Достаточно ли защитить веб-приложение Java с правами пользователя, выполняющего процесс сервера приложений, или разумно также использовать SecurityManager с подходящим файлом политики?
Раньше я делал первое, а не второе, но некоторые клиенты хотели бы, чтобы мы также использовали SecurityManager, который явно давал бы разрешения каждому стороннему компоненту, чтобы убедиться, что там не скрывается какой-либо вредоносный код.
Я видел некоторые контейнеры сервлетов, такие как Resin, чтобы предложить не использовать SecurityManager. чтобы замедлить ход событий. есть идеи?