насколько безопасен кот

Question

Как видно из двух других вопросов, которые у меня были, я ищу защищенный веб-сервер, потому что там, где обсуждается, насколько безопасным является tomcat. Но в основном то, что я нашел в сети относительно того, насколько это безопасно, гречески для меня. Я надеялся, что кто-нибудь сможет объяснить мне, насколько безопасен кот на самом деле? Мол, можно ли связываться с java-кодом на сервере или что-то в этом роде?

Я знаю, что это, вероятно, глупый вопрос, но я действительно не могу найти ответ, который помогает мне утверждать, что написание собственного сервера не более безопасно, чем использование tomcat, или как может быть лучше использовать tomcat.

Может быть, кто-то знает хороший способ обезопасить tomcat и минимизировать некоторые функции tomcat? (Я действительно не знаю, как еще объяснить это ...)

Надеюсь, ты поможешь мне. Спасибо заранее!

... дг

Answer 1

Пишете свой собственный сервер? В отличие от использования Tomcat? Это классический случай переизобретения колеса и (если вы не являетесь АНБ), что может привести к созданию менее защищенного сервера. Риторический вопрос: почему бы не написать свою собственную ОС для этого!

Tomcat 6 - это очень зрелая, стабильная, актуальная, хорошо понятая кодовая база, в которой годами и годами работают миллионы очень, очень умных людей, которые проверяют, тестируют и эксплуатируют его в производстве.

Tomcat очень безопасен.

Answer 2

может быть, раньше, Tomcat был довольно ненадежным, но в настоящее время ... мне достаточно всего, чтобы доверять ему, если у него есть имя Apache. В любом случае, безопасность была ВСЕГДА воображением, в реальной жизни такого не существует, поэтому всегда будет фактор (не) безопасности.

Проблема с Tomcat похожа на проблему с Windows, независимо от того, насколько «безопасными» они ее построили, если ее используют миллионы людей, хакеры будут заинтересованы вкладывать свою энергию (и, в конечном итоге, добьются успеха) в поиске способ проникнуть в это. Поэтому, возможно, чтобы чувствовать себя в большей безопасности, вы можете рассмотреть возможность использования чего-то не слишком широко используемого, но это не поможет, если хакер намеренно взломает ваш сайт по какой-то особой причине, он узнает о технологии, которую вы используете, и в этот момент - было бы лучше это был Tomcat ..

Вот почему очень важно «пожениться» с такими технологиями с открытым исходным кодом, как tomcat, поскольку у дыры в системе не так много шансов прожить долго, у людей есть шанс что-то исправить, вы всегда можете сделать свою работу самостоятельно, не нужно ждать новой версии и т. д.

Answer 3

Я знаю, что это, вероятно, тупой вопрос, но я действительно не могу найти ответ, который помогает мне Аргумент, что написание собственного сервера не более безопасно, чем использование Tomcat или как может быть лучше использовать tomcat.

Что вы должны помнить, так это то, что Tomcat тысячи часов смотрит на код и исправляет ошибки и дыры. Думать о написании безопасного кода легко. Делать это очень сложно. Есть много мелочей, которые могут быть упущены из виду, что может привести к огромной дыре.

Answer 4

• Посмотрите на список изменений и посчитайте исправленные проблемы безопасности;
• Посмотрите на CVE записи для Tomcat и посмотрите, как вам это покажется.

Но в целом, это очень плохая идея написать свой собственный контейнер сервлетов, особенно если аргументы безопасности Tomcat вам не ясны.

---

Если вам нужны убедительные аргументы босса, покажите ему serlvet spec , который вам нужно реализовать, и оцените время в порядке человеко-лет (не шучу!), Сравнивая это с «скачать распакуйте, запустите 'вариант использования Tomcat.

Answer 5

Tomcat - это безопасный сервер. Однако использовать прокси-сервер Apache для безопасности еще более безопасно. Вы можете использовать mod_proxy для соединения Apache с Tomcat по протоколу AJP или HTTP. Это самая безопасная конфигурация, и вы можете использовать множество подключаемых модулей, доступных для Apache Http Server.

Несколько советов по безопасной установке:

• Создать пользователя для запуска Tomcat. Не используйте пользователя root.
• Удалите примеры приложений.
• Удалите приложение менеджера. Если вы используете Apache для прокси-сервера Tomcat, вы можете безопасно сохранить менеджер и сделать его доступным только через локальную сеть.

Answer 6

Хотя я не хакер, мне было бы трудно представить, каким образом Tomcat станет вашим первым портом захода, если вы пытаетесь атаковать систему - ведь он выполняет ваш код и, по-видимому, находится за брандмауэром и интерфейсом сервера. Если это не тот случай, тогда это должно быть!

Как только сеть станет настолько безопасной, насколько это возможно, помните, что Tomcat - это просто движок сервлетов - у вас будут проблемы с использованием http-запросов. Я бы сконцентрировался на коде вашего приложения, таких как аутентификация пользователей и избежание различных атак с использованием инъекций - на мой взгляд, это самый высокий риск для вашей системы и будет существовать на любом сервере, на котором вы работаете.

Answer 7

Как уже упоминали другие, Tomcat готов к производственному использованию, и безопасность самого Tomcat, безусловно, лучше, чем любая небольшая команда, которая может достичь при написании собственного сервера сервлетов.

Тем не менее, вероятно, самым слабым местом установки Tomcat обычно является установка базовой ОС.