O título deste post é uma frase antiga e que tem uma série de fundamentos. Servidores aplicacionais JAVA são utilizados em milhões de empresa por todo o mundo. São essenciais para o funcionamento de diversos sistemas e aplicações, e hoje, a frase: tem mais desenvolvedor JAVA do que grama no mercado está mais do que certa.

Nunca vi um desenvolvedor JAVA ou WEB, mesmo com baixo conhecimento técnico, desempregado. O mercado precisa e continuará precisando deste tipo de profissional. Acontece que a alta demanda gera alguns problemas como: despreparo, falta de conhecimento técnico e prática, e pior, total desconhecimento no desenvolvimento de aplicações de forma segura.

Vejam pela quantidade de vulnerabilidades, ataques e ferramentas que foram desenvolvidas e lançadas nesses últimos anos. Há profissionais de segurança especializados em analisar aplicações, sejam elas Web ou JAVA.

Os fabricantes de servidores aplicacionais JAVA nunca imaginaram que ganhariam tanto dinheiro como hoje. Eu desconheço uma grande empresa no Brasil que não possua instalado em seu datacenter um servidor aplicacional JAVA. Isso é raríssimo. Mas infelizmente, eu conheço diversas empresas que colocam estes servidores de cara para Internet.

O termo de cara para internet quer dizer que não há um servidor web ou balanceador de carga para tratar as requisições HTTP ou servir de Cache. Tudo é feito no próprio servidor aplicacional e aí está o erro. Vamos elencar alguns dos motivos ou erros:

  • Servidor aplicacional JAVA não foi desenvolvido para suportar milhares de requisições simultâneas HTTP, pois tem muita coisa que pode ficar em cache, principalmente quando falamos de conteúdo estático.
  • Ele não foi desenvolvido para servir de Cache, de repositório para imagens ou música, mas sim para suportar aplicações.
  • Servidores aplicacionais JAVA são vulneráveis a diversos tipos de ataques, isso porque é fácil desenvolver uma aplicação para explorar componentes que rodam neles e em contra-partida é difícil criar políticas de segurança para mitigar o acesso aos seus componentes
  • A implementação de patches de segurança é sempre um caso à parte. Há uma série de verificações e testes que deverão ser realizados antes da implementação de um novo patch, principalmente quando falamos no quesito compatibilidade com que já está rodando.

Eu particularmente já presenciei uma série de ataques bem sucedidos à servidores aplicacionais utilizando aplicações desenvolvidas por programadores não tão experientes. Eles sabem o ponto fraco destes produtos e sabem como explorá-los facilmente.

Por este motivo que eu não me espanto quando leio uma notícia dizendo que o site de tal empresa foi invadido e o mesmo utilizava um servidor aplicacional JAVA de cara para internet, como o que provavelmente ocorreu com a empresa NATO. O Tomcat deles foi simplesmente estuprado e uma série de informações foram divulgadas, tudo isso graças a um exploit privado – 0day. Nada de novo até aí.

Tomem cuidado com o mundo dos moraguinhos ou melhor, dos desenvolvedores. O mar de maionese deles pode levar você para um abismo.

Compartilhar:

Este post tem 3 comentários

  1. O termo correto é servidor DE APLICAÇÃO JAVA.

  2. Trabalho com isso há 15 anos e nunca ouvi falar: “o termo correto é servidor de aplicação JAVA”.. primeira vez.. .:)

  3. Pela internet da vida estes dois nomes são utilizados… então acredita-se que os dois nomes podem ser utilizados

Deixe uma resposta

Fechar Menu