Bảo mật của Tomcat so với WebSphere so với WebLogic

Question

Công ty tôi làm việc để bán một ứng dụng J2EE chạy trên Tomcat, WebSphere hoặc WebLogic. Chúng tôi có một khách hàng đang cố gắng quyết định giữa Tomcat và WebSphere. Họ đang hướng tới WebSphere bởi vì họ lo ngại rằng Tomcat có nhiều lỗ hổng bảo mật hơn.

Sau khi tìm kiếm trên web, tôi không thể tìm thấy bất kỳ trang web hoặc nghiên cứu nào so sánh độ mạnh của các máy chủ ứng dụng J2EE chính từ quan điểm bảo mật.

Có thể nào bạn chỉ cho tôi thông tin so sánh lỗ hổng bảo mật máy chủ ứng dụng không?

Answer 1

Tôi muốn sử dụng tomcat trên WebSphere nếu có thể.

Tôi nghĩ rằng 99% bảo mật là cách bạn thiết lập tất cả.

Bạn cũng đang đánh giá các tác động bảo mật của Apache HTTP Server, IBM HTTP Server và IIS?

Bảo mật liên quan đến nhiều thứ hơn máy chủ ứng dụng mà bạn chọn để chạy ứng dụng web của mình.

Tomcat security report

Websphere security report (Bạn phải thâm nhập vào mỗi lần cập nhật để xem những gì đã được cố định)

Answer 2

Theo kinh nghiệm của tôi, WebSphere không thêm bất kỳ thứ gì không phải là thông số kỹ thuật (và do đó phần nào được hỗ trợ trên Tomcat). Vấn đề xảy ra khi cố gắng thực hiện một số thủ thuật bảo mật phức tạp hơn (xác thực quản trị viên bằng SecureID hoặc một cái gì đó) bạn cần đào sâu hơn. WebSphere cố gắng đặt nhiều hơn trong giao diện điều khiển giao diện người dùng.

Điều đó đang được nói, công ty của bạn nên xem xét thử nghiệm trên Glassfish. Nó sử dụng Tomcat như là thùng chứa servlet của nó, nhưng thêm một giao diện người dùng tốt hơn để quản lý.

Answer 3

Theo điều này article, cộng đồng WebSphere bổ sung không khác với Tomcat 5.5 về công cụ servlet. Theo tôi, quyết định này nên dựa trên các tính năng tổng thể cần thiết chứ không phải là "lỗ hổng bảo mật" được nhận thức.

Answer 4

Tôi không thể nói liệu cái nào tốt hơn cái kia vì tôi chưa bao giờ sử dụng Tomcat và bạn thực sự chưa xác định yêu cầu bảo mật của mình là gì. An ninh có thể là một con thú khá lớn và liên quan đến các cấp độ khác nhau. Vì vậy, bạn sẽ cần các yêu cầu được xác định rõ ràng để thậm chí xác định các tính năng bảo mật nào được yêu cầu.

Chúng tôi sử dụng Websphere tích hợp với một số sản phẩm khác của IBM để cung cấp quyền truy cập an toàn vào ứng dụng của chúng tôi, ứng dụng này đã hoạt động tốt cho chúng tôi cho đến nay. Bạn có thể tra cứu Webseal và dòng sản phẩm Tivoli để tăng cường bảo mật cho WebSphere.

Answer 5

Thật thú vị khi khách hàng của bạn đang "lo ngại rằng Tomcat có lỗ hổng bảo mật hơn." Tôi tự hỏi liệu họ có thể liệt kê những lỗ đó là gì không? Nếu họ không thể, đó là tin đồn và FUD.

Tôi sẽ nói rằng tất cả các máy chủ web/động cơ servlet đều gặp phải vấn đề tương tự. Đó là các ứng dụng được triển khai trên chúng đại diện cho các lỗ hổng bảo mật thực sự. Cross-site scripting, SQL injection, thiếu xác thực đầu vào, phơi nhiễm dữ liệu nhạy cảm do phân lớp kém và thực hành - đây là tất cả các vấn đề sẽ là vấn đề bất kể bạn chọn máy chủ ứng dụng nào.

Ý kiến ​​cá nhân của tôi là WebLogic là máy chủ ứng dụng Java EE tốt nhất trên thị trường.Tôi không có kinh nghiệm trực tiếp với WebSphere, nhưng những người mà tôi tôn trọng những người đã nói với tôi rằng đó là một chương trình kinh dị. Tôi chỉ sử dụng Tomcat để phát triển địa phương. Nó không bao giờ thất bại tôi, nhưng đó là kinh nghiệm sản xuất hầu như không. Tôi không có ý tưởng làm thế nào nó quy mô.

Tôi sẽ suy nghĩ kỹ về Máy chủ dm của Spring, dựa trên Tomcat, Spring và OSGi. Tôi có cảm giác rằng nó đại diện cho một hướng tương lai mà tất cả các đối thủ cạnh tranh của nó sẽ được tham gia.

Answer 6

Một số khảo sát khác nhau đã xác nhận rằng Tomcat đang chạy trên 60% các tổ chức trên toàn thế giới, bao gồm cả các ngân hàng lớn nhất. Như những người khác đã nói, bảo mật Tomcat không phải là vấn đề. Những gì Tomcat "Plain Vanilla" thiếu là giao diện điều khiển và giao diện người dùng mà nhiều doanh nghiệp yêu cầu kiểm soát truy cập, chẩn đoán, theo dõi, cảnh báo và cấp phép. Hãy xem Tcat server từ MuleSoft. Đó là Tomcat 100% (không có ngã ba), nhưng có khả năng của doanh nghiệp để chạy Tomcat.