Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security Audits mit Spring Security überleben
Search
Torsten Bøgh Köster
November 08, 2012
Programming
0
190
Security Audits mit Spring Security überleben
Torsten Bøgh Köster
November 08, 2012
Tweet
Share
More Decks by Torsten Bøgh Köster
See All by Torsten Bøgh Köster
Taking an abandoned Solr search from zero to GenAI hero
tboeghk
0
18
Oder mache ich es lieber selbst? Wie sich Kosten und Geopolitik auf Cloud-Betrieb auswirken
tboeghk
0
35
🔪 How we cut our AWS costs in half
tboeghk
0
270
Shared Nothing Logging Infrastructure
tboeghk
0
120
Beyond Cloud: A road trip into AWS and back to bare metal
tboeghk
1
100
Shared Nothing Logging Infrastructure
tboeghk
0
1.3k
Kubernetes the ❤️ way
tboeghk
0
1.1k
Beyond Cloud: A road trip into AWS and back to bare metal
tboeghk
0
100
Open-Source-Logging und -Monitoring (W-JAX 2017)
tboeghk
0
99
Other Decks in Programming
See All in Programming
Kiroで始めるAI-DLC
kaonash
2
610
奥深くて厄介な「改行」と仲良くなる20分
oguemon
1
550
@Environment(\.keyPath)那么好我不允许你们不知道! / atEnvironment keyPath is so good and you should know it!
lovee
0
120
🔨 小さなビルドシステムを作る
momeemt
4
690
基礎から学ぶ大画面対応(Learning Large-Screen Support from the Ground Up)
tomoya0x00
0
3k
複雑なフォームに立ち向かう Next.js の技術選定
macchiitaka
2
180
概念モデル→論理モデルで気をつけていること
sunnyone
2
280
Azure SRE Agentで運用は楽になるのか?
kkamegawa
0
2.4k
複雑なドメインに挑む.pdf
yukisakai1225
5
1.2k
AIでLINEスタンプを作ってみた
eycjur
1
230
パッケージ設計の黒魔術/Kyoto.go#63
lufia
3
440
時間軸から考えるTerraformを使う理由と留意点
fufuhu
16
4.8k
Featured
See All Featured
Statistics for Hackers
jakevdp
799
220k
Producing Creativity
orderedlist
PRO
347
40k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.6k
A designer walks into a library…
pauljervisheath
207
24k
Art, The Web, and Tiny UX
lynnandtonic
303
21k
Raft: Consensus for Rubyists
vanstee
140
7.1k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.6k
Optimising Largest Contentful Paint
csswizardry
37
3.4k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.9k
Become a Pro
speakerdeck
PRO
29
5.5k
Imperfection Machines: The Place of Print at Facebook
scottboms
268
13k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Transcript
Security-Audits mit Spring Security überleben Donnerstag, 8. November 12
Agenda ‣Spring Security Basics ‣Kleine Code-Conventions - große Sicherheit ‣Fachliche
Autorisierungsfunktionen ‣Domain Object Security ‣Security-Integrationstests Donnerstag, 8. November 12
@tboeghk ‣CTO bei der shopping24 internet group ‣Vorher Java-Software-Architekt bei
einer mittelgroßen Wald- und Wiesenversicherung ‣6 Jahre Einsatz von Acegi/Spring Security ‣Schlaflose Nächte: Single-Sign-On/Off mit CAS & Spring Security Donnerstag, 8. November 12
shopping24 internet group Donnerstag, 8. November 12
Spring Security in freier Wildbahn http://www.flickr.com/photos/joestiff/5820177677/sizes/o/in/photostream/ Donnerstag, 8. November 12
2 Webanwendungen im Audit http://www.flickr.com/photos/alancleaver/4122171512/sizes/l/in/photostream/ Donnerstag, 8. November 12
Spring Security Donnerstag, 8. November 12
Das „Swiss Army Knife“ Donnerstag, 8. November 12
Spring Security architektonisch belastbar http://www.flickr.com/photos/fennsen/5747535733/sizes/l/in/photostream/ Donnerstag, 8. November 12
3 Zutaten ‣Elementare Datentypen eliminieren ‣Fachliche Autorisierungsfunktionen schreiben ‣Services fachlich
absichern http://www.flickr.com/photos/fairtradefairy/3708326594/sizes/l/in/photostream/ Donnerstag, 8. November 12
Architekturtoast http://www.flickr.com/photos/steveperron/2649835754/sizes/l/in/photostream/ Donnerstag, 8. November 12
View (z.B. HTML/CSS/JSTL) Spring Security (ServletFilter) Spring @MVC @Controller Spring
Security Interceptor Services DAO DB -- 1 2 3 4 Donnerstag, 8. November 12
Die Software- Bibel (zumindest an der Uni Hamburg) Donnerstag, 8.
November 12
Alles ist ein Fachwert ... ‣Keine syntaktisch falschen Exemplare möglich
‣Zentrale Validitätsprüfung im fachlichen Model ‣Exceptions sichern illegale Konstruktion ab Donnerstag, 8. November 12
Eine Brücke in die Spring-Welt Donnerstag, 8. November 12
Parameter eingrenzen http://www.flickr.com/photos/justusfotos/7123749301/sizes/l/in/photostream/ Donnerstag, 8. November 12
Von der Konfigurationstapete ... http://www.flickr.com/photos/ups_and_downs_of_life/3241824929/sizes/l/in/photostream/ Donnerstag, 8. November 12
... zur schlanken Security- Konfiguration http://www.flickr.com/photos/36368926@N05/5485037470/sizes/l/in/photostream/ Donnerstag, 8. November 12
Wenn Rollen nicht mehr ausreichen Donnerstag, 8. November 12
Fachliche Security-Funktionen ... WebSecurityExpressionRoot YourCustomWebSecurityExpressionRoot Donnerstag, 8. November 12
... das Killerfeature. Donnerstag, 8. November 12
Fachliche Sicherung der Services ‣Eingehende Daten inhaltlich validieren ‣Ausgehende Daten
ebenfalls ‣Sauber vom Applikationscode getrennt Donnerstag, 8. November 12
Securitycode sauber getrennt Services DAO DB Spring Security Interceptor CustomWebSecurityExpression
Donnerstag, 8. November 12
Service: Ein- & Ausgabe prüfen http://www.flickr.com/photos/blende18/8044797312/sizes/l/in/pool-24959956@N00/ Donnerstag, 8. November 12
Angriff von außen ... http://www.flickr.com/photos/pixelens/4051402387/sizes/l/in/photostream/ Donnerstag, 8. November 12
... aber auch von Innen. http://www.flickr.com/photos/justanotherhuman/4642740176/sizes/l/in/photostream/ Donnerstag, 8. November 12
Jetzt kann er kommen ... der Audit. Oder? http://www.flickr.com/photos/kris91/2575853508/sizes/l/in/photostream/ Donnerstag,
8. November 12
Re-Audit. Continuous. http://www.flickr.com/photos/stellamarishh/8077058288/sizes/l/in/photostream/ Donnerstag, 8. November 12
spring-test-mvc ‣Integrationstests einer Spring-Webkonfiguration ohne Serverstart ‣Seit Version 1.0.0.M2 Unterstützung
für Spring Security ‣Trotzdem: Integrationstest des deployten Contextes nötig Donnerstag, 8. November 12
Measure Everything. http://codeascraft.etsy.com/2011/02/15/measure-anything-measure-everything/ Donnerstag, 8. November 12
Display Everything. Donnerstag, 8. November 12
Fragen? Anregungen? Twitter: @tboeghk Github: @tboeghk Mail:
[email protected]
www.s24.com developer.s24.com
Donnerstag, 8. November 12