वेबस्पेयर बनाम वेबस्पेयर बनाम टोमकैट की सुरक्षा

Question

जिस कंपनी के लिए मैं काम करता हूं वह एक जे 2 ईई एप्लीकेशन बेचता है जो टॉमकैट, वेबस्पियर या वेबलॉगिक पर चलता है। हमारे पास एक ग्राहक है जो टॉमकैट और वेबस्पियर के बीच निर्णय लेने का प्रयास कर रहा है। वे वेबस्पेयर की ओर झुका रहे हैं क्योंकि वे चिंतित हैं कि टोमकैट में अधिक सुरक्षा छेद हैं।

वेब पर चारों ओर खोज करने के बाद, मैं किसी भी साइट या अध्ययन को खोजने में असमर्थ रहा हूं जो सुरक्षा दृष्टिकोण से प्रमुख जे 2 ईई अनुप्रयोग सर्वर की मजबूती की तुलना करता है।

क्या आप में से कोई भी मुझे ऐप सर्वर सुरक्षा छेद की तुलना में जानकारी के लिए इंगित कर सकता है?

Answer 1

मैं कह सकता हूं कि यदि संभव हो तो वेबस्पेयर पर टॉमकैट का उपयोग करें।

मुझे लगता है कि 99% सुरक्षा यह है कि आप इसे कैसे सेट अप करते हैं।

क्या आप अपाचे HTTP सर्वर, आईबीएम HTTP सर्वर, और आईआईएस के सुरक्षा प्रभावों का भी मूल्यांकन कर रहे हैं?

सुरक्षा में आपके वेबपैप को चलाने के लिए आप जिस एप्लिकेशन सर्वर का चयन करते हैं उससे कहीं अधिक सुरक्षा शामिल है।

Tomcat security report

Websphere security report

Answer 2

मेरे अनुभव में, वेबस्पेयर कुछ भी नहीं जोड़ रहा है जो कल्पना नहीं है (और इस प्रकार कुछ हद तक टॉमकैट पर समर्थित है)। समस्या तब आती है जब कुछ और जटिल सुरक्षा चाल (सिक्योरिड या कुछ का उपयोग करके व्यवस्थापक प्रमाणीकरण) करने की कोशिश करते हैं, तो आपको बहुत गहराई से खोदने की आवश्यकता होती है। वेबस्पेयर यूआई कंसोल में इसे और अधिक रखने की कोशिश करता है।

कहा जा रहा है कि, आपकी कंपनी को ग्लासफ़िश पर परीक्षण देखना चाहिए। यह टोमकैट का उपयोग सर्वलेट कंटेनर के रूप में करता है, लेकिन प्रबंधन के लिए एक बेहतर यूआई जोड़ता है।

Answer 3

इस article के अनुसार, वेबस्पेयर समुदाय जोड़ सर्वलेट इंजन के मामले में टॉमकैट 5.5 से अलग नहीं है। मेरी राय में, यह निर्णय "सुरक्षा छेद" के बजाय आवश्यक समग्र सुविधाओं पर आधारित होना चाहिए।

Answer 4

मैं यह नहीं कह सकता कि कोई दूसरे से बेहतर है या नहीं, क्योंकि मैंने कभी टोमकैट का उपयोग नहीं किया है, और आपने वास्तव में परिभाषित नहीं किया है कि आपकी सुरक्षा आवश्यकताएं क्या हैं। सुरक्षा एक बड़ा जानवर हो सकता है और इसमें विभिन्न स्तर शामिल हो सकते हैं। तो आपको यह निर्धारित करने के लिए अच्छी तरह से परिभाषित आवश्यकताओं की आवश्यकता होगी कि सुरक्षा सुविधाओं की क्या आवश्यकता है।

हम कई अन्य आईबीएम उत्पादों के साथ एकीकृत वेबस्पेयर का उपयोग करते हैं ताकि हमारे आवेदन में सुरक्षित पहुंच प्रदान की जा सके, जो अब तक हमारे लिए अच्छा काम कर रहा है। आप वेबस्पेयर में अतिरिक्त सुरक्षा के लिए उत्पादों की वेबसील और टिवोली लाइन देख सकते हैं।

Answer 5

यह दिलचस्प अपने ग्राहक है कि (आप प्रत्येक अद्यतन में खुदाई करने के लिए देखने के लिए क्या तय किया गया था है) "का सवाल है कि बिलाव और अधिक सुरक्षा छेद है।" मुझे आश्चर्य है कि क्या वे सूचीबद्ध हो सकते हैं कि उन छेद क्या हैं? यदि वे नहीं कर सकते हैं, तो यह सुनवाई और एफयूडी है।

मैं कहूंगा कि सभी वेब सर्वर/सर्वलेट इंजन एक ही मुद्दे से ग्रस्त हैं। यह उन अनुप्रयोगों पर तैनात है जो वास्तविक सुरक्षा छेद का प्रतिनिधित्व करते हैं। क्रॉस-साइट स्क्रिप्टिंग, एसक्यूएल इंजेक्शन, इनपुट सत्यापन की कमी, खराब परतों और प्रथाओं के कारण संवेदनशील डेटा का जोखिम - ये सभी एप्लिकेशन समस्याएं हैं जो आपके द्वारा चुने गए ऐप सर्वर के बावजूद समस्याएं होंगी।

मेरी व्यक्तिगत राय यह है कि वेबलॉगिक बाजार पर सबसे अच्छा जावा ईई ऐप सर्वर है।मेरे पास वेबस्पेयर के साथ पहला हाथ अनुभव नहीं है, लेकिन जिन लोगों का मैं सम्मान करता हूं, जिन्होंने मुझे बताया है कि यह एक डरावनी शो है। मैंने स्थानीय विकास के लिए केवल टोमकैट का उपयोग किया है। यह मुझे कभी विफल नहीं हुआ है, लेकिन यह शायद ही कभी उत्पादन का अनुभव है। मुझे नहीं पता कि यह कैसे स्केल करता है।

मैं टॉमकैट, स्प्रिंग और ओएसजीआई के आधार पर वसंत के डीएम सर्वर के बारे में सावधानी से सोचता हूं। मुझे एहसास है कि यह भविष्य की दिशा का प्रतिनिधित्व करता है कि उसके सभी प्रतियोगियों को ले जाया जाएगा।

Answer 6

कई अलग-अलग सर्वेक्षणों ने पुष्टि की है कि दुनिया भर में 60% से अधिक संगठनों में टॉमकैट चल रहा है, जिसमें सबसे बड़े बैंक शामिल हैं। जैसा कि अन्य ने कहा है, टोमकैट सुरक्षा मुद्दा नहीं है। क्या "सादा वेनिला" टोमकैट की कमी कंसोल और यूआई है जो कई उद्यमों को अभिगम नियंत्रण, निदान, निगरानी, ​​अलर्ट और प्रावधान के लिए आवश्यक है। MuleSoft से Tcat server देखें। यह 100% टोमकैट (कोई कांटा नहीं है), लेकिन टॉमकैट चलाने के लिए एंटरप्राइज़ क्षमताएं हैं।