Свойства системы SSL - Угроза безопасности?
Вопрос
Вероятно, это глупый вопрос, но насколько велика угроза безопасности при настройке конфигурации ssl моего веб-сервера (напримерпароль хранилища ключей) через System.setProperty...
Если бы я сделал что-то вроде:
System.setProperty("javax.net.keyStorePassword", "password");
- Может ли это вызвать проблемы с безопасностью?
- Есть ли способ защититься от этого риска, все еще устанавливая свойство?
- Как бы кто-то пошел на такой компромисс?
Примечание:Просто чтобы добавить немного больше конкретики, это веб-приложение, работающее на Tomcat 6 в Red Hat.
Решение
Насколько велик такой риск, зависит от среды, в которой выполняется ваш код, и от того, от кого вы пытаетесь защититься.Если злоумышленник имеет доступ к самой платформе или может каким-то образом внедрить код в вашу платформу, то настройка свойств таким образом - наименьшая из ваших проблем.
Пока ваша платформа защищена от злоумышленников, способных запускать произвольный код в вашей среде, вы должны быть в полной безопасности.