我工作的公司销售在Tomcat,WebSphere或WebLogic上运行的J2EE应用程序。我们有一个客户试图在Tomcat和WebSphere之间做出决定。他们倾向于WebSphere,因为他们担心Tomcat会有更多安全漏洞。
在网上搜索之后,从安全的角度来看,我一直无法找到任何比较主要J2EE应用服务器的健壮性的网站或研究。
您是否可以向我们提供比较应用服务器安全漏洞的信息?
答案 0 :(得分:4)
有趣的是,您的客户“担心Tomcat会有更多的安全漏洞。”我想知道他们是否可以列出这些洞是什么?如果他们不能,那就是道听途说和FUD。
我想说所有的web服务器/ servlet引擎都会遇到同样的问题。它是部署在它们上的应用程序,代表真正的安全漏洞。跨站点脚本,SQL注入,缺乏输入验证,由于分层和实践不当而导致的敏感数据泄露 - 这些都是应用程序问题,无论您选择哪个应用服务器,都会出现问题。
我个人认为WebLogic是市场上最好的Java EE应用服务器。我没有使用WebSphere的第一手经验,但我尊重的人告诉我这是一个恐怖节目。我只使用Tomcat进行本地开发。它永远不会让我失望,但这不是生产经验。我不知道它是如何扩展的。
我会仔细考虑Spring的dm Server,它基于Tomcat,Spring和OSGi。我觉得它代表了所有竞争对手将要采取的未来方向。
答案 1 :(得分:3)
我会说尽可能在WebSphere上使用tomcat。
我认为99%的安全性就是你如何设置它。
您是否还在评估Apache HTTP Server,IBM HTTP Server和IIS的安全隐患?
安全性不仅仅涉及您选择运行Web应用程序的应用程序服务器。
Websphere security report(您必须深入了解每个更新以了解修复的内容)
答案 2 :(得分:1)
根据我的经验,WebSphere不会添加任何非规范的东西(因此在Tomcat上有所支持)。当你尝试做一些更复杂的安全技巧(使用SecureID或其他东西的管理员身份验证)时,你需要深入挖掘问题。 WebSphere尝试在UI控制台中添加更多内容。
话虽如此,贵公司应该关注Glassfish的测试。它使用Tomcat作为它的servlet容器,但为管理添加了更好的UI。
答案 3 :(得分:1)
根据这个article,在servlet引擎方面,WebSphere社区的添加与Tomcat 5.5没有什么不同。在我看来,这个决定应该基于所需的整体功能,而不是感知“安全漏洞”。
答案 4 :(得分:1)
几项不同的调查已经证实,Tomcat在全球超过60%的组织中运营,包括最大的银行。正如其他人所说,Tomcat安全性不是问题。 Tomcat缺少的“普通香草”是许多企业用于访问控制,诊断,监控,警报和配置所需的控制台和UI。从MuleSoft查看Tcat server。它是100%Tomcat(没有fork),但具有运行Tomcat的企业功能。
答案 5 :(得分:0)
我不能说一个人是否比另一个好,因为我从未使用过Tomcat,你真的没有定义你的安全要求。安全可能是一个相当大的野兽,涉及不同的水平。因此,您需要明确定义的要求,以确定需要哪些安全功能。
我们使用与其他几个IBM产品集成的Websphere来提供对我们的应用程序的安全访问,这对我们来说至今仍然运作良好。您可以查找Webseal和Tivoli产品系列,以增加WebSphere的安全性。