Propriétés du système SSL - Risque de sécurité?
https://stackoverflow.com/questions/805153
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
C’est probablement une question stupide, mais quel risque pour la sécurité de définir la configuration de mon serveur Web (par exemple, le mot de passe du magasin de clés) via System.setProperty ...
Si j'ai fait quelque chose comme:
System.setProperty("javax.net.keyStorePassword", "password");
- Cela est-il susceptible de poser un problème de sécurité?
- Existe-t-il un moyen de se prémunir contre ce risque tout en maintenant la propriété?
- Comment quelqu'un s'y prendrait-il?
Remarque: pour ajouter un peu plus de précisions, il s'agit d'une application Web s'exécutant sur Tomcat 6 sous Red Hat.
La solution
Le risque que cela représente dépend de l'environnement dans lequel votre code est exécuté et des personnes contre lesquelles vous essayez de vous protéger. Si un attaquant a accès à la plate-forme elle-même ou peut en quelque sorte injecter du code dans votre plate-forme, la définition de propriétés de cette manière est le moindre de vos problèmes.
Tant que votre plate-forme est sécurisée contre les pirates pouvant exécuter du code arbitraire dans votre environnement, vous devriez être assez en sécurité.
