Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Audits mit Spring Security überleben

A6bb61c55fa41db28e68cd476cb54ab9?s=47 Torsten Bøgh Köster
November 08, 2012
Programming
0
170

Security Audits mit Spring Security überleben

A6bb61c55fa41db28e68cd476cb54ab9?s=128

Torsten Bøgh Köster

November 08, 2012
Tweet

More Decks by Torsten Bøgh Köster

See All by Torsten Bøgh Köster
A6bb61c55fa41db28e68cd476cb54ab9?s=48 tboeghk
0
39
A6bb61c55fa41db28e68cd476cb54ab9?s=48 tboeghk
1
35
A6bb61c55fa41db28e68cd476cb54ab9?s=48 tboeghk
0
590
A6bb61c55fa41db28e68cd476cb54ab9?s=48 tboeghk
0
460
A6bb61c55fa41db28e68cd476cb54ab9?s=48 tboeghk
0
51
A6bb61c55fa41db28e68cd476cb54ab9?s=48 tboeghk
0
82
A6bb61c55fa41db28e68cd476cb54ab9?s=48 tboeghk
0
88
A6bb61c55fa41db28e68cd476cb54ab9?s=48 tboeghk
0
44
A6bb61c55fa41db28e68cd476cb54ab9?s=48 tboeghk
2
1.3k

Other Decks in Programming

See All in Programming
D8d2a64ab596942470b77d42c0c904db?s=48 ysakai
0
290
23e7f90fa36af44f13000c1229240984?s=48 uri
2
200
119659c28d16f22d01eb48a6f3ee1391?s=48 iwatatomoya
0
3.4k
Ad449f3f4e595ade283a30c4f66010be?s=48 seto_hi
0
4k
A1391fea7feb81a26c333c05f831dbf3?s=48 tosh2230
12
3.6k
Dee1ceb83e8c6afd83792ca7df9e9524?s=48 teshi04
5
2k
F74146bada61d15a5e652919815bd355?s=48 satoki
0
280
F21d69109b1c03921abf7d12f0fb6654?s=48 dscs
0
110
4c0c2a5a353b06c9d0238373872822bb?s=48 jason13f
1
4k
7867fe52a9be4257508a516d4df61578?s=48 tkmnzm
0
140
Ae7a5166a7b7776ffdd5676c2d6ab42f?s=48 aseiide
1
250
89d1ae72e8683e44c744f4cab8d99f39?s=48 brainpadpr
0
1.2k

Featured

See All Featured
1519587b1a0febb658c36c94f6272b0d?s=48 roundedbygravity
85
8.2k
C7393b7ba7ec9c8890dd77d209fbb3c9?s=48 maltzj
504
37k
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
224
48k
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
PRO
415
58k
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
498
130k
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
147
20k
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
260
24k
44b54d2ffcb7857004071cc6795dde11?s=48 cassininazir
350
20k
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
42
1.7k
A415db3ac9e9668acbc1fb36eead84ac?s=48 mthomps
45
2.5k
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
56
5.6k
C44e1f7e22c3f23cff7bc130871047ef?s=48 eileencodes
118
26k

Transcript

  1. Security-Audits mit Spring Security überleben Donnerstag, 8. November 12

  2. Agenda ‣Spring Security Basics ‣Kleine Code-Conventions - große Sicherheit ‣Fachliche

    Autorisierungsfunktionen ‣Domain Object Security ‣Security-Integrationstests Donnerstag, 8. November 12

  3. @tboeghk ‣CTO bei der shopping24 internet group ‣Vorher Java-Software-Architekt bei

    einer mittelgroßen Wald- und Wiesenversicherung ‣6 Jahre Einsatz von Acegi/Spring Security ‣Schlaflose Nächte: Single-Sign-On/Off mit CAS & Spring Security Donnerstag, 8. November 12

  4. shopping24 internet group Donnerstag, 8. November 12

  5. Spring Security in freier Wildbahn http://www.flickr.com/photos/joestiff/5820177677/sizes/o/in/photostream/ Donnerstag, 8. November 12

  6. 2 Webanwendungen im Audit http://www.flickr.com/photos/alancleaver/4122171512/sizes/l/in/photostream/ Donnerstag, 8. November 12

  7. Spring Security Donnerstag, 8. November 12

  8. Das „Swiss Army Knife“ Donnerstag, 8. November 12

  9. Spring Security architektonisch belastbar http://www.flickr.com/photos/fennsen/5747535733/sizes/l/in/photostream/ Donnerstag, 8. November 12

  10. 3 Zutaten ‣Elementare Datentypen eliminieren ‣Fachliche Autorisierungsfunktionen schreiben ‣Services fachlich

    absichern http://www.flickr.com/photos/fairtradefairy/3708326594/sizes/l/in/photostream/ Donnerstag, 8. November 12

  11. Architekturtoast http://www.flickr.com/photos/steveperron/2649835754/sizes/l/in/photostream/ Donnerstag, 8. November 12

  12. View (z.B. HTML/CSS/JSTL) Spring Security (ServletFilter) Spring @MVC @Controller Spring

    Security Interceptor Services DAO DB -- 1 2 3 4 Donnerstag, 8. November 12

  13. Die Software- Bibel (zumindest an der Uni Hamburg) Donnerstag, 8.

    November 12

  14. Alles ist ein Fachwert ... ‣Keine syntaktisch falschen Exemplare möglich

    ‣Zentrale Validitätsprüfung im fachlichen Model ‣Exceptions sichern illegale Konstruktion ab Donnerstag, 8. November 12

  15. Eine Brücke in die Spring-Welt Donnerstag, 8. November 12

  16. Parameter eingrenzen http://www.flickr.com/photos/justusfotos/7123749301/sizes/l/in/photostream/ Donnerstag, 8. November 12

  17. Von der Konfigurationstapete ... http://www.flickr.com/photos/ups_and_downs_of_life/3241824929/sizes/l/in/photostream/ Donnerstag, 8. November 12

  18. ... zur schlanken Security- Konfiguration http://www.flickr.com/photos/36368926@N05/5485037470/sizes/l/in/photostream/ Donnerstag, 8. November 12

  19. Wenn Rollen nicht mehr ausreichen Donnerstag, 8. November 12

  20. Fachliche Security-Funktionen ... WebSecurityExpressionRoot YourCustomWebSecurityExpressionRoot Donnerstag, 8. November 12

  21. ... das Killerfeature. Donnerstag, 8. November 12

  22. Fachliche Sicherung der Services ‣Eingehende Daten inhaltlich validieren ‣Ausgehende Daten

    ebenfalls ‣Sauber vom Applikationscode getrennt Donnerstag, 8. November 12

  23. Securitycode sauber getrennt Services DAO DB Spring Security Interceptor CustomWebSecurityExpression

    Donnerstag, 8. November 12

  24. Service: Ein- & Ausgabe prüfen http://www.flickr.com/photos/blende18/8044797312/sizes/l/in/pool-24959956@N00/ Donnerstag, 8. November 12

  25. Angriff von außen ... http://www.flickr.com/photos/pixelens/4051402387/sizes/l/in/photostream/ Donnerstag, 8. November 12

  26. ... aber auch von Innen. http://www.flickr.com/photos/justanotherhuman/4642740176/sizes/l/in/photostream/ Donnerstag, 8. November 12

  27. Jetzt kann er kommen ... der Audit. Oder? http://www.flickr.com/photos/kris91/2575853508/sizes/l/in/photostream/ Donnerstag,

    8. November 12

  28. Re-Audit. Continuous. http://www.flickr.com/photos/stellamarishh/8077058288/sizes/l/in/photostream/ Donnerstag, 8. November 12

  29. spring-test-mvc ‣Integrationstests einer Spring-Webkonfiguration ohne Serverstart ‣Seit Version 1.0.0.M2 Unterstützung

    für Spring Security ‣Trotzdem: Integrationstest des deployten Contextes nötig Donnerstag, 8. November 12

  30. Measure Everything. http://codeascraft.etsy.com/2011/02/15/measure-anything-measure-everything/ Donnerstag, 8. November 12

  31. Display Everything. Donnerstag, 8. November 12

  32. Fragen? Anregungen? Twitter: @tboeghk Github: @tboeghk Mail: torsten.koester@s24.com www.s24.com developer.s24.com

    Donnerstag, 8. November 12