Czy wymagana jest konfiguracja ograniczająca bezpieczeństwo Tomcat?

Question

Aby przeprowadzić test konfiguracji protokołu SSL pod Tomcat, czy to wszystko jest obowiązkowe?

To poniżej linii pochodzi z website:

Aby to zrobić dla naszego testu, każdą aplikację, która została już z powodzeniem wdrożony w Tomcat i pierwsza do niego dostęp za pośrednictwem protokołu HTTP i HTTPS, aby sprawdzić, czy to działa dobrze. Jeśli tak, otwórz web.xml tej aplikacji i po prostu dodać ten fragment XML przed web-app kończy tj </web-app>:

<security-constraint> 
    <web-resource-collection> 
     <web-resource-name>securedapp</web-resource-name> 
     <url-pattern>/*</url-pattern> 
    </web-resource-collection> 
    <user-data-constraint> 
     <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint> 

Czy ta konfiguracja jest obowiązkowe do zrobienia wewnątrz pliku web.xml ??

Answer 1

Nie, to nie jest konieczne. Oznacza to, że Twoja aplikacja internetowa jest dostępna przez HTTPS (i niedostępna przez HTTP).

Jeśli pominiesz znacznik <transport-guarantee>CONFIDENTIAL</transport-guarantee> (lub cały <security-constraint>), twoja aplikacja będzie dostępna zarówno przez HTTP, jak i HTTPS. Jeśli Twój web.xml zawiera <transport-guarantee>CONFIDENTIAL</transport-guarantee> Tomcat automatycznie przekierowuje żądania do portu SSL, jeśli spróbujesz użyć protokołu HTTP.

Należy pamiętać, że domyślna konfiguracja Tomcat nie włącza złącza SSL, należy włączyć je ręcznie. Aby uzyskać szczegółowe informacje, sprawdź numer SSL Configuration HOW-TO.

Answer 2

Jeśli zaznaczysz bliżej The blog wyjaśnia dalej:

Każdy zasób w aplikacji mogą być dostępne tylko z HTTPS być to serwlety lub JSP. Termin CONFIDENTIAL jest terminem, który mówi serwerowi, aby aplikacja działała pod numerem SSL. Jeśli chcesz wyłączyć tryb SSL dla tej aplikacji, po prostu włącz, nie usuwaj fragmentu. Po prostu ustaw wartość jako NONE zamiast CONFIDENTIAL.