Propriedades do sistema SSL - risco de segurança?
Pergunta
Provavelmente é uma pergunta estúpida, mas quanto de um risco de segurança é definir minha configuração SSL do servidor da web (por exemplo, senha do keystore) via System.setProperty ...
Se eu fiz algo como:
System.setProperty("javax.net.keyStorePassword", "password");
- É provável que cause um problema de segurança?
- Existe uma maneira de proteger contra esse risco enquanto ainda define a propriedade?
- Como alguém comprometeria isso?
Nota: Apenas para adicionar um pouco mais de detalhes, este é um aplicativo da web em execução no Tomcat 6 em Red Hat.
Solução
Quanto de um risco isso é depende do ambiente em que seu código é executado e de quem você está tentando proteger. Se um invasor tiver acesso à própria plataforma ou de alguma forma, injetar código em sua plataforma, definir as propriedades dessa maneira é o menor de seus problemas.
Enquanto sua plataforma estiver segura contra os invasores capazes de executar o código arbitrário em seu ambiente, você deve estar bastante seguro.