Seguridad de Tomcat frente a WebSphere frente a WebLogic

Question

La empresa para la que trabajo vende una aplicación J2EE que se ejecuta en Tomcat, WebSphere o WebLogic. Tenemos un cliente que está tratando de decidir entre Tomcat y WebSphere. Se inclinan por WebSphere porque les preocupa que Tomcat tenga más agujeros de seguridad.

Después de buscar en la web, no he podido encontrar ningún sitio o estudio que compare la solidez de los principales servidores de aplicaciones J2EE desde el punto de vista de la seguridad.

¿Alguno de ustedes puede indicarme información que compare los agujeros de seguridad del servidor de aplicaciones?

Answer 1

Yo diría que use tomcat sobre WebSphere si es posible.

Creo que el 99% de la seguridad es la forma de configurarlo todo.

¿También está evaluando las implicaciones de seguridad de Apache HTTP Server, IBM HTTP Server e IIS?

La seguridad implica mucho más que el servidor de aplicaciones que elija para ejecutar su aplicación web.

Tomcat security report

Websphere security report (Usted tiene que cavar en cada actualización para ver qué estaba fijado)

Answer 2

Según mi experiencia, WebSphere no agrega nada que no sea específico (y por lo tanto algo compatible con Tomcat). El problema surge cuando intentamos hacer trucos de seguridad más complejos (autenticación de administrador usando SecureID o algo así) que necesita profundizar mucho más. WebSphere intenta poner más de eso en la consola de la interfaz de usuario.

Dicho esto, su empresa debe considerar las pruebas en Glassfish. Utiliza Tomcat como contenedor de servlets, pero agrega una interfaz de usuario mucho mejor para la administración.

Answer 3

De acuerdo con este article, la adición de la comunidad WebSphere no es diferente de Tomcat 5.5 en términos del motor de servlet. En mi opinión, esta decisión debería basarse en las características generales necesarias en lugar de los "agujeros de seguridad" percibidos.

Answer 4

No puedo decir si uno es mejor que el otro ya que nunca he usado Tomcat, y realmente no ha definido cuáles son sus requisitos de seguridad. La seguridad puede ser una bestia bastante grande e involucrar niveles variables. Por lo tanto, necesitará requisitos bien definidos para determinar incluso qué características de seguridad se requieren.

Usamos Websphere integrado con varios otros productos de IBM para proporcionar un acceso seguro a nuestra aplicación, que hasta ahora nos ha funcionado bien. Puede buscar Webseal y la línea de productos de Tivoli para mayor seguridad en WebSphere.

Answer 5

Es interesante que su cliente está "preocupado de que Tomcat tiene más agujeros de seguridad." Me pregunto si podrían enumerar cuáles son esos agujeros. Si no pueden, son rumores y FUD.

Yo diría que todos los servidores web/servlets tienen los mismos problemas. Son las aplicaciones que se despliegan en ellas las que representan los verdaderos agujeros de seguridad. Scripts de sitios cruzados, inyección de SQL, falta de validación de entrada, exposición de datos confidenciales debido a malas capas y prácticas: estos son todos problemas que serán problemas independientemente del servidor de aplicaciones que elija.

Mi opinión personal es que WebLogic es el mejor servidor de aplicaciones Java EE del mercado.No tengo experiencia de primera mano con WebSphere, pero las personas que respeto me han dicho que es un espectáculo de terror. Solo utilicé Tomcat para el desarrollo local. Nunca me ha fallado, pero eso no es experiencia de producción. No tengo idea de cómo se escala.

Pensaré detenidamente sobre Spring's dm Server, basado en Tomcat, Spring y OSGi. Tengo la sensación de que representa una dirección futura que tomarán todos sus competidores.

Answer 6

Varias encuestas diferentes han confirmado que Tomcat se está ejecutando en más del 60% de las organizaciones en todo el mundo, incluidos los bancos más grandes. Como otros han dicho, la seguridad de Tomcat no es el problema. Lo que "Plain Vanilla" Tomcat no tiene es la consola y la interfaz de usuario que muchas empresas requieren para controles de acceso, diagnósticos, monitoreo, alertas y aprovisionamiento. Consulte Tcat server desde MuleSoft. Es 100% Tomcat (sin fork), pero tiene las capacidades empresariales para ejecutar Tomcat.