Are Java Web Applications Secure?

Interessante artigo publicado no TheServerrSide que trata da vulnerabilidade das aplicações java.

Funcionalidades oferecidas pelos frameworks web:

Não me surpreendo com este resultado, pois acredito que o motivo pelo qual estes frameworks não possuem features de segurança, é porque eles não tem o objetivo de fazer isto. Na minha opinião um bom MVC Framework, não deve oferecer estas funcionalidades mesmo. Ele deve fornecer uma APIi fácil de integrar com frameworks de segurança, como é o caso do HDIV, citado no artigo.

Compartilho a mesma opinião. Se é framework web, não tem que ficar todo inchado fornecendo features que a maioria das pessoas nem sabem para que e como funcionam. Um bom exemplo de framework web enxugado, é o SpringMVC. Ele não é tão inchado de features como os frameworks que existem por aí e ainda oferece um bom suporte para integração com o Acegi para a parte de segurança.

http://www.acegisecurity.org/