Безопасность Tomcat против WebSphere и WebLogic

Компания, в которой я работаю, продает приложение J2EE, которое работает на Tomcat, WebSphere или WebLogic. У нас есть клиент, который пытается сделать выбор между Tomcat и WebSphere. Они склоняются к WebSphere, потому что обеспокоены тем, что у Tomcat больше дыр в безопасности.

После поиска в Интернете я не смог найти какие-либо сайты или исследования, которые бы сравнивали надежность основных серверов приложений J2EE с точки зрения безопасности.

Кто-нибудь из вас может указать мне информацию, сравнивающую дыры в безопасности сервера приложений?

12.12.2008 12:59:52
6 ОТВЕТОВ
РЕШЕНИЕ

Я бы сказал, использовать tomcat поверх WebSphere, если это вообще возможно.

Я думаю, что 99% безопасности - это то, как вы все это настроили.

Вы также оцениваете последствия для безопасности Apache HTTP Server, IBM HTTP Server и IIS?

Безопасность включает в себя гораздо больше, чем просто сервер приложений, на котором вы выбираете веб-приложение.

Отчет о безопасности Tomcat

Отчет о безопасности Websphere (вам нужно изучить каждое обновление, чтобы увидеть, что было исправлено)

3
12.12.2008 18:56:11

По моему опыту, WebSphere не добавляет ничего, что не является спецификацией (и, следовательно, несколько поддерживается в Tomcat). Проблема возникает, когда вы пытаетесь сделать некоторые более сложные трюки безопасности (аутентификация администратора с использованием SecureID или что-то еще), вам нужно копать намного глубже. WebSphere пытается добавить больше этого в UI Console.

При этом вашей компании следует обратить внимание на тестирование Glassfish. Он использует Tomcat в качестве контейнера сервлета, но добавляет гораздо лучший интерфейс для управления.

1
12.12.2008 13:16:50

Согласно этой статье , дополнение сообщества WebSphere ничем не отличается от Tomcat 5.5 с точки зрения механизма сервлетов. На мой взгляд, это решение должно основываться на общих необходимых функциях, а не на предполагаемых «дырах в безопасности».

1
12.12.2008 13:19:04
WebSphere Application Server Community Edition - это не WebSphere Application Server, это Apache Geronimo. en.wikipedia.org/wiki/Apache_Geronimo
McDowell 12.12.2008 16:53:17

Я не могу сказать, лучше ли один, чем другой, так как я никогда не использовал Tomcat, и вы действительно не определили свои требования безопасности. Безопасность может быть довольно большим зверем и включать разные уровни. Таким образом, вам понадобятся четко определенные требования, чтобы даже определить, какие функции безопасности требуются.

Мы используем Websphere, интегрированный с несколькими другими продуктами IBM, для обеспечения безопасного доступа к нашему приложению, которое до сих пор работало для нас хорошо. Вы можете найти Webseal и линейку продуктов Tivoli для дополнительной защиты WebSphere.

0
12.12.2008 15:27:16

Интересно, что ваш клиент "обеспокоен тем, что у Tomcat больше дыр в безопасности". Интересно, могли бы они перечислить, что это за дыры? Если они не могут, это слухи и FUD.

Я бы сказал, что все веб-серверы / движки сервлетов страдают от одинаковых проблем. Именно приложения, развернутые на них, представляют собой настоящие дыры в безопасности. Межсайтовый скриптинг, внедрение SQL-кода, отсутствие проверки входных данных, уязвимость конфиденциальных данных из-за плохой многоуровневости и практики - все это проблемы приложений, которые будут проблемами независимо от того, какой сервер приложений вы выберете.

Мое личное мнение таково, что WebLogic - лучший сервер приложений Java EE на рынке. Я не имею непосредственного опыта работы с WebSphere, но люди, которых я уважаю, которые говорят мне, что это ужасное шоу. Я использовал Tomcat только для локального развития. Это никогда не подводило меня, но это вряд ли производственный опыт. Я понятия не имею, как это масштабируется.

Я бы тщательно подумал о dm-сервере Spring, основанном на Tomcat, Spring и OSGi. У меня есть ощущение, что оно представляет собой будущее направление, которое пойдут все его конкуренты.

4
28.12.2008 15:37:05

Несколько различных опросов подтвердили, что Tomcat работает в более чем 60% организаций по всему миру, включая крупнейшие банки. Как уже говорили другие, безопасность Tomcat не является проблемой. Tomcat не хватает «простой ванили» - консоли и пользовательского интерфейса, которые требуются многим предприятиям для контроля доступа, диагностики, мониторинга, оповещений и обеспечения. Проверьте сервер Tcat от MuleSoft. Это на 100% Tomcat (без разветвления), но имеет корпоративные возможности для запуска Tomcat.

1
7.11.2010 05:46:28
Ссылка на опросы или исследования была бы хороша. +1 хотя за предложение о Tcat.
Andy Obusek 7.12.2012 23:45:00