Security
保護tomcat數據庫連接的有效方法
我們的客戶在 Tomcat 伺服器上的 server.xml 或 context.xml 文件中的純文字數據庫資訊存在問題。我看過幾個像OWASP這樣的網站,似乎沒有明顯的解決方案。我還看到過類似這個 wordpress 部落格的內容,它描述了實現自定義 Tomcat 擴展來執行此操作。必須已經存在一些標準實現,而不必自己動手。有沒有人有這種解決方案的經驗?
密碼目前以明文形式儲存在配置文件中。另一種方法(通常用於 DES 加密的 SSL 私鑰)是使用對稱算法來加密敏感數據。
這並不比僅將密碼以明文形式儲存在 .xml 文件中**更安全。**該服務將配置加密密鑰的加密密鑰(除非您每次服務啟動時都需要有人在鍵盤上輸入密碼),攻擊者可以使用該密鑰獲取加密數據。這提供了一層隱蔽性,但不是一層安全性。