Security Tomcat中协议和端口的不正确组合是安全问题吗?
我已经在Windows环境中为Tomcat 6.0.18启用了自签名证书。在Tomcat的conf文件夹中的server.xml中,HTTP端口配置为8080,HTTPS端口配置为8443。一切正常。也就是说,所有HTTP请求都被重定向到HTTPS 以下是端口8080的连接器设置Security Tomcat中协议和端口的不正确组合是安全问题吗?,security,tomcat,ssl,https,port,Security,Tomcat,Ssl,Https,Port,我已经在Windows环境中为Tomcat 6.0.18启用了自签名证书。在Tomcat的conf文件夹中的server.xml中,HTTP端口配置为8080,HTTPS端口配置为8443。一切正常。也就是说,所有HTTP请求都被重定向到HTTPS 以下是端口8080的连接器设置 <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" enableLookups="false"
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000" enableLookups="false"
redirectPort="8443" />
以下是端口8443的连接器设置
<Connector port="8443"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="c:\ssl\keystore"
keystorePass="<password>"
clientAuth="false"
sslProtocol="TLS" />
但是,当协议和端口的组合不正确时(http://localhost:8443
)在Internet Explorer中输入,它显示5个矩形
在Firefox中,它会显示一个问号字符,如下所示
在安全审计中,这对我来说是一个安全问题。这是安全问题吗?有没有人遇到过这样的问题?这是一个安全漏洞吗?有什么补救办法?在这方面的任何帮助都是非常感谢的
谢谢
Wap Rau您的服务器中有
SSLEnabled=“true”
、scheme=“https”
和secure=“true”
吗。xml的SSL
?令人惊讶的是,Tomcat6允许在您定义的安全连接器上进行不安全的连接。(根据文档,scheme
和secure
仅通知从Servlet中返回的isSecure()
和getScheme()
信息,但可能没有设置这些信息也会导致您看到的问题。)
假设您已正确设置了上述内容,我建议您编写一段代码,让INTERCEPTS接收请求并检查协议和端口,并在必要时向正确的协议/端口发送302重定向(因为您使用的是Tomcat,这将是一个响应。sendRedirect()
)
在本例中,JavaScript重定向(
location.replace()
)可能很吸引人,但请记住,您的响应正在被破坏,因此这里不允许这样做。(我之所以提到这一点,是因为在我意识到这一点之前,我几乎把它作为一种替代解决方案提出了!)如果这是一个安全问题,你就无能为力了。你不能改变IE和Firefox的行为。询问审稿人什么样的安全被破坏了。谢谢你的回复,史蒂夫。我已经用端口8443和8080的设置更新了我的问题,这些设置与您提到的相同。