍然由大多数网站运行,并且那里有最多的黑客查看它,并且通过扩展,它删除的漏洞可能比任何其他 HTTP 守护程序都多。就我个人而言,我不会将 Apache 以外的任何东西用于安全关键应用程序。
相比之下,Python 的 HTTP 服务器没有被广泛使用,它遭受了像 forgetting to set a content-type 这样的非常愚蠢的漏洞,这使得阻止 XSS 几乎是不可能的。 Python 的 HTTP 守护进程中可能还有更多愚蠢的漏洞有待发现。
【讨论】: