Комментарии 13
Я использовал Struts 2 для нескольких своих проектов и на работе и в принципе фреймворк оставил «довольно» теплые чувства. Есть альтернатива конечно в виде Spring MVC — но на мой взгляд более «толстая». Есть Play — но к нему у многих отношение весьма скептические к нему. Да и я почему-то к нему тоже несколько скептически настроен и не писал на нем ни одного проекта серьезнее hello world(возможно потому, что он отличается от Энтерпрайз фреймворков в моем понимании).
Какие еще альтернативы можете порекомендовать?
Какие еще альтернативы можете порекомендовать?
Часто используют JAX-RS или что-то подобное в сочетании со статическим фронтендом. При этом фронтенд часто пишут на JS (или компилируемых в него языках) и оформляют в виде отдельного проекта, в которм ни строчки кода на Java. Результатом сборки является набор статических файлов, которые заливают на CDN. Общение между фронендом и бекендом либо через ajax, либо по вебсоккетам. UI в привычном понимании в Java-проекте отсутствует: сервер просто предоставляет API.
Есть информация, с какой версии оно появилось? Есть ли смысл срочно обновляться с 2.1.x или 2.2.x?
Судя по китайскому источнику, там и 2.3.15 уязвима. Эта же 2.3.15 висит и для скачки как «Best available».
Ошибся веткой. Комментарий предназначался уважаемому eyeless_watcher.
Ошибся веткой. Комментарий предназначался уважаемому eyeless_watcher.
Я понимаю, что уязвима свежая ветка. Вопрос состоит в том, успели ли в той версии ognl, которая идет в комплекте с версиями нескольких лет давности добавить те возможности, которые вылились в эту уязвимость.
Протестировал локально — действительно, в 2.3.15 — еще дыра есть. В 2.3.15.1 — уже исправлено.
Уязвима ли первая ветка struts 1.x?
Я из приведенных выше ссылок этого не понял.
Я из приведенных выше ссылок этого не понял.
Говорят, нет. OGNL там не было, насколько я помню.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Struts2 is under attack или CVE-2013-2115