Proprietà del sistema SSL - Rischio per la sicurezza?
Domanda
Questa è probabilmente una domanda stupida, ma quanto è un rischio per la sicurezza impostare la mia configurazione ssl del mio server web (es. password keystore) tramite System.setProperty ...
Se avessi fatto qualcosa del genere:
System.setProperty("javax.net.keyStorePassword", "password");
- È probabile che causi un problema di sicurezza?
- Esiste un modo per proteggersi da tale rischio mentre si imposta ancora la proprietà?
- In che modo qualcuno potrebbe comprometterlo?
Nota: solo per aggiungere ulteriori dettagli, questa è un'app Web in esecuzione su Tomcat 6 in Red Hat.
Soluzione
L'entità del rischio dipende dall'ambiente in cui viene eseguito il codice e da chi si sta tentando di proteggere. Se un utente malintenzionato ha accesso alla piattaforma stessa o può in qualche modo iniettare codice nella tua piattaforma, l'impostazione delle proprietà in questo modo è l'ultimo dei tuoi problemi.
Finché la tua piattaforma è sicura contro gli attaccanti che sono in grado di eseguire codice arbitrario nel tuo ambiente, dovresti essere abbastanza sicuro.