Является ли открытая страница администрирования Apache Tomcat плохой идеей? Связаны ли с ним какие-либо другие риски безопасности, кроме возможности его перебора?
Я, конечно, думаю, что это плохая идея. В прошлом с ним было обнаружено несколько проблем с безопасностью. Я бы никогда не запустил его на производственном сервере.
В открытой системе вы хотите минимизировать поверхность атаки и уменьшить количество вещей, которые вам нужно отслеживать / исправлять для выявления известных уязвимостей. Это нарушает оба этих принципа.
Как заявил @TheFiddlerWins, это плохая идея с точки зрения безопасности. Чем меньше сервисов предоставляет, тем меньше возможностей для компрометации вашей системы.
Подумайте о множестве роботов, которые просто пытаются исследовать распространенные ошибки, часто возникающие на вашем сервере.
Я бы сделал только некоторые предостережения, например:
Мы все согласны здесь сказать, что чем меньше поверхности вы открываете, тем меньше вы уязвимы для атак.
Широко раскрывать страницу администратора любого типа - в основном плохая идея.
Достаточно раскрыть ваше приложение Tomcat, не нужно добавлять дополнительную поверхность атаки, открывающую страницу администратора Tomcat!
Атаки могут быть нескольких типов и не ограничиваться только грубой силой.
Вы можете подвергнуть себя другим типам, например:
Если вы действительно хотите открыть эту страницу, вы можете рассмотреть возможность реализации некоторого механизма безопасности, например: