我工作的公司销售在 Tomcat、WebSphere 或 WebLogic 上运行的 J2EE 应用程序。我们有一个客户正试图在 Tomcat 和 WebSphere 之间做出决定。他们倾向于 WebSphere,因为他们担心 Tomcat 有更多的安全漏洞。
在网上搜索之后,我找不到任何网站或研究从安全的角度比较主要 J2EE 应用程序服务器的健壮性。
你们中的任何人都可以指出比较应用服务器安全漏洞的信息吗?
问问题
5105 次
6 回答
4
有趣的是,您的客户“担心 Tomcat 存在更多安全漏洞”。我想知道他们是否可以列出这些洞是什么?如果他们不能,那就是道听途说和 FUD。
我会说所有的 Web 服务器/servlet 引擎都会遇到同样的问题。部署在它们上的应用程序代表了真正的安全漏洞。跨站点脚本、SQL 注入、缺乏输入验证、由于分层和实践不佳导致敏感数据暴露——这些都是应用程序问题,无论您选择哪个应用程序服务器,这些问题都会成为问题。
我个人认为 WebLogic 是市场上最好的 Java EE 应用服务器。我没有使用 WebSphere 的第一手经验,但我尊敬的人告诉我,这是一场恐怖秀。我只使用Tomcat进行本地开发。它从来没有让我失望过,但这几乎不是生产经验。我不知道它是如何扩展的。
我会仔细考虑基于 Tomcat、Spring 和 OSGi 的 Spring 的 dm 服务器。我有一种感觉,它代表了所有竞争对手都将采取的未来方向。
于 2008-12-28T15:37:05.587 回答
3
如果可能的话,我会说在 WebSphere 上使用 tomcat。
我认为 99% 的安全性是你如何设置的。
您是否也在评估 Apache HTTP Server、IBM HTTP Server 和 IIS 的安全隐患?
安全性不仅仅涉及您选择在哪个应用程序服务器上运行您的 webapp。
Websphere 安全报告(您必须深入了解每个更新以查看已修复的内容)
于 2008-12-12T18:48:01.117 回答
1
根据我的经验,WebSphere 不会添加任何非规范(因此在 Tomcat 上有所支持)。当您尝试做一些更复杂的安全技巧(使用 SecureID 或其他东西的管理员身份验证)时,问题就出现了,您需要更深入地挖掘。WebSphere 尝试将更多内容放在 UI 控制台中。
话虽如此,贵公司应该考虑在 Glassfish 上进行测试。它使用 Tomcat 作为 servlet 容器,但添加了更好的 UI 用于管理。
于 2008-12-12T13:16:50.020 回答
1
根据这篇文章,WebSphere 社区添加在 servlet 引擎方面与 Tomcat 5.5 没有什么不同。在我看来,这个决定应该基于所需的整体功能,而不是感知到的“安全漏洞”。
于 2008-12-12T13:19:04.167 回答
1
几项不同的调查已经证实,Tomcat 在全球超过 60% 的组织中运行,包括最大的银行。正如其他人所说,Tomcat 安全不是问题。“Plain Vanilla”Tomcat 缺少的是许多企业在访问控制、诊断、监控、警报和配置方面所需的控制台和 UI。查看MuleSoft 的Tcat 服务器。它是 100% 的 Tomcat(无分叉),但具有运行 Tomcat 的企业能力。
于 2010-11-07T05:46:28.167 回答
0
我不能说一个是否比另一个更好,因为我从未使用过 Tomcat,而且你真的没有定义你的安全要求是什么。安全性可能是一个相当大的野兽,涉及不同的级别。因此,您甚至需要明确定义的要求才能确定需要哪些安全功能。
我们使用与其他几个 IBM 产品集成的 Websphere 来提供对我们应用程序的安全访问,这对我们来说一直运行良好。您可以查找 Webseal 和 Tivoli 系列产品以增加 WebSphere 的安全性。
于 2008-12-12T15:27:16.810 回答