Безопасность Tomcat против WebSphere и WebLogic

Question

Компания, в которой я работаю, продает J2EE-приложение, которое работает на Tomcat, WebSphere или WebLogic. У нас есть клиент, который пытается сделать выбор между Tomcat и WebSphere. Они склоняются к WebSphere, потому что обеспокоены тем, что у Tomcat больше дыр в безопасности.

После поиска в Интернете я не смог найти никаких сайтов или исследований, которые бы сравнивали надежность основных серверов приложений J2EE с точки зрения безопасности.

Кто-нибудь из вас может указать мне на информацию, сравнивающую дыры в безопасности сервера приложений?

Answer 1

Интересно, что ваш клиент "обеспокоен тем, что у Tomcat больше дыр в безопасности". Интересно, могли бы они перечислить, что это за дыры? Если они не могут, это слух и ФУД.

Я бы сказал, что все веб-серверы / движки сервлетов страдают от одних и тех же проблем. Именно приложения, развернутые на них, представляют собой настоящие дыры в безопасности. Межсайтовый скриптинг, внедрение SQL-кода, отсутствие проверки ввода, уязвимость конфиденциальных данных из-за плохой многоуровневости и практики - это все проблемы приложения , которые будут проблемами независимо от того, какой сервер приложений вы выберете.

Мое личное мнение таково, что WebLogic - лучший сервер приложений Java EE на рынке. У меня нет непосредственного опыта работы с WebSphere, но люди, которых я уважаю, которые говорят мне, что это ужасное шоу. Я использовал Tomcat только для местного развития. Это никогда не подводило меня, но это вряд ли производственный опыт. Я понятия не имею, как оно масштабируется.

Я бы тщательно подумал о dm-сервере Spring, основанном на Tomcat, Spring и OSGi. У меня такое чувство, что оно представляет собой будущее направление, в котором пойдут все его конкуренты.

Answer 2

Я бы сказал, используйте tomcat поверх WebSphere, если это вообще возможно.

Я думаю, что 99% безопасности - это то, как вы все это настроили.

Вы также оцениваете последствия для безопасности Apache HTTP Server, IBM HTTP Server и IIS?

Безопасность включает в себя гораздо больше, чем просто сервер приложений, на котором вы выбираете веб-приложение.

Отчет о безопасности Tomcat

Отчет о безопасности Websphere (Вам нужно изучить каждое обновление, чтобы увидеть, что было исправлено)

Answer 3

Несколько различных опросов подтвердили, что Tomcat работает в более чем 60% организаций по всему миру, включая крупнейшие банки. Как уже говорили другие, безопасность Tomcat не является проблемой. Tomcat не хватает «простой ванили» - консоли и пользовательского интерфейса, которые требуются многим предприятиям для контроля доступа, диагностики, мониторинга, оповещений и обеспечения. Проверьте Tcat сервер от MuleSoft. Это на 100% Tomcat (без разветвления), но имеет корпоративные возможности для запуска Tomcat.

Answer 4

Согласно этой статье , дополнение сообщества WebSphere ничем не отличается от Tomcat 5.5 с точки зрения механизма сервлета. На мой взгляд, это решение должно основываться на общих необходимых функциях, а не на предполагаемых «дырах в безопасности».

Answer 5

По моему опыту, WebSphere не добавляет ничего, что не является спецификацией (и поэтому несколько поддерживается в Tomcat). Проблема возникает, когда вы пытаетесь сделать более сложные трюки безопасности (аутентификация администратора с использованием SecureID или что-то еще), вам нужно копать намного глубже WebSphere пытается добавить больше этого в UI Console.

При этом ваша компания должна посмотреть на тестирование Glassfish. Он использует Tomcat в качестве контейнера сервлета, но добавляет гораздо лучший интерфейс для управления.

Answer 6

Я не могу сказать, лучше ли один, чем другой, так как я никогда не использовал Tomcat, и вы действительно не определили свои требования безопасности. Безопасность может быть довольно большим зверем и включать разные уровни. Поэтому вам понадобятся четко определенные требования, чтобы даже определить, какие функции безопасности требуются.

Мы используем Websphere, интегрированный с несколькими другими продуктами IBM, для обеспечения безопасного доступа к нашему приложению, которое до сих пор работало для нас хорошо. Вы можете найти Webseal и линейку продуктов Tivoli для дополнительной защиты WebSphere.