Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Audits mit Spring Security überleben

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Torsten Bøgh Köster Torsten Bøgh Köster
November 08, 2012
Programming
0
190

Security Audits mit Spring Security überleben

Avatar for Torsten Bøgh Köster

Torsten Bøgh Köster

November 08, 2012
Tweet

More Decks by Torsten Bøgh Köster

See All by Torsten Bøgh Köster
LLMs im Griff: Observability, Tracing und Security
Avatar for Torsten Bøgh Köster tboeghk
0
12
Oder mache ich es lieber selbst? Wie sich Kosten und Geopolitik auf Cloud-Betrieb auswirken
Avatar for Torsten Bøgh Köster tboeghk
0
11
Taking an abandoned Solr search from zero to GenAI hero
Avatar for Torsten Bøgh Köster tboeghk
0
37
Oder mache ich es lieber selbst? Wie sich Kosten und Geopolitik auf Cloud-Betrieb auswirken
Avatar for Torsten Bøgh Köster tboeghk
0
42
🔪 How we cut our AWS costs in half
Avatar for Torsten Bøgh Köster tboeghk
0
330
Shared Nothing Logging Infrastructure
Avatar for Torsten Bøgh Köster tboeghk
0
120
Beyond Cloud: A road trip into AWS and back to bare metal
Avatar for Torsten Bøgh Köster tboeghk
1
110
Shared Nothing Logging Infrastructure
Avatar for Torsten Bøgh Köster tboeghk
0
1.4k
Kubernetes the ❤️ way
Avatar for Torsten Bøgh Köster tboeghk
0
1.1k

Other Decks in Programming

See All in Programming
CSC307 Lecture 03
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
1
490
AI巻き込み型コードレビューのススメ
Avatar for Nealle nealle
1
250
dchart: charts from deck markup
Avatar for Anthony Starks ajstarks
3
990
Amazon Bedrockを活用したRAGの品質管理パイプライン構築
Avatar for とすり tosuri13
4
690
そのAIレビュー、レビューしてますか? / Are you reviewing those AI reviews?
Avatar for r-kagaya rkaga
6
4.6k
開発者から情シスまで - 多様なユーザー層に届けるAPI提供戦略 / Postman API Night Okinawa 2026 Winter
Avatar for tasshi tasshi
0
200
20260127_試行錯誤の結晶を1冊に。著者が解説 先輩データサイエンティストからの指南書 / author's_commentary_ds_instructions_guide
Avatar for nash_efp nash_efp
1
970
CSC307 Lecture 06
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
680
AI前提で考えるiOSアプリのモダナイズ設計
Avatar for 野瀬田 裕樹 yuukiw00w
0
230
Apache Iceberg V3 and migration to V3
Avatar for Tomohiro Tanaka tomtanaka
0
160
OSSとなったswift-buildで Xcodeのビルドを差し替えられるため 自分でXcodeを直せる時代になっている ダイアモンド問題編
Avatar for yimajo yimajo
3
620
AIによる高速開発をどう制御するか? ガードレール設置で開発速度と品質を両立させたチームの事例
Avatar for tonkotsuboy_com tonkotsuboy_com
7
2.3k

Featured

See All Featured
Scaling GitHub
Avatar for Zach Holman holman
464
140k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.2k
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
140
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
38
3k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.4k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
61
Exploring the relationship between traditional SERPs and Gen AI search
Avatar for Ray Grieselhuber raygrieselhuber
PRO
2
3.6k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
210
24k
Abbi's Birthday
Avatar for Violet Bock coloredviolet
1
4.7k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
17k
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
160
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k

Transcript

  1. Security-Audits mit Spring Security überleben Donnerstag, 8. November 12

  2. Agenda ‣Spring Security Basics ‣Kleine Code-Conventions - große Sicherheit ‣Fachliche

    Autorisierungsfunktionen ‣Domain Object Security ‣Security-Integrationstests Donnerstag, 8. November 12

  3. @tboeghk ‣CTO bei der shopping24 internet group ‣Vorher Java-Software-Architekt bei

    einer mittelgroßen Wald- und Wiesenversicherung ‣6 Jahre Einsatz von Acegi/Spring Security ‣Schlaflose Nächte: Single-Sign-On/Off mit CAS & Spring Security Donnerstag, 8. November 12

  4. shopping24 internet group Donnerstag, 8. November 12

  5. Spring Security in freier Wildbahn http://www.flickr.com/photos/joestiff/5820177677/sizes/o/in/photostream/ Donnerstag, 8. November 12

  6. 2 Webanwendungen im Audit http://www.flickr.com/photos/alancleaver/4122171512/sizes/l/in/photostream/ Donnerstag, 8. November 12

  7. Spring Security Donnerstag, 8. November 12

  8. Das „Swiss Army Knife“ Donnerstag, 8. November 12

  9. Spring Security architektonisch belastbar http://www.flickr.com/photos/fennsen/5747535733/sizes/l/in/photostream/ Donnerstag, 8. November 12

  10. 3 Zutaten ‣Elementare Datentypen eliminieren ‣Fachliche Autorisierungsfunktionen schreiben ‣Services fachlich

    absichern http://www.flickr.com/photos/fairtradefairy/3708326594/sizes/l/in/photostream/ Donnerstag, 8. November 12

  11. Architekturtoast http://www.flickr.com/photos/steveperron/2649835754/sizes/l/in/photostream/ Donnerstag, 8. November 12

  12. View (z.B. HTML/CSS/JSTL) Spring Security (ServletFilter) Spring @MVC @Controller Spring

    Security Interceptor Services DAO DB -- 1 2 3 4 Donnerstag, 8. November 12

  13. Die Software- Bibel (zumindest an der Uni Hamburg) Donnerstag, 8.

    November 12

  14. Alles ist ein Fachwert ... ‣Keine syntaktisch falschen Exemplare möglich

    ‣Zentrale Validitätsprüfung im fachlichen Model ‣Exceptions sichern illegale Konstruktion ab Donnerstag, 8. November 12

  15. Eine Brücke in die Spring-Welt Donnerstag, 8. November 12

  16. Parameter eingrenzen http://www.flickr.com/photos/justusfotos/7123749301/sizes/l/in/photostream/ Donnerstag, 8. November 12

  17. Von der Konfigurationstapete ... http://www.flickr.com/photos/ups_and_downs_of_life/3241824929/sizes/l/in/photostream/ Donnerstag, 8. November 12

  18. ... zur schlanken Security- Konfiguration http://www.flickr.com/photos/36368926@N05/5485037470/sizes/l/in/photostream/ Donnerstag, 8. November 12

  19. Wenn Rollen nicht mehr ausreichen Donnerstag, 8. November 12

  20. Fachliche Security-Funktionen ... WebSecurityExpressionRoot YourCustomWebSecurityExpressionRoot Donnerstag, 8. November 12

  21. ... das Killerfeature. Donnerstag, 8. November 12

  22. Fachliche Sicherung der Services ‣Eingehende Daten inhaltlich validieren ‣Ausgehende Daten

    ebenfalls ‣Sauber vom Applikationscode getrennt Donnerstag, 8. November 12

  23. Securitycode sauber getrennt Services DAO DB Spring Security Interceptor CustomWebSecurityExpression

    Donnerstag, 8. November 12

  24. Service: Ein- & Ausgabe prüfen http://www.flickr.com/photos/blende18/8044797312/sizes/l/in/pool-24959956@N00/ Donnerstag, 8. November 12

  25. Angriff von außen ... http://www.flickr.com/photos/pixelens/4051402387/sizes/l/in/photostream/ Donnerstag, 8. November 12

  26. ... aber auch von Innen. http://www.flickr.com/photos/justanotherhuman/4642740176/sizes/l/in/photostream/ Donnerstag, 8. November 12

  27. Jetzt kann er kommen ... der Audit. Oder? http://www.flickr.com/photos/kris91/2575853508/sizes/l/in/photostream/ Donnerstag,

    8. November 12

  28. Re-Audit. Continuous. http://www.flickr.com/photos/stellamarishh/8077058288/sizes/l/in/photostream/ Donnerstag, 8. November 12

  29. spring-test-mvc ‣Integrationstests einer Spring-Webkonfiguration ohne Serverstart ‣Seit Version 1.0.0.M2 Unterstützung

    für Spring Security ‣Trotzdem: Integrationstest des deployten Contextes nötig Donnerstag, 8. November 12

  30. Measure Everything. http://codeascraft.etsy.com/2011/02/15/measure-anything-measure-everything/ Donnerstag, 8. November 12

  31. Display Everything. Donnerstag, 8. November 12

  32. Fragen? Anregungen? Twitter: @tboeghk Github: @tboeghk Mail: [email protected] www.s24.com developer.s24.com

    Donnerstag, 8. November 12