Sicherheit von Tomcat im Vergleich zu WebSphere gegen WebLogic
https://stackoverflow.com/questions/362665
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Das Unternehmen für die ich arbeite verkauft eine J2EE-Anwendung, die auf Tomcat, WebSphere ausgeführt wird, oder WebLogic. Wir haben einen Kunden, der zwischen Tomcat und WebSphere zu entscheiden versucht. Sie sind Neigung zu WebSphere, weil sie befürchten, dass Tomcat mehr Sicherheitslücken hat.
Nach dem Einschalten der Web-Suche um, ich habe es nicht gelungen, alle Websites oder Studien zu finden, die die Robustheit des wichtigsten J2EE-Anwendungsservers vom Sicherheitsstandpunkt vergleichen.
Kann jemand von euch zeigen Sie mir Informationen App-Server Sicherheitslücken zu vergleichen?
Lösung
Ich würde Nutzung Kater über WebSphere sagen, wenn überhaupt möglich.
Ich denke, 99% der Sicherheit ist, wie Sie es auf den gesetzt.
Evaluieren Sie auch die Auswirkungen auf die Sicherheit von Apache HTTP Server, IBM HTTP Server und IIS?
Sicherheit beinhaltet so viel mehr als nur was Anwendungsserver Sie wählen Ihre Webapp auf laufen.
Websphere Sicherheitsbericht (Sie müssen graben sich in jedes Update, um zu sehen, was festgelegt wurde)
Andere Tipps
Es ist interessant, dass Ihr Kunde „besorgt darüber, dass Tomcat mehr Sicherheitslücken hat.“ Ich frage mich, ob sie könnten Liste, was diese Löcher sind? Wenn sie es nicht können, ist es Hörensagen und FUD.
Ich würde sagen, dass alle Webserver / Servlet-Engines von den gleichen Problemen leiden. Es sind die Anwendungen, die auf ihnen bereitgestellt werden, die die realen Sicherheitslücken darstellen. Cross-Site-Scripting, SQL-Injection, fehlende Überprüfung von Eingaben, die Exposition von sensiblen Daten aufgrund der schlechten Schichtung und Praktiken -. Diese sind alle Anwendung Probleme, die Probleme sein wird, unabhängig davon, welche App-Server Sie wählen
Meine persönliche Meinung ist, dass WebLogic der beste Java EE Applikationsserver auf dem Markt ist. Ich habe keine Erfahrungen aus erster Hand mit WebSphere, aber die Leute, die ich respektiere, die mir zu sagen haben, dass es eine Horrorshow ist. Ich habe Tomcat nur für die lokale Entwicklung. Es ist nie versäumt, mich, aber das ist kaum Produktionserfahrung. Ich habe keine Ahnung, wie es skaliert werden kann.
Ich würde denken, sorgfältig über Spring dm Server, basierend auf Tomcat, Spring und OSGi. Ich habe das Gefühl, dass es eine zukünftige Richtung darstellt, dass alle Wettbewerber übernehmen wird.
Nach meiner Erfahrung WebSphere fügt nicht alles, was nicht spec ist (und damit etwas auf Tomcat unterstützt). Das Problem kommt, wenn einige komplexere Sicherheits Tricks zu tun versuchen (admin-Authentifizierung mit SecureID oder etwas) Sie müssen viel tiefer graben. WebSphere versucht, mehr davon in der UI-Konsole zu setzen.
Dass gesagt wird, soll Ihr Unternehmen bei Tests auf Glassfish suchen. Es verwendet Tomcat als Servlet-Container es ist, fügt aber eine viel bessere Benutzeroberfläche für das Management.
Nach diesem Artikel rel="nofollow, WebSphere Community Außerdem ist es nicht anders als Tomcat 5.5 in Bezug auf die Servlet-Engine. Meiner Meinung nach sollte diese Entscheidung auf dem allgemeinen Merkmalen nicht wahrgenommen „Sicherheitslücken“ benötigt basieren.
Einige haben verschiedene Studien bestätigt, dass Tomcat weltweit bei über 60% der Organisationen ausgeführt wird, einschließlich der größten Banken. Wie andere gesagt haben, ist Tomcat Sicherheit nicht das Problem. Was „Plain Vanilla“ Tomcat fehlt, ist die Konsole und UI, die für Zugangskontrollen viele Unternehmen benötigen, Diagnose, Überwachung, Warnungen und Provisioning. Schauen Sie sich Tcat Server von MuleSoft. Es ist 100% Tomcat (keine Gabel), aber die Enterprise-Funktionen für die Ausführung von Tomcat hat.
Ich kann nicht sagen, ob man besser ist als die andere, wie ich nie Tomcat verwendet haben, und Sie haben wirklich nicht definiert, was Ihre Sicherheitsanforderungen sind. Die Sicherheit kann ein ziemlich großes Tier sein und unterschiedliche Ebenen einzubeziehen. So müssen Sie auch Anforderungen definiert selbst bestimmen, welche Sicherheitsfunktionen erforderlich sind.
Wir verwenden Websphere mit mehreren anderen IBM-Produkten integrierten sicheren Zugriff auf unsere Anwendung zur Verfügung zu stellen, die bisher für uns gut gearbeitet hat. Sie können WebSEAL und dem Tivoli-Produktlinie für zusätzliche Sicherheit zu WebSphere nachzuschlagen.
