Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Audits mit Spring Security überleben

Avatar for Torsten Bøgh Köster Torsten Bøgh Köster
November 08, 2012
Programming
0
190

Security Audits mit Spring Security überleben

Avatar for Torsten Bøgh Köster

Torsten Bøgh Köster

November 08, 2012
Tweet

More Decks by Torsten Bøgh Köster

See All by Torsten Bøgh Köster
LLMs im Griff: Observability, Tracing und Security
Avatar for Torsten Bøgh Köster tboeghk
0
12
Oder mache ich es lieber selbst? Wie sich Kosten und Geopolitik auf Cloud-Betrieb auswirken
Avatar for Torsten Bøgh Köster tboeghk
0
11
Taking an abandoned Solr search from zero to GenAI hero
Avatar for Torsten Bøgh Köster tboeghk
0
37
Oder mache ich es lieber selbst? Wie sich Kosten und Geopolitik auf Cloud-Betrieb auswirken
Avatar for Torsten Bøgh Köster tboeghk
0
42
🔪 How we cut our AWS costs in half
Avatar for Torsten Bøgh Köster tboeghk
0
330
Shared Nothing Logging Infrastructure
Avatar for Torsten Bøgh Köster tboeghk
0
120
Beyond Cloud: A road trip into AWS and back to bare metal
Avatar for Torsten Bøgh Köster tboeghk
1
110
Shared Nothing Logging Infrastructure
Avatar for Torsten Bøgh Köster tboeghk
0
1.4k
Kubernetes the ❤️ way
Avatar for Torsten Bøgh Köster tboeghk
0
1.1k

Other Decks in Programming

See All in Programming
並行開発のためのコードレビュー
Avatar for Miyuki miyukiw
0
170
LLM Observabilityによる 対話型音声AIアプリケーションの安定運用
Avatar for Hiroyuki Moriya gekko0114
2
430
OCaml 5でモダンな並列プログラミングを Enjoyしよう!
Avatar for Haochen Kotoi-Xie haochenx
0
140
Spinner 軸ズレ現象を調べたらレンダリング深淵に飲まれた #レバテックMeetup
Avatar for 弁護士ドットコム bengo4com
1
230
Fragmented Architectures
Avatar for Denys Poltorak denyspoltorak
0
160
なるべく楽してバックエンドに型をつけたい!(楽とは言ってない)
Avatar for HIBIKI CUBE hibiki_cube
0
140
Patterns of Patterns
Avatar for Denys Poltorak denyspoltorak
0
1.4k
2026年 エンジニアリング自己学習法
Avatar for yumechi(Motoki Hirao) yumechi
0
140
CSC307 Lecture 04
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
660
AIによるイベントストーミング図からのコード生成 / AI-powered code generation from Event Storming diagrams
Avatar for nrs nrslib
2
1.9k
登壇資料を作る時に意識していること #登壇資料_findy
Avatar for konifar konifar
4
1.2k
izumin5210のプロポーザルのネタ探し #tskaigi_msup
Avatar for izumin5210 izumin5210
1
130

Featured

See All Featured
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
Avatar for AKADEMIYA2063 akademiya2063
PRO
1
54
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.4k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.6k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.6k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
3k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
250
We Analyzed 250 Million AI Search Results: Here's What I Found
Avatar for Josh Blyskal joshbly
1
710
SEO for Brand Visibility & Recognition
Avatar for Aleyda Solis aleyda
0
4.2k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
890
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.3k
エンジニアに許された特別な時間の終わり
Avatar for watany watany
106
230k
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
93

Transcript

  1. Security-Audits mit Spring Security überleben Donnerstag, 8. November 12

  2. Agenda ‣Spring Security Basics ‣Kleine Code-Conventions - große Sicherheit ‣Fachliche

    Autorisierungsfunktionen ‣Domain Object Security ‣Security-Integrationstests Donnerstag, 8. November 12

  3. @tboeghk ‣CTO bei der shopping24 internet group ‣Vorher Java-Software-Architekt bei

    einer mittelgroßen Wald- und Wiesenversicherung ‣6 Jahre Einsatz von Acegi/Spring Security ‣Schlaflose Nächte: Single-Sign-On/Off mit CAS & Spring Security Donnerstag, 8. November 12

  4. shopping24 internet group Donnerstag, 8. November 12

  5. Spring Security in freier Wildbahn http://www.flickr.com/photos/joestiff/5820177677/sizes/o/in/photostream/ Donnerstag, 8. November 12

  6. 2 Webanwendungen im Audit http://www.flickr.com/photos/alancleaver/4122171512/sizes/l/in/photostream/ Donnerstag, 8. November 12

  7. Spring Security Donnerstag, 8. November 12

  8. Das „Swiss Army Knife“ Donnerstag, 8. November 12

  9. Spring Security architektonisch belastbar http://www.flickr.com/photos/fennsen/5747535733/sizes/l/in/photostream/ Donnerstag, 8. November 12

  10. 3 Zutaten ‣Elementare Datentypen eliminieren ‣Fachliche Autorisierungsfunktionen schreiben ‣Services fachlich

    absichern http://www.flickr.com/photos/fairtradefairy/3708326594/sizes/l/in/photostream/ Donnerstag, 8. November 12

  11. Architekturtoast http://www.flickr.com/photos/steveperron/2649835754/sizes/l/in/photostream/ Donnerstag, 8. November 12

  12. View (z.B. HTML/CSS/JSTL) Spring Security (ServletFilter) Spring @MVC @Controller Spring

    Security Interceptor Services DAO DB -- 1 2 3 4 Donnerstag, 8. November 12

  13. Die Software- Bibel (zumindest an der Uni Hamburg) Donnerstag, 8.

    November 12

  14. Alles ist ein Fachwert ... ‣Keine syntaktisch falschen Exemplare möglich

    ‣Zentrale Validitätsprüfung im fachlichen Model ‣Exceptions sichern illegale Konstruktion ab Donnerstag, 8. November 12

  15. Eine Brücke in die Spring-Welt Donnerstag, 8. November 12

  16. Parameter eingrenzen http://www.flickr.com/photos/justusfotos/7123749301/sizes/l/in/photostream/ Donnerstag, 8. November 12

  17. Von der Konfigurationstapete ... http://www.flickr.com/photos/ups_and_downs_of_life/3241824929/sizes/l/in/photostream/ Donnerstag, 8. November 12

  18. ... zur schlanken Security- Konfiguration http://www.flickr.com/photos/36368926@N05/5485037470/sizes/l/in/photostream/ Donnerstag, 8. November 12

  19. Wenn Rollen nicht mehr ausreichen Donnerstag, 8. November 12

  20. Fachliche Security-Funktionen ... WebSecurityExpressionRoot YourCustomWebSecurityExpressionRoot Donnerstag, 8. November 12

  21. ... das Killerfeature. Donnerstag, 8. November 12

  22. Fachliche Sicherung der Services ‣Eingehende Daten inhaltlich validieren ‣Ausgehende Daten

    ebenfalls ‣Sauber vom Applikationscode getrennt Donnerstag, 8. November 12

  23. Securitycode sauber getrennt Services DAO DB Spring Security Interceptor CustomWebSecurityExpression

    Donnerstag, 8. November 12

  24. Service: Ein- & Ausgabe prüfen http://www.flickr.com/photos/blende18/8044797312/sizes/l/in/pool-24959956@N00/ Donnerstag, 8. November 12

  25. Angriff von außen ... http://www.flickr.com/photos/pixelens/4051402387/sizes/l/in/photostream/ Donnerstag, 8. November 12

  26. ... aber auch von Innen. http://www.flickr.com/photos/justanotherhuman/4642740176/sizes/l/in/photostream/ Donnerstag, 8. November 12

  27. Jetzt kann er kommen ... der Audit. Oder? http://www.flickr.com/photos/kris91/2575853508/sizes/l/in/photostream/ Donnerstag,

    8. November 12

  28. Re-Audit. Continuous. http://www.flickr.com/photos/stellamarishh/8077058288/sizes/l/in/photostream/ Donnerstag, 8. November 12

  29. spring-test-mvc ‣Integrationstests einer Spring-Webkonfiguration ohne Serverstart ‣Seit Version 1.0.0.M2 Unterstützung

    für Spring Security ‣Trotzdem: Integrationstest des deployten Contextes nötig Donnerstag, 8. November 12

  30. Measure Everything. http://codeascraft.etsy.com/2011/02/15/measure-anything-measure-everything/ Donnerstag, 8. November 12

  31. Display Everything. Donnerstag, 8. November 12

  32. Fragen? Anregungen? Twitter: @tboeghk Github: @tboeghk Mail: [email protected] www.s24.com developer.s24.com

    Donnerstag, 8. November 12