Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Security Audits mit Spring Security überleben
Search
Torsten Bøgh Köster
November 08, 2012
Programming
0
190
Security Audits mit Spring Security überleben
Torsten Bøgh Köster
November 08, 2012
Tweet
Share
More Decks by Torsten Bøgh Köster
See All by Torsten Bøgh Köster
🔪 How we cut our AWS costs in half
tboeghk
0
150
Shared Nothing Logging Infrastructure
tboeghk
0
100
Beyond Cloud: A road trip into AWS and back to bare metal
tboeghk
1
62
Shared Nothing Logging Infrastructure
tboeghk
0
1.2k
Kubernetes the ❤️ way
tboeghk
0
940
Beyond Cloud: A road trip into AWS and back to bare metal
tboeghk
0
79
Open-Source-Logging und -Monitoring (W-JAX 2017)
tboeghk
0
88
Beyond Cloud (W-JAX 2017)
tboeghk
0
130
Open Source Logging & Monitoring (code.talks 2017)
tboeghk
0
92
Other Decks in Programming
See All in Programming
ふかぼれ!CSSセレクターモジュール / Fukabore! CSS Selectors Module
petamoriken
0
150
最新TCAキャッチアップ
0si43
0
200
Amazon Bedrock Agentsを用いてアプリ開発してみた!
har1101
0
340
광고 소재 심사 과정에 AI를 도입하여 광고 서비스 생산성 향상시키기
kakao
PRO
0
170
Figma Dev Modeで変わる!Flutterの開発体験
watanave
0
150
レガシーシステムにどう立ち向かうか 複雑さと理想と現実/vs-legacy
suzukihoge
14
2.3k
みんなでプロポーザルを書いてみた
yuriko1211
0
280
TypeScript Graph でコードレビューの心理的障壁を乗り越える
ysk8hori
3
1.2k
見せてあげますよ、「本物のLaravel批判」ってやつを。
77web
7
7.8k
CSC509 Lecture 12
javiergs
PRO
0
160
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
0
100
Kaigi on Rails 2024 〜運営の裏側〜
krpk1900
1
240
Featured
See All Featured
4 Signs Your Business is Dying
shpigford
180
21k
Done Done
chrislema
181
16k
Facilitating Awesome Meetings
lara
50
6.1k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
The Cult of Friendly URLs
andyhume
78
6k
Building Adaptive Systems
keathley
38
2.3k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
Bash Introduction
62gerente
608
210k
The Cost Of JavaScript in 2023
addyosmani
45
6.8k
KATA
mclloyd
29
14k
10 Git Anti Patterns You Should be Aware of
lemiorhan
655
59k
Transcript
Security-Audits mit Spring Security überleben Donnerstag, 8. November 12
Agenda ‣Spring Security Basics ‣Kleine Code-Conventions - große Sicherheit ‣Fachliche
Autorisierungsfunktionen ‣Domain Object Security ‣Security-Integrationstests Donnerstag, 8. November 12
@tboeghk ‣CTO bei der shopping24 internet group ‣Vorher Java-Software-Architekt bei
einer mittelgroßen Wald- und Wiesenversicherung ‣6 Jahre Einsatz von Acegi/Spring Security ‣Schlaflose Nächte: Single-Sign-On/Off mit CAS & Spring Security Donnerstag, 8. November 12
shopping24 internet group Donnerstag, 8. November 12
Spring Security in freier Wildbahn http://www.flickr.com/photos/joestiff/5820177677/sizes/o/in/photostream/ Donnerstag, 8. November 12
2 Webanwendungen im Audit http://www.flickr.com/photos/alancleaver/4122171512/sizes/l/in/photostream/ Donnerstag, 8. November 12
Spring Security Donnerstag, 8. November 12
Das „Swiss Army Knife“ Donnerstag, 8. November 12
Spring Security architektonisch belastbar http://www.flickr.com/photos/fennsen/5747535733/sizes/l/in/photostream/ Donnerstag, 8. November 12
3 Zutaten ‣Elementare Datentypen eliminieren ‣Fachliche Autorisierungsfunktionen schreiben ‣Services fachlich
absichern http://www.flickr.com/photos/fairtradefairy/3708326594/sizes/l/in/photostream/ Donnerstag, 8. November 12
Architekturtoast http://www.flickr.com/photos/steveperron/2649835754/sizes/l/in/photostream/ Donnerstag, 8. November 12
View (z.B. HTML/CSS/JSTL) Spring Security (ServletFilter) Spring @MVC @Controller Spring
Security Interceptor Services DAO DB -- 1 2 3 4 Donnerstag, 8. November 12
Die Software- Bibel (zumindest an der Uni Hamburg) Donnerstag, 8.
November 12
Alles ist ein Fachwert ... ‣Keine syntaktisch falschen Exemplare möglich
‣Zentrale Validitätsprüfung im fachlichen Model ‣Exceptions sichern illegale Konstruktion ab Donnerstag, 8. November 12
Eine Brücke in die Spring-Welt Donnerstag, 8. November 12
Parameter eingrenzen http://www.flickr.com/photos/justusfotos/7123749301/sizes/l/in/photostream/ Donnerstag, 8. November 12
Von der Konfigurationstapete ... http://www.flickr.com/photos/ups_and_downs_of_life/3241824929/sizes/l/in/photostream/ Donnerstag, 8. November 12
... zur schlanken Security- Konfiguration http://www.flickr.com/photos/36368926@N05/5485037470/sizes/l/in/photostream/ Donnerstag, 8. November 12
Wenn Rollen nicht mehr ausreichen Donnerstag, 8. November 12
Fachliche Security-Funktionen ... WebSecurityExpressionRoot YourCustomWebSecurityExpressionRoot Donnerstag, 8. November 12
... das Killerfeature. Donnerstag, 8. November 12
Fachliche Sicherung der Services ‣Eingehende Daten inhaltlich validieren ‣Ausgehende Daten
ebenfalls ‣Sauber vom Applikationscode getrennt Donnerstag, 8. November 12
Securitycode sauber getrennt Services DAO DB Spring Security Interceptor CustomWebSecurityExpression
Donnerstag, 8. November 12
Service: Ein- & Ausgabe prüfen http://www.flickr.com/photos/blende18/8044797312/sizes/l/in/pool-24959956@N00/ Donnerstag, 8. November 12
Angriff von außen ... http://www.flickr.com/photos/pixelens/4051402387/sizes/l/in/photostream/ Donnerstag, 8. November 12
... aber auch von Innen. http://www.flickr.com/photos/justanotherhuman/4642740176/sizes/l/in/photostream/ Donnerstag, 8. November 12
Jetzt kann er kommen ... der Audit. Oder? http://www.flickr.com/photos/kris91/2575853508/sizes/l/in/photostream/ Donnerstag,
8. November 12
Re-Audit. Continuous. http://www.flickr.com/photos/stellamarishh/8077058288/sizes/l/in/photostream/ Donnerstag, 8. November 12
spring-test-mvc ‣Integrationstests einer Spring-Webkonfiguration ohne Serverstart ‣Seit Version 1.0.0.M2 Unterstützung
für Spring Security ‣Trotzdem: Integrationstest des deployten Contextes nötig Donnerstag, 8. November 12
Measure Everything. http://codeascraft.etsy.com/2011/02/15/measure-anything-measure-everything/ Donnerstag, 8. November 12
Display Everything. Donnerstag, 8. November 12
Fragen? Anregungen? Twitter: @tboeghk Github: @tboeghk Mail:
[email protected]
www.s24.com developer.s24.com
Donnerstag, 8. November 12