Klingt gut, der Thread.

Also ich hab mal gehört, das Allaire JRun nen Bug hatte, bereits bei geringen Anzahlen von Nutzern die "Bude zu" zu machen. Ist aber schon seit längerem behoben.

Lastverteilung: Viele Servlet-Engines (die ja auch JSPs anbieten), erlauben das Verteilen auf mehrere Rechner, intern wird dann ne RMI-Connection zum Austausch der Session/App-Objekte genutzt. Siehe Tomcat, WebLogic.

Exploits: Es dürfen halt die SRC-Dateien der JSP nicht manipulierbar sein, wenn das Ding noch Systembefehle absetzt, sollte man wie in Perl vorher schauen, was dann wirklich passiert... Es darf auch nicht möglich sein, in das WebApp-Verzeichnis neue JSP-Dateien einzustellen, dann wäre die Hölle offen

Lastbetrieb: Naja, wenn ein Thread die Bude dicht macht und das keiner Verhindert, ist halt Feierabend. Es sei denn, man kann die Anzahl der zu bearbeitenden Anfragen am Web-Server begrenzen (wie bei FTP) oder vom Betriebssystem eine Quota für Threads setzen (UNIX/LINUX?)

DoS: In der Regel öffnet der Web-Server (der eine Servlet-Engine per Plug-In verpasst bekommt, wie IIS oder Apache oder eine fest installiert hat wie Tomcat) per Anfrage einen Thread. Da Java eine reentrante Sprache ist, gibts keine Probleme - es sei denn, man lockt halt (synchronized).

Buffer overflow: Einfache Rechnung: wir haben 64 MB Hauptspeicher *rotfl* mit 64 MB swap, kippen wir also 129 MB Müll ab, hat der garbage collector ein Problem... vermutlich aber auch schon eher

Was denkt der Rest so?

cu

Pösch