WebLogic対のWebSphere対のTomcatのセキュリティ

StackOverflow https://stackoverflow.com/questions/362665

質問

私が働いている会社は、Tomcatは、WebSphere、またはWebLogic上で動作するJ2EEアプリケーションを販売しています。我々は、TomcatとWebSphere間で決定しようとしている顧客を持っています。彼らはTomcatがより多くのセキュリティホールを持っていることを懸念しているので、彼らは、WebSphereに傾いています。

ウェブ上の周りに検索した後、私はセキュリティの観点から、主要なJ2EEアプリケーションサーバーの堅牢性を比較する任意のサイトや研究を見つけることができませんしてきます。

あなたのいずれかがアプリケーションサーバーのセキュリティホールを比較した情報に私を指すことができますか?

役に立ちましたか?

解決

すべての可能であれば

私は、WebSphereにわたる使用のTomcatを言うと思います。

私はセキュリティの99%はあなたがそれをすべて設定方法だと思います。

あなたはまた、Apache HTTPサーバ、IBM HTTP Server、およびIISのセキュリティへの影響を評価していますか?

セキュリティはそんなに多く、あなたのWebアプリケーション上で実行することを選択しただけで何のアプリケーション・サーバーよりも含まれます。

Websphereのセキュリティレポートに(あなたがする必要はあり

)に固定されたものを見るために各更新を掘り下げます

他のヒント

それはあなたのクライアントであることは興味深いです「Tomcatはより多くのセキュリティホールを持っていることを懸念。」彼らはそれらの穴が何であるかを一覧表示することができれば、私は疑問に思いますか?彼らができない場合は、それが伝聞やFUDです。

私は、すべてのWebサーバー/サーブレットエンジンが同じ問題に苦しむと言うでしょう。これは、実際のセキュリティホールを表し、それらの上に配備されたアプリケーションです。クロスサイトスクリプティング、SQLインジェクション、入力検証の不足、貧弱なレイヤーや慣行への機密データの露出 - 。これらに関係なく、あなたが選択したアプリケーションサーバーの問題になりますすべてののアプリケーションの問題があります。

私の個人的な意見では、WebLogicは、市場で最高のJava EEアプリケーションサーバであるということです。私は、WebSphereとの最初の手の経験を持っているが、私は誰がそれがホラーショーだということを教えてい尊重人はありません。私は地元の発展のためにTomcatを使用しました。それは私が失敗したことがないですが、それはほとんど生産の経験です。私はそれがどのようにスケーリングするか見当がつかないます。

私は、Tomcat、春、とOSGiに基づいて、春のDMサーバについて慎重に検討したいです。私はそれがすべての競合他社が服用される将来の方向性を表していると感じている。

私の経験では、WebSphereはスペック(したがって、多少Tomcatでサポートされている)されていないものを追加していません。いくつかのより複雑なセキュリティトリック(SecureIDのか何かを使用して管理認証)をやろうとしているあなたは非常に深く掘る必要があるときに問題が来ます。 WebSphereはUIコンソールでその多くを置くしようとします。

言われていること、あなたの会社はGlassfishの上のテストをご覧ください。それはサーブレットコンテナだとしてTomcatを使用しますが、管理のためのより良いUIを追加します。

この記事では、WebSphereコミュニティさらには、サーブレットエンジンの面でのTomcat 5.5よりも違いはありません。私の意見では、この決定が必要なのではなく、「セキュリティホール」を認知全体的な特徴に基づいている必要があります。

いくつかの異なった調査では、Tomcatが大手銀行を含め、世界中の組織の60%以上で動作していることを確認しました。他の人が言ったように、Tomcatのセキュリティは問題ではありません。どのような「プレーン・バニラ」Tomcatが欠けていることは、多くの企業は、アクセス制御、診断、監視、アラートおよびプロビジョニングのために必要とコンソールとUIです。 MuleSoftから Tcatがサーバーをチェックしてください。それは100%のTomcat(ノーフォーク)ですが、Tomcatを実行するためのエンタープライズ機能を備えています。

私はTomcatを使用したことがない、とあなたが本当にあなたのセキュリティ要件が何であるかを定義していないとして、一方が他方よりも優れているかどうかと言うことはできません。セキュリティは、かなり大規模な獣ことや、さまざまなレベルを含むことができます。だから、あなたもセキュリティ機能が必要とされるものを決定することは、十分に定義された要件が必要になります。

私たちは、これまでの私たちのためにうまく機能してきた我々のアプリケーションへのセキュアなアクセスを提供するために、いくつかの他のIBM製品との統合のWebsphereを使用しています。あなたは、WebSEALとWebSphereに追加されたセキュリティのための製品のチボリラインを調べることができます。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top