Tomcat: Zabezpeceni /manager webaplikace

jan.navratil na ct.cz jan.navratil na ct.cz
Pátek Leden 16 13:49:03 CET 2004


Dobry den,

vezmu to ze sitarskeho hlediska ;) 

- pokud nebudete pouzivat https, pak je mozne Vas odposlouchavat (realm se 
da dekodovat.. ip adresa podvrhnout...), -> jsou v te aplikaci citliva 
data?... (odposlouchavat se da i na switchovane siti)
- pokud budete pouzivat https -> tady je to asi jasne... jen nevim jak s 
realmem, ale tusim ze uz ten pozadavek je sifrovany, takze tady bych byl 
klidny

navic pokud ten stroj bezi na rozumnem OS.. respektive s rozumnym 
firewallem, pak jde udelat vychytavka - ze pusti paket s danou ip a mac 
adresou na dany port - ostatni zahazuje.. ale predpokladam, ze ta aplikace 
bezi na www serveru, ktery by mel byt pristupny i jinym PC... Na druhou 
stranu i MAC adresu lze podvrhnout :D

osobne se prikladam k https

Honza

> 
> Vazeni kolegove,
> 
> mel bych takovou "fundamentalni" otazku: V Tomcatu (ver. 4.1.27) je
> standardne velice sikovna webaplikace "manager". Docela by se 
> mi hodila pro
> spravovani mych web aplikaci, ale se spravcem site jsem se 
> dostal do sporu
> ohledne jeji bezpecnosti.
> 
> Nakonfiguroval jsem si ji s direktivou <Valve
> className="org.apache.catalina.valves.RemoteAddrValve" 
> allow="X.X.X.X" />
> kde X.X.X.X je IP adresa meho PC (sit pouziva interni IP adresy). V
> server.xml je nadefinovan <Realm ... > element pro db, kde je 
> i patricny
> uzivatel. Neexistuje zadny pristup do teto db zvenku, bezi na 
> ciste internim
> stroji.
> 
> Tj. podle meho nejlepsiho vedomi a svedomi pouze ja z meho PC se mohu
> nalogovat do "manager" web aplikace a neco tam delat, vsichni ostatni
> odkudkoliv (i kdyby znali user jmeno a heslo) neuvidi nic jineho nez
> logovaci okynko.
> 
> Jenomze spravce tvrdi ze je to bezpecnostni hrozba a chce abych to
> odstranil.
> 
> Muze te me podporit (ci totalne znicit) nejakym vhodnym 
> argumentem ? Co se
> tyka zabezpeceni siti jsem ponekud nedovzdelan.
> 
> Diky taky za vhodna URL apod., precist si to muzu uz sam.
> 
>                   Mirek
> 
> 
> 



Další informace o konferenci Konference