我工作的公司销售在 Tomcat、WebSphere 或 WebLogic 上运行的 J2EE 应用程序。我们有一个客户正试图在 Tomcat 和 WebSphere 之间做出决定。他们倾向于 WebSphere,因为他们担心 Tomcat 有更多的安全漏洞。
在网上搜索之后,我找不到任何网站或研究从安全的角度比较主要 J2EE 应用程序服务器的健壮性。
你们中的任何人都可以指出比较应用服务器安全漏洞的信息吗?
我工作的公司销售在 Tomcat、WebSphere 或 WebLogic 上运行的 J2EE 应用程序。我们有一个客户正试图在 Tomcat 和 WebSphere 之间做出决定。他们倾向于 WebSphere,因为他们担心 Tomcat 有更多的安全漏洞。
在网上搜索之后,我找不到任何网站或研究从安全的角度比较主要 J2EE 应用程序服务器的健壮性。
你们中的任何人都可以指出比较应用服务器安全漏洞的信息吗?
有趣的是,您的客户“担心 Tomcat 存在更多安全漏洞”。我想知道他们是否可以列出这些洞是什么?如果他们不能,那就是道听途说和 FUD。
我会说所有的 Web 服务器/servlet 引擎都会遇到同样的问题。部署在它们上的应用程序代表了真正的安全漏洞。跨站点脚本、SQL 注入、缺乏输入验证、由于分层和实践不佳导致敏感数据暴露——这些都是应用程序问题,无论您选择哪个应用程序服务器,这些问题都会成为问题。
我个人认为 WebLogic 是市场上最好的 Java EE 应用服务器。我没有使用 WebSphere 的第一手经验,但我尊敬的人告诉我,这是一场恐怖秀。我只使用Tomcat进行本地开发。它从来没有让我失望过,但这几乎不是生产经验。我不知道它是如何扩展的。
我会仔细考虑基于 Tomcat、Spring 和 OSGi 的 Spring 的 dm 服务器。我有一种感觉,它代表了所有竞争对手都将采取的未来方向。
如果可能的话,我会说在 WebSphere 上使用 tomcat。
我认为 99% 的安全性是你如何设置的。
您是否也在评估 Apache HTTP Server、IBM HTTP Server 和 IIS 的安全隐患?
安全性不仅仅涉及您选择在哪个应用程序服务器上运行您的 webapp。
Websphere 安全报告(您必须深入了解每个更新以查看已修复的内容)
根据我的经验,WebSphere 不会添加任何非规范(因此在 Tomcat 上有所支持)。当您尝试做一些更复杂的安全技巧(使用 SecureID 或其他东西的管理员身份验证)时,问题就出现了,您需要更深入地挖掘。WebSphere 尝试将更多内容放在 UI 控制台中。
话虽如此,贵公司应该考虑在 Glassfish 上进行测试。它使用 Tomcat 作为 servlet 容器,但添加了更好的 UI 用于管理。
根据这篇文章,WebSphere 社区添加在 servlet 引擎方面与 Tomcat 5.5 没有什么不同。在我看来,这个决定应该基于所需的整体功能,而不是感知到的“安全漏洞”。
几项不同的调查已经证实,Tomcat 在全球超过 60% 的组织中运行,包括最大的银行。正如其他人所说,Tomcat 安全不是问题。“Plain Vanilla”Tomcat 缺少的是许多企业在访问控制、诊断、监控、警报和配置方面所需的控制台和 UI。查看MuleSoft 的Tcat 服务器。它是 100% 的 Tomcat(无分叉),但具有运行 Tomcat 的企业能力。
我不能说一个是否比另一个更好,因为我从未使用过 Tomcat,而且你真的没有定义你的安全要求是什么。安全性可能是一个相当大的野兽,涉及不同的级别。因此,您甚至需要明确定义的要求才能确定需要哪些安全功能。
我们使用与其他几个 IBM 产品集成的 Websphere 来提供对我们应用程序的安全访问,这对我们来说一直运行良好。您可以查找 Webseal 和 Tivoli 系列产品以增加 WebSphere 的安全性。