Na akkor tételesen végigveszem az érveidet:
"- az interpreter az apache address space-eben fut. biztonsagi szempontbol ez tudod mit jelent..."
Semmit nem jelent. Ha szarul van megírva, így is úgy is elszáll vagy épp feltörik, a leak-eken meg segít, ha apache-nak beállítod, hány request-et hajthat végre egy process.
"- minden process a web user jogaival fut"
A web user-nek semmi extra joga nincs, így ennek semmi jelentősége. (kivétel természetesen a hosting-szolgáltatás esete, de erre ott van apache2)
"- a mod_perl forditas mindig rizikos: perl es apache C-flag-ek keverednek (thread-es Perl vs. thread-es apache)"
Régebben sokat fordítottam mod_perl-es apache-okat, mert még nem volt ilyen a disztrókban, de soha nem keveredtek semmilyen flag-ek. Ma már nincs ilyen probléma, mert a disztróban van rendes mod_perl-es apache. Nem is éri meg fordítgatni, mert csak a biztonságot kockáztatod azzal, hogy garantáltan később ér el hozzád a patch, amivel kezdheted az újrafordítást, mint a disztrók maintainer-eihez. Ráadásul a hibákat gyakran csak a köv. nagy verzióban javítják úgyhogy vadászhatod a patchet a CVS-ből.
"- nem tudod kirakni a programot egy kulon szerverre, mivel az az apache-ban fut (load-sharing/balacing)."
Rakok mondjuk három mod_perl-es apache-ot három gépre, hogy párhuzamosan szolgálják ki a kéréseket. Slashdot, Amazon is ezt csinálja.