Wie aus zwei anderen Fragen zu ersehen ist, habe ich nach einem sicheren Webserver gesucht, da dort bei der Arbeit diskutiert wurde, wie sicher Tom wirklich ist. Aber was ich im Internet gefunden habe, wie sicher es ist, ist für mich griechisch. Ich hatte gehofft, jemand könnte mir erklären, wie sicher Tom wirklich ist? Wie, ist es möglich, mit Java-Code auf dem Server oder etwas Ähnliches zu verwirren?
Ich weiß, das ist wahrscheinlich eine dumme Frage, aber ich kann wirklich keine Antwort finden, die mir hilft zu argumentieren, dass das Schreiben eines eigenen Servers nicht sicherer ist als die Verwendung von Tomcat oder wie es besser wäre, Tomcat zu verwenden.Vielleicht kennt jemand einen guten Weg, Tomcat zu sichern und bestimmte Funktionen von Tomcat zu minimieren? (Ich weiß wirklich nicht, wie ich es sonst erklären soll ...)
Ich hoffe, du kannst mir helfen. Thnx im Voraus!
... dg
vielleicht vorher, Tomcat war ziemlich unsicher, aber heutzutage ... ist alles, was Apache unter seinem Namen hat, genug für mich, um ihm zu vertrauen. Wie auch immer, Sicherheit war IMMER Vorstellungskraft, es gibt keine solche Sache im wirklichen Leben, also würde es immer einen Faktor der (Un) Sicherheit geben.
Das Problem mit Tomcat ist wie ein Problem mit Windows, egal wie "sicher" sie gebaut haben, wenn es Millionen von Leuten gibt, die es benutzen, werden Hacker Interesse haben, ihre Energie zu investieren (und schließlich werden sie Erfolg haben) Weg, um darin einzubrechen. Also, um sich sicherer zu fühlen, können Sie etwas nicht weit verbreitetes verwenden, aber das wird nicht helfen, wenn Hacker absichtlich Ihre Seite aus einem bestimmten Grund hackt, er wird die Technologie herausfinden, die Sie benutzen und in diesem Moment - es wäre besser es war Tomcat ..
Deshalb ist es sehr wichtig, mit Open-Source-Technologien wie Kater zu "heiraten", da es keine große Chance gibt, dass ein Loch im System lange lebt, Menschen die Chance haben, Dinge zu reparieren, Sie können immer den Job machen Sie müssen nicht auf eine neue Version warten.
Schreiben Sie Ihren eigenen Server? Im Gegensatz zur Verwendung von Tomcat? Das ist ein klassischer Fall, bei dem das Rad neu erfunden wird und (sofern Sie nicht die NSA sind) wahrscheinlich zu einem weniger sicheren Server führt. Rhetorische Frage: Warum schreibst du nicht dein eigenes Betriebssystem?
Tomcat 6 ist eine sehr ausgereifte, stabile, aktuelle, gut verständliche Codebasis, die zillionen von sehr, sehr intelligenten Leuten hat, die es überprüfen, testen und jahrelang in der Produktion betreiben.
Tomcat ist sehr sicher.
Aber alles in allem ist es eine wirklich schlechte Idee, einen eigenen Servlet-Container zu schreiben, besonders wenn Ihnen die Tomcat-Sicherheitsargumente nicht klar sind.
Wenn Sie Boss-überzeugende Argumente brauchen, zeigen Sie ihm die servvet-Spezifikation , die Sie implementieren müssen und schätzen Sie die Zeit in der Größenordnung von Mannjahren (kein Scherz!) und vergleichen Sie dies mit der Option "Herunterladen, Entpacken, Starten" von Tomcat.
Ich weiß, das ist wahrscheinlich dumm Frage, aber ich kann wirklich nicht scheinen finde eine Antwort, die mir hilft Argument, dass das Schreiben eines eigenen Servers ist nicht sicherer als mit Tomcat oder wie es könnte besser sein, Tomcat zu verwenden.
Was Sie sich merken müssen ist, dass Tomcat tausende Stunden lang Leute hat, die sich Code ansehen und Fehler und Lücken beheben. Über das Schreiben von sicherem Code nachzudenken ist einfach. Es ist extrem schwer. Es gibt viele kleine Dinge, die übersehen werden können, die zu einem massiven Loch beitragen können.
Tomcat ist ein sicherer Server. Es ist jedoch noch sicherer, Apache Web Server als Proxy zu verwenden. Sie können mod_proxy verwenden, um Apache mit Tomcat über das AJP- oder HTTP-Protokoll zu verbinden. Dies ist die sicherste Konfiguration und Sie können die vielen Plug-in-Module nutzen, die für Apache HTTP Server verfügbar sind.
Einige Tipps für eine sichere Installation:
Obwohl ich kein Hacker bin, kann ich mir schwer vorstellen, wie Tomcat Ihre erste Anlaufstelle sein würde, wenn Sie versuchen würden, ein System anzugreifen - schließlich läuft es Ihren Code und ist vermutlich hinter einer Firewall und Front Server. Wenn dies nicht der Fall ist, dann sollte es sein!
Sobald das Netzwerk so sicher wie möglich ist, erinnern Sie sich daran, dass Tomcat nur eine Servlet-Engine ist - Sie werden Probleme mit HTTP-Anfragen haben. Ich konzentriere mich auf Ihren Anwendungscode, auf Dinge wie die Benutzerauthentifizierung und die Vermeidung der verschiedenen Injektionsangriffe - dies stellt meines Erachtens das größte Risiko für Ihr System dar und besteht unabhängig von dem Server, auf dem Sie arbeiten.
Wie andere bereits erwähnt haben, ist Tomcat für den Produktionseinsatz bereit und die Sicherheit von Tomcat selbst ist sicherlich besser als das, was ein kleines Team beim Schreiben eines eigenen Servlet-Servers erreichen konnte.
Das heißt, der wahrscheinlich schwächste Punkt in einem Tomcat-Setup ist normalerweise das Setup des zugrunde liegenden Betriebssystems.