AJP est-il suffisamment sécurisé?

Question

Nous devons héberger une application java richfaces/hibernate dans notre service d'hébergement. Comme une exigence de notre département de sécurité, nous ne pouvons pas faire de connexion de cette application à nos bases de données internes. Une solution suggérée était de créer un service web interne, mais changer toute la couche de la base de données est difficile. Je veux utiliser AJP à la place. Est-ce assez sécurisé? En demandant cela, je veux dire que l'apache httpd servira https et en enveloppant AJP pour aller dans nos serveurs internes, que la chaîne soit surveillée (texte en clair)? Je ne trouve pas la documentation du protocole lui-même.

Answer 1

AJP est un remplacement direct de HTTP entre un serveur Web frontal et un serveur d'applications principal. En tant que tel, il n'est pas plus ou moins sécurisé que HTTP. Si vous choisissez AJP, vous le choisissez uniquement pour des raisons de performance, rien d'autre. Si vous le considérez pour d'autres raisons, vous devez repenser vos exigences.

Answer 2

Assez sécurisé pour quoi faire? Le suivi en clair sur le net? Assez sécurisé qu'un lecteur SO moyen ne peut pas l'intercepter et le lire? Ou la NSA?

La sécurité est un compromis, et vous devez déterminer le type d'attaques que vous essayez de repousser, et le niveau d'effort que vous allez mettre. Je sais que cela ne répond pas à votre question, mais Je ne crois pas que la question peut répondre sans y penser.