Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security Audits mit Spring Security überleben
Search
Torsten Bøgh Köster
November 08, 2012
Programming
0
190
Security Audits mit Spring Security überleben
Torsten Bøgh Köster
November 08, 2012
Tweet
Share
More Decks by Torsten Bøgh Köster
See All by Torsten Bøgh Köster
🔪 How we cut our AWS costs in half
tboeghk
0
120
Shared Nothing Logging Infrastructure
tboeghk
0
79
Beyond Cloud: A road trip into AWS and back to bare metal
tboeghk
1
56
Shared Nothing Logging Infrastructure
tboeghk
0
1k
Kubernetes the ❤️ way
tboeghk
0
840
Beyond Cloud: A road trip into AWS and back to bare metal
tboeghk
0
74
Open-Source-Logging und -Monitoring (W-JAX 2017)
tboeghk
0
87
Beyond Cloud (W-JAX 2017)
tboeghk
0
110
Open Source Logging & Monitoring (code.talks 2017)
tboeghk
0
82
Other Decks in Programming
See All in Programming
大規模Reactアプリのリアーキテクチャ~8万行のTanStack Query移行の軌跡~
kj455
4
960
Hanami and htmx
bkuhlmann
0
210
Milestoner
bkuhlmann
1
410
educure_カリキュラム生操作マニュアル.pdf
linew_official
0
750
Anthropic Cookbook のおすすめレシピ
schroneko
7
920
Scalable Customer Journey Orchestration (CJO)
lewuathe
0
180
サイコロで理解する統計的仮説検定の考え方
tatamiya
4
920
VSCodeでのDatabricks開発もお勧めしたい/I would also recommend Databricks development with VSCode.
kazumain
0
250
スクラムガイドのスプリントレトロスペクティブを改めて読みかえしてみた / Re-reading the Sprint Retrospective Section in the Scrum Guide
mackey0225
3
410
HUIT新歓2024「競技プログラミング、やってみませんか?」
slephy2784
1
270
障害対応を起点としたもっといい開発と運用のサイクル作りのためにできること / Hatena Enginner Seminar #29
polamjag
0
110
見た目から始める生産性向上
ikumatadokoro
7
830
Featured
See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
37
2.5k
The Cost Of JavaScript in 2023
addyosmani
16
3.9k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
6
1.5k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
187
16k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
20
1.9k
Unsuck your backbone
ammeep
663
57k
Teambox: Starting and Learning
jrom
128
8.4k
KATA
mclloyd
15
12k
Building Your Own Lightsaber
phodgson
99
5.7k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
241
1.2M
The Pragmatic Product Professional
lauravandoore
25
5.8k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
125
32k
Transcript
Security-Audits mit Spring Security überleben Donnerstag, 8. November 12
Agenda ‣Spring Security Basics ‣Kleine Code-Conventions - große Sicherheit ‣Fachliche
Autorisierungsfunktionen ‣Domain Object Security ‣Security-Integrationstests Donnerstag, 8. November 12
@tboeghk ‣CTO bei der shopping24 internet group ‣Vorher Java-Software-Architekt bei
einer mittelgroßen Wald- und Wiesenversicherung ‣6 Jahre Einsatz von Acegi/Spring Security ‣Schlaflose Nächte: Single-Sign-On/Off mit CAS & Spring Security Donnerstag, 8. November 12
shopping24 internet group Donnerstag, 8. November 12
Spring Security in freier Wildbahn http://www.flickr.com/photos/joestiff/5820177677/sizes/o/in/photostream/ Donnerstag, 8. November 12
2 Webanwendungen im Audit http://www.flickr.com/photos/alancleaver/4122171512/sizes/l/in/photostream/ Donnerstag, 8. November 12
Spring Security Donnerstag, 8. November 12
Das „Swiss Army Knife“ Donnerstag, 8. November 12
Spring Security architektonisch belastbar http://www.flickr.com/photos/fennsen/5747535733/sizes/l/in/photostream/ Donnerstag, 8. November 12
3 Zutaten ‣Elementare Datentypen eliminieren ‣Fachliche Autorisierungsfunktionen schreiben ‣Services fachlich
absichern http://www.flickr.com/photos/fairtradefairy/3708326594/sizes/l/in/photostream/ Donnerstag, 8. November 12
Architekturtoast http://www.flickr.com/photos/steveperron/2649835754/sizes/l/in/photostream/ Donnerstag, 8. November 12
View (z.B. HTML/CSS/JSTL) Spring Security (ServletFilter) Spring @MVC @Controller Spring
Security Interceptor Services DAO DB -- 1 2 3 4 Donnerstag, 8. November 12
Die Software- Bibel (zumindest an der Uni Hamburg) Donnerstag, 8.
November 12
Alles ist ein Fachwert ... ‣Keine syntaktisch falschen Exemplare möglich
‣Zentrale Validitätsprüfung im fachlichen Model ‣Exceptions sichern illegale Konstruktion ab Donnerstag, 8. November 12
Eine Brücke in die Spring-Welt Donnerstag, 8. November 12
Parameter eingrenzen http://www.flickr.com/photos/justusfotos/7123749301/sizes/l/in/photostream/ Donnerstag, 8. November 12
Von der Konfigurationstapete ... http://www.flickr.com/photos/ups_and_downs_of_life/3241824929/sizes/l/in/photostream/ Donnerstag, 8. November 12
... zur schlanken Security- Konfiguration http://www.flickr.com/photos/36368926@N05/5485037470/sizes/l/in/photostream/ Donnerstag, 8. November 12
Wenn Rollen nicht mehr ausreichen Donnerstag, 8. November 12
Fachliche Security-Funktionen ... WebSecurityExpressionRoot YourCustomWebSecurityExpressionRoot Donnerstag, 8. November 12
... das Killerfeature. Donnerstag, 8. November 12
Fachliche Sicherung der Services ‣Eingehende Daten inhaltlich validieren ‣Ausgehende Daten
ebenfalls ‣Sauber vom Applikationscode getrennt Donnerstag, 8. November 12
Securitycode sauber getrennt Services DAO DB Spring Security Interceptor CustomWebSecurityExpression
Donnerstag, 8. November 12
Service: Ein- & Ausgabe prüfen http://www.flickr.com/photos/blende18/8044797312/sizes/l/in/pool-24959956@N00/ Donnerstag, 8. November 12
Angriff von außen ... http://www.flickr.com/photos/pixelens/4051402387/sizes/l/in/photostream/ Donnerstag, 8. November 12
... aber auch von Innen. http://www.flickr.com/photos/justanotherhuman/4642740176/sizes/l/in/photostream/ Donnerstag, 8. November 12
Jetzt kann er kommen ... der Audit. Oder? http://www.flickr.com/photos/kris91/2575853508/sizes/l/in/photostream/ Donnerstag,
8. November 12
Re-Audit. Continuous. http://www.flickr.com/photos/stellamarishh/8077058288/sizes/l/in/photostream/ Donnerstag, 8. November 12
spring-test-mvc ‣Integrationstests einer Spring-Webkonfiguration ohne Serverstart ‣Seit Version 1.0.0.M2 Unterstützung
für Spring Security ‣Trotzdem: Integrationstest des deployten Contextes nötig Donnerstag, 8. November 12
Measure Everything. http://codeascraft.etsy.com/2011/02/15/measure-anything-measure-everything/ Donnerstag, 8. November 12
Display Everything. Donnerstag, 8. November 12
Fragen? Anregungen? Twitter: @tboeghk Github: @tboeghk Mail:
[email protected]
www.s24.com developer.s24.com
Donnerstag, 8. November 12