Comparacion de la Seguridad de Java y .NET


Los estudiantes, Nathanael Paul y David Evans, de la Universidad de Virginia, han publicado un informe que compara la seguridad entre la Java VM y .NET CR:

Comparing Java and .NET Security: Lessons Learned and Missed [PDF 137 KiB]

El documento empieza mostrando un gráfico sobre reportes de vulnerabilidades del Java VM y el .NET CR. Pero dada la definición de vulnerabilidad usada por los autores todos los problemas del .NET CR quedan inhabilitados, mostrando únicamente las más de 40 vulnerabilidades conocidas del Java VM. Después los autores dan una apreciación global de ambas plataformas y cómo éstas trabajan con respecto a la seguridad. Finalmente profundizan en cada sección cubriendo cosas como la seguridad de código a bajo nivel, definición de políticas, su asociación con el código (permisos, atributos y “bootstrapping”), así como su cumplimiento. A lo largo del estudio los autores se apoyan en los principios de diseño para la seguridad de Saltzer & Shroeder.

El documento concluye señalando que en varias áreas .NET tiene ventajas de seguridad sobre Java debido a que .NET se benefició de la experiencia con Java. Por lo cual .NET incorporó desde su diseño inicial mayor seguridad ahí donde Java evolucionó de una plataforma con seguridad limitada, y cuyo código legado permanece todavía por cuestiones de compatibilidad. Finalmente señala que a pesar que el diseño de .NET no es perfecto, proporciona evidencia que los diseñadores de sistemas pueden aprender de las vulnerabilidades de seguridad del pasado para desarrollar sistemas más seguros.

Seguridad Java contra .NET

Del otro lado de la moneda existe desde hace tiempo una serie de cuatro artículos, menos académicos que el reciente estudio, que Denis Piliptchouk escribió en O’Reilly’s OnJava comparando la Seguridad en .NET contra Java:

  1. Security Configuration and Code Containment
  2. Cryptography and Communication
  3. Code Protection and CAS
  4. Authentication and User Access Security

Al final Piliptchouk concluye:

En conjunto, tanto .NET como Java ganaron con marcas bastante altas en la comparación de seguridad, lo que no debe ser demasiado sorprendente considerado la larga historia de Java en las empresas y la cantidad de esfuerzo que Microsoft está poniendo en hacer a .NET la plataforma “premier” de desarrollo para Windows. Tradicionalmente (y .NET no es la excepción), los productos de Microsoft han sido los mejores en ambiente homogéneos, de redes “todos Windows”, mientras que la plataforma empresarial Java se desempeña bastante bien en ambientes heterogéneos. Si nosotros consideramos una red enteramente Microsoft, esto permite la integración del sistema y la utilización de las características de seguridad de .NET a su potencial más alto. En caso de un ambiente mixto, las características de seguridad “independiente de la plataforma” de Java pueden ser más útiles que aquéllas de .NET…

Acerca de Willy Mejia

Developer, Techie, Human... http://about.me/willyxoft
Esta entrada fue publicada en .NET, Java, Seguridad. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s