Security Professionals - ipfw add deny all from eindgebruikers to any

Java tomcat veiligheid

06-09-2012, 17:06 door Kenny, 4 reacties
Goedendag mensen,

Ik ben op het moment bezig met een webapplicatie die op java draait. Daarbij maak ik gebruik van java tomcat.
Maar door alle comotie de laatste tijd vraag ik me af of het veilig is om dit te doen. (Natuurlijk is niets 100% dicht maar alsnog)

Groetjes,
Kenny
Reacties (4)
06-09-2012, 17:09 door SirDice
Door Kenny: Maar door alle comotie de laatste tijd vraag ik me af of het veilig is om dit te doen. (Natuurlijk is niets 100% dicht maar alsnog)
Die commotie gaat vooral over de Sun (nu Oracle) Java Runtime-Environment (aka client). Tomcat zit heel anders in elkaar. Geen garantie natuurlijk maar ik geloof niet dat het risico zo heel erg groot is als met een JRE.
06-09-2012, 17:50 door Bitwiper
Eens met SirDice.

Verreweg de meeste "Java kwetsbaarheden" hebben ermee te maken dat het sandboxmodel om untrusted code vanaf internet veilig binnen de webbrowser te kunnen uitvoeren defect is. De malware die je vandaag via telegraaf.nl geserveerd kreeg breekt uit die sandbox en kan dan net zoveel als een programma dat de gebruiker op de PC start.

Bij Java code uitgevoerd op de server (afkomstig van eigen schijf) hebben we het over trusted code (tenzij de programmeurs niet te vertrouwen zijn of je server is gecompromitteerd). Zie ook https://en.wikipedia.org/wiki/JavaServer_Pages, https://en.wikipedia.org/wiki/Java_Servlet en mijn reactie bovenaan http://www.security.nl/artikel/42973/1/%22Java_is_houdbaarheidsdatum_gepasseerd%22.html.

Overigens is een webapplicatie waarbij zowel Java code op de server als een applet op de client draait, best denkbaar (de applet kan dan bijv. met een servlet communiceren om bepaalde interactiviteit te bieden; zie bijv. http://stackoverflow.com/questions/6389947/java-applet-communicate-with-servlet-on-tomcat-server ). Als je zo'n model kiest voor doorsnee gebruikers (gamers?) loop je steeds meer kans dat gebruikers Java disabled hebben in hun webbrowser of geheel van hun systeem hebben gegooid.
06-09-2012, 18:04 door SirDice
Door Bitwiper: Overigens is een webapplicatie waarbij zowel Java code op de server als een applet op de client draait, best denkbaar (de applet kan dan bijv. met een servlet communiceren om bepaalde interactiviteit te bieden; zie bijv. http://stackoverflow.com/questions/6389947/java-applet-communicate-with-servlet-on-tomcat-server ). Als je zo'n model kiest voor doorsnee gebruikers (gamers?) loop je steeds meer kans dat gebruikers Java disabled hebben in hun webbrowser of geheel van hun systeem hebben gegooid.
Of, wat misschien nog veel erger is, ze updaten hun JRE niet en zijn dan vatbaar voor allerhande ellende, zoals dat Telegraaf debacle van vanochtend. Jouw server loopt dan misschien niet zoveel risico maar je zadelt je clients wel met een risico op.
06-09-2012, 18:09 door Kenny
Bedankt SirDice en Bitwiper!

Bruikbare informatie voor mij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.