насколько безопасный кот

Пишете собственный сервер? В отличие от использования Tomcat? Это классический случай изобретения колеса, который (если вы не являетесь сотрудником Агентства национальной безопасности) может привести к менее защищенному серверу. Риторический вопрос: почему бы не написать свою собственную ОС для работы с ней!

Tomcat 6 - это очень зрелая, стабильная, актуальная, хорошо изученная база кода, которую миллионы очень, очень умных людей просматривают, тестируют и используют в производственной среде в течение многих лет.

Tomcat очень безопасен. .

Как уже упоминалось другими, Tomcat готов к производственному использованию, и безопасность самого Tomcat, безусловно, лучше, чем то, что могла бы достичь любая небольшая команда при написании собственного сервера сервлетов.

Тем не менее, вероятно, самым слабым местом в установке Tomcat обычно является установка базовой ОС.

Хотя я не хакер, мне трудно представить, как Tomcat станет вашим первым портом захода, если вы пытаетесь атаковать систему - в конце концов, он запускает ваш код и предположительно находится за межсетевым экраном и фронтальными серверами. Если это не тот случай, то так и должно быть!

Как только сеть станет максимально безопасной, помните, что Tomcat - это просто механизм сервлетов - у вас возникнут проблемы с использованием HTTP-запросов. Я бы сосредоточился на коде вашего приложения, таких вещах, как аутентификация пользователя и предотвращение различных атак с использованием инъекций - это, на мой взгляд, самый высокий риск для вашей системы и будет существовать на любом сервере, на котором вы работаете.

Я знаю, что это наверное тупой вопрос, но я действительно не могу найти ответ, который поможет мне аргумент, что написание собственного сервера не более безопасно, чем использовать tomcat или как возможно, лучше использовать tomcat.

Вы должны помнить, что Tomcat имеет тысячи часов людей, которые просматривают код и исправляют ошибки и дыры. Думать о написании безопасного кода легко. Делать это очень сложно. Есть много мелочей, которые можно упустить из виду, которые могут способствовать образованию массивной дыры.

• Look at the changelog and count the security issues fixed;
• Look at the CVE entries for Tomcat and see how the seem to you.

But all in all, it's a really bad idea to write your own Servlet Container, especially if the Tomcat security arguments are not clear to you.

If you need boss-convincing arguments, show him the serlvet spec you need to implement, and estimate time in the order of man-years ( not kidding! ), contrasting this with the 'download,unzip,start' option of using Tomcat.

Tomcat - это защищенный сервер. Однако еще более безопасно использовать веб-сервер Apache для его прокси. Вы можете использовать mod_proxy для подключения Apache к Tomcat по протоколу AJP или HTTP. Это самая безопасная конфигурация, и вы можете использовать множество подключаемых модулей, доступных для Apache Http Server.

Некоторые советы по безопасной установке:

• Создайте пользователя для запуска Tomcat. Не используйте пользователя root.
• Удалите примеры приложений.
• Удалите приложение-менеджер. Если вы используете Apache для прокси-сервера Tomcat, вы можете безопасно сохранить диспетчер и сделать его доступным только через вашу локальную сеть.