Je travaille sur l'application Web j2ee et nous avons l'exigence suivante: il devrait être impossible d'installer un correctif d'application avec des classes arbitraires. À l'heure actuelle, les correctifs sont effectués en ajoutant manuellement des fichiers jar avec des correctifs ou même des classes individuelles au chemin de classe du serveur ou à l'application EAR. Nous ne pouvons pas non plus utiliser des bocaux signés, car il est impossible d'écraser les classes ultérieures. Pouvez-vous suggérer une solution pour ces exigences? Clarefication: l'exigence provient de la norme PCI PA-DSS.
Le procidure de correction actuel fonctionne comme suit: par exemple, un de nos jars est chargé depuis le classpath système. Pendant la procédure de patch standard, un jar supplémentaire est ajouté au classpath avant celui d'origine. En conséquence, toutes les classes existant dans les deux jars sont chargées à partir du nouveau, car les classes sont recherchées dans les pots en conséquence. Selon l'exigence, l'application doit valider que toutes les classes chargées proviennent d'une source digne de confiance, mais il est théoriquement possible au pirate d'écraser la classe d'application et d'ouvrir la porte dérobée.Vérification de l'intégrité du correctif
0
A
Répondre
0
Apparemment, vous ne faites pas confiance à vos administrateurs pour mettre à jour les fichiers dans un fichier .war/.ear éclaté. Eh bien, en fonction de votre serveur d'applications, vous pouvez désactiver le déploiement éclaté, définir des autorisations sur les dossiers «travail» ou «tmp» que le serveur d'applications utilise pour exploser votre application sur le disque. Ces permissions doivent être 'write' pour 'user' exécutant le serveur d'applications et 'read' pour l'utilisateur admin.
Questions connexes
- 1. Identification des fichiers pour un correctif/correctif
- 2. Correctif multiplateforme
- 3. Gestion du niveau de correctif de plusieurs systèmes Windows
- 4. Vérification de l'état du processus
- 5. Formulaire de correctif dans php
- 6. TortoiseHg Application d'un correctif
- 7. Comment appliquer un correctif
- 8. Vérification du tableau interactif ou du projecteur
- 9. Vérification du vainqueur dans TicTacToe?
- 10. Vérification du numéro de téléphone américain
- 11. Vérification du format de l'heure python
- 12. Batch: Vérification du nombre de paramètres
- 13. Vérification du verrouillage de fichier sans test
- 14. Correctif dynamique des bases de données
- 15. Vérification du contenu du nœud contre un ensemble de valeurs
- 16. Création d'un correctif avec TFS
- 17. TortoiseSVN: "Le correctif semble obsolète"
- 18. VIM recherche de motif dans le correctif
- 19. Détection des fonctionnalités du navigateur: vérification orthographique?
- 20. Vérification du codage XML UTF-8
- 21. Vérification du mode protégé d'Internet Explorer
- 22. Vérification du fichier est ouvert dans Delphi
- 23. Vérification du nombre positif ou négatif
- 24. Passwordplate-forme de vérification du mot de passe
- 25. Vérification de la validité du numéro de version avec Perl
- 26. Vérification du chargement du fichier flash avec javascript
- 27. WCF - vérification du client pour la disponibilité du service
- 28. Vérification du site et choix du style CSS?
- 29. wpf: vérification du nombre de composants à l'intérieur d'un Span?
- 30. Vérification de la langue du navigateur par PHP?
Vous devez préciser ce que vous entendez par "installer le correctif" et "classes arbitraires". La façon dont cela semble maintenant - empêcher quelqu'un qui a un accès complet à votre application déployée de remplacer (ou d'ajouter) certaines classes par d'autres versions - est pratiquement impossible. – ChssPly76
D'accord. Un exemple ou deux pour clarifier votre intention serait utile. –