Здесь стоит немного отвлечься от веб-серверов и вспомнить предмет неутихающих споров и в последнее время даже судебных процессов. Что же все-таки лучше – бесплатное ПО с открытым исходным кодом или коммерческое? Что безопаснее? Скептики утверждают: «Злоумышленнику ничего не стоит найти уязвимость в бесплатном ПО, ведь он может читать исходный код. Когда кода нет, сложно даже узнать, как оно работает.» На самом деле, к счастью, хороших людей больше, чем плохих. И большинство людей предпочитает, найдя уязвимость, сообщить о ней разработчикам, нередко присылая исправленный код, решающий проблему. Поэтому за годы развития найти уязвимости становится сложнее.

Второе заблуждение: «Открытые проекты поддерживаются неофициально. Купив ПО, я могу потребовать от разработчика решения проблемы». Не все так печально. Устранить описанную уязвимость в программе с открытым исходным кодом может любой программист. А заплаток от производителя коммерческого ПО можно ждать месяцами, и никто кроме него вам не поможет. Примеры при желании вы можете найти в списке рассылки Bugtraq [5].

Возвращаясь к веб-серверам, отметим, что самыми разрушительными были эпидемии червей Code Red, Code Red II и Nimda, от которых пострадали в основном сервера под управлением IIS, а также то, что атаки все еще продолжаются уже зараженными серверами, и не всегда безуспешно. Более того, успешная атака на сервер под управлением IIS может обернуться не только порчей данных, с которыми он работает, но и порчей данных, с которыми работают другие программы, и даже ОС сервера. Именно поэтому веб-сервер под управлением IIS не должен располагаться на компьютере, который выполняет любую другую критическую работу. Такова цена за интеграцию с ОС. Apache, независимый от ОС, на UNIX-системах может выполняться даже в собственном окружении, или, как говорят, «в песочнице». Максимум успеха атаки на такой сервер – порча данных, размещенных на нем. Кроме того, каждый дополнительный компонент, устанавливаемый вместе с веб-сервером является дополнительной угрозой безопасности. По умолчанию вместе с IIS устанавливается несколько библиотек и расширения редактора html FrontPage (видимо, разработчики считают, что содержание сервера должно создаваться на сервере). Стандартная поставка Apache включает в себя только сам сервер. Все модули-дополнения поставляются отдельно. Система управления веб-сервером также тесно связана с безопасностью. «Легкий и удобный в настройке» IIS управляется с помощью приложений, использующих графический интерфейс, а в последней версии и с помощью веб-приложений, устанавливаемых вместе с сервером, и позволяет настроить не все параметры, влияющие на работу сервера. Так как настройки «по умолчанию» ориентированы не на максимальную безопасность, а на максимальное быстродействие и количество предоставляемых сервисов, в то время как добраться до них можно только с помощью редактора реестра Windows, установленный IIS с минимальной настройкой вызывает у опытных администраторов шок. Более того, многие администраторы Windows отключают все возможности управления сервером на основе веб-интерфейса, как потенциальную угрозу безопасности. Настройки Apache хранятся в нескольких текстовых файлах конфигурации.