Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Audits mit Spring Security überleben

Avatar for Torsten Bøgh Köster Torsten Bøgh Köster
November 08, 2012
Programming
0
190

Security Audits mit Spring Security überleben

Avatar for Torsten Bøgh Köster

Torsten Bøgh Köster

November 08, 2012
Tweet

More Decks by Torsten Bøgh Köster

See All by Torsten Bøgh Köster
Taking an abandoned Solr search from zero to GenAI hero
Avatar for Torsten Bøgh Köster tboeghk
0
25
Oder mache ich es lieber selbst? Wie sich Kosten und Geopolitik auf Cloud-Betrieb auswirken
Avatar for Torsten Bøgh Köster tboeghk
0
35
🔪 How we cut our AWS costs in half
Avatar for Torsten Bøgh Köster tboeghk
0
290
Shared Nothing Logging Infrastructure
Avatar for Torsten Bøgh Köster tboeghk
0
120
Beyond Cloud: A road trip into AWS and back to bare metal
Avatar for Torsten Bøgh Köster tboeghk
1
100
Shared Nothing Logging Infrastructure
Avatar for Torsten Bøgh Köster tboeghk
0
1.3k
Kubernetes the ❤️ way
Avatar for Torsten Bøgh Köster tboeghk
0
1.1k
Beyond Cloud: A road trip into AWS and back to bare metal
Avatar for Torsten Bøgh Köster tboeghk
0
100
Open-Source-Logging und -Monitoring (W-JAX 2017)
Avatar for Torsten Bøgh Köster tboeghk
0
99

Other Decks in Programming

See All in Programming
When Dependencies Fail: Building Antifragile Applications in a Fragile World
Avatar for Selçuk Usta selcukusta
0
100
Claude CodeによるAI駆動開発の実践 〜そこから見えてきたこれからのプログラミング〜
Avatar for 入井 啓太 iriikeita
0
310
Introduce Hono CLI
Avatar for Yusuke Wada yusukebe
6
2.9k
Go言語はstack overflowの夢を見るか?
Avatar for Takuto Nagami logica0419
0
480
開発生産性を上げるための生成AI活用術
Avatar for starfish719 starfish719
3
1.4k
『毎日の移動』を支えるGoバックエンド内製開発
Avatar for yutautsugi yutautsugi
2
250
overlayPreferenceValue で実現する ピュア SwiftUI な AdMob ネイティブ広告
Avatar for Takashi uhucream
0
190
技術的負債の正体を知って向き合う
Avatar for irof irof
0
190
CSC509 Lecture 03
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
340
ALL CODE BASE ARE BELONG TO STUDY
Avatar for uzulla uzulla
25
6.4k
(Extension DC 2025) Actor境界を越える技術
Avatar for Himeshi teamhimeh
1
260
理論と実務のギャップを超える
Avatar for kmuto eycjur
0
150

Featured

See All Featured
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
161
23k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
657
61k
Visualization
Avatar for Eitan Lees eitanlees
149
16k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.6k
Code Review Best Practice
Avatar for Trisha Gee trishagee
72
19k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
369
20k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
9
910
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.9k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
6.9k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
5
690

Transcript

  1. Security-Audits mit Spring Security überleben Donnerstag, 8. November 12

  2. Agenda ‣Spring Security Basics ‣Kleine Code-Conventions - große Sicherheit ‣Fachliche

    Autorisierungsfunktionen ‣Domain Object Security ‣Security-Integrationstests Donnerstag, 8. November 12

  3. @tboeghk ‣CTO bei der shopping24 internet group ‣Vorher Java-Software-Architekt bei

    einer mittelgroßen Wald- und Wiesenversicherung ‣6 Jahre Einsatz von Acegi/Spring Security ‣Schlaflose Nächte: Single-Sign-On/Off mit CAS & Spring Security Donnerstag, 8. November 12

  4. shopping24 internet group Donnerstag, 8. November 12

  5. Spring Security in freier Wildbahn http://www.flickr.com/photos/joestiff/5820177677/sizes/o/in/photostream/ Donnerstag, 8. November 12

  6. 2 Webanwendungen im Audit http://www.flickr.com/photos/alancleaver/4122171512/sizes/l/in/photostream/ Donnerstag, 8. November 12

  7. Spring Security Donnerstag, 8. November 12

  8. Das „Swiss Army Knife“ Donnerstag, 8. November 12

  9. Spring Security architektonisch belastbar http://www.flickr.com/photos/fennsen/5747535733/sizes/l/in/photostream/ Donnerstag, 8. November 12

  10. 3 Zutaten ‣Elementare Datentypen eliminieren ‣Fachliche Autorisierungsfunktionen schreiben ‣Services fachlich

    absichern http://www.flickr.com/photos/fairtradefairy/3708326594/sizes/l/in/photostream/ Donnerstag, 8. November 12

  11. Architekturtoast http://www.flickr.com/photos/steveperron/2649835754/sizes/l/in/photostream/ Donnerstag, 8. November 12

  12. View (z.B. HTML/CSS/JSTL) Spring Security (ServletFilter) Spring @MVC @Controller Spring

    Security Interceptor Services DAO DB -- 1 2 3 4 Donnerstag, 8. November 12

  13. Die Software- Bibel (zumindest an der Uni Hamburg) Donnerstag, 8.

    November 12

  14. Alles ist ein Fachwert ... ‣Keine syntaktisch falschen Exemplare möglich

    ‣Zentrale Validitätsprüfung im fachlichen Model ‣Exceptions sichern illegale Konstruktion ab Donnerstag, 8. November 12

  15. Eine Brücke in die Spring-Welt Donnerstag, 8. November 12

  16. Parameter eingrenzen http://www.flickr.com/photos/justusfotos/7123749301/sizes/l/in/photostream/ Donnerstag, 8. November 12

  17. Von der Konfigurationstapete ... http://www.flickr.com/photos/ups_and_downs_of_life/3241824929/sizes/l/in/photostream/ Donnerstag, 8. November 12

  18. ... zur schlanken Security- Konfiguration http://www.flickr.com/photos/36368926@N05/5485037470/sizes/l/in/photostream/ Donnerstag, 8. November 12

  19. Wenn Rollen nicht mehr ausreichen Donnerstag, 8. November 12

  20. Fachliche Security-Funktionen ... WebSecurityExpressionRoot YourCustomWebSecurityExpressionRoot Donnerstag, 8. November 12

  21. ... das Killerfeature. Donnerstag, 8. November 12

  22. Fachliche Sicherung der Services ‣Eingehende Daten inhaltlich validieren ‣Ausgehende Daten

    ebenfalls ‣Sauber vom Applikationscode getrennt Donnerstag, 8. November 12

  23. Securitycode sauber getrennt Services DAO DB Spring Security Interceptor CustomWebSecurityExpression

    Donnerstag, 8. November 12

  24. Service: Ein- & Ausgabe prüfen http://www.flickr.com/photos/blende18/8044797312/sizes/l/in/pool-24959956@N00/ Donnerstag, 8. November 12

  25. Angriff von außen ... http://www.flickr.com/photos/pixelens/4051402387/sizes/l/in/photostream/ Donnerstag, 8. November 12

  26. ... aber auch von Innen. http://www.flickr.com/photos/justanotherhuman/4642740176/sizes/l/in/photostream/ Donnerstag, 8. November 12

  27. Jetzt kann er kommen ... der Audit. Oder? http://www.flickr.com/photos/kris91/2575853508/sizes/l/in/photostream/ Donnerstag,

    8. November 12

  28. Re-Audit. Continuous. http://www.flickr.com/photos/stellamarishh/8077058288/sizes/l/in/photostream/ Donnerstag, 8. November 12

  29. spring-test-mvc ‣Integrationstests einer Spring-Webkonfiguration ohne Serverstart ‣Seit Version 1.0.0.M2 Unterstützung

    für Spring Security ‣Trotzdem: Integrationstest des deployten Contextes nötig Donnerstag, 8. November 12

  30. Measure Everything. http://codeascraft.etsy.com/2011/02/15/measure-anything-measure-everything/ Donnerstag, 8. November 12

  31. Display Everything. Donnerstag, 8. November 12

  32. Fragen? Anregungen? Twitter: @tboeghk Github: @tboeghk Mail: [email protected] www.s24.com developer.s24.com

    Donnerstag, 8. November 12