Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Audits mit Spring Security überleben

Torsten Bøgh Köster
November 08, 2012
Programming
0
190

Security Audits mit Spring Security überleben

Torsten Bøgh Köster

November 08, 2012
Tweet

More Decks by Torsten Bøgh Köster

See All by Torsten Bøgh Köster
🔪 How we cut our AWS costs in half
tboeghk
0
120
Shared Nothing Logging Infrastructure
tboeghk
0
79
Beyond Cloud: A road trip into AWS and back to bare metal
tboeghk
1
56
Shared Nothing Logging Infrastructure
tboeghk
0
1k
Kubernetes the ❤️ way
tboeghk
0
840
Beyond Cloud: A road trip into AWS and back to bare metal
tboeghk
0
74
Open-Source-Logging und -Monitoring (W-JAX 2017)
tboeghk
0
87
Beyond Cloud (W-JAX 2017)
tboeghk
0
110
Open Source Logging & Monitoring (code.talks 2017)
tboeghk
0
82

Other Decks in Programming

See All in Programming
大規模Reactアプリのリアーキテクチャ~8万行のTanStack Query移行の軌跡~
kj455
4
960
Hanami and htmx
bkuhlmann
0
210
Milestoner
bkuhlmann
1
410
educure_カリキュラム生操作マニュアル.pdf
linew_official
0
750
Anthropic Cookbook のおすすめレシピ
schroneko
7
920
Scalable Customer Journey Orchestration (CJO)
lewuathe
0
180
サイコロで理解する統計的仮説検定の考え方
tatamiya
4
920
VSCodeでのDatabricks開発もお勧めしたい/I would also recommend Databricks development with VSCode.
kazumain
0
250
スクラムガイドのスプリントレトロスペクティブを改めて読みかえしてみた / Re-reading the Sprint Retrospective Section in the Scrum Guide
mackey0225
3
410
HUIT新歓2024「競技プログラミング、やってみませんか?」
slephy2784
1
270
障害対応を起点としたもっといい開発と運用のサイクル作りのためにできること / Hatena Enginner Seminar #29
polamjag
0
110
見た目から始める生産性向上
ikumatadokoro
7
830

Featured

See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
37
2.5k
The Cost Of JavaScript in 2023
addyosmani
16
3.9k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
6
1.5k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
187
16k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
20
1.9k
Unsuck your backbone
ammeep
663
57k
Teambox: Starting and Learning
jrom
128
8.4k
KATA
mclloyd
15
12k
Building Your Own Lightsaber
phodgson
99
5.7k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
241
1.2M
The Pragmatic Product Professional
lauravandoore
25
5.8k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
125
32k

Transcript

  1. Security-Audits mit Spring Security überleben Donnerstag, 8. November 12

  2. Agenda ‣Spring Security Basics ‣Kleine Code-Conventions - große Sicherheit ‣Fachliche

    Autorisierungsfunktionen ‣Domain Object Security ‣Security-Integrationstests Donnerstag, 8. November 12

  3. @tboeghk ‣CTO bei der shopping24 internet group ‣Vorher Java-Software-Architekt bei

    einer mittelgroßen Wald- und Wiesenversicherung ‣6 Jahre Einsatz von Acegi/Spring Security ‣Schlaflose Nächte: Single-Sign-On/Off mit CAS & Spring Security Donnerstag, 8. November 12

  4. shopping24 internet group Donnerstag, 8. November 12

  5. Spring Security in freier Wildbahn http://www.flickr.com/photos/joestiff/5820177677/sizes/o/in/photostream/ Donnerstag, 8. November 12

  6. 2 Webanwendungen im Audit http://www.flickr.com/photos/alancleaver/4122171512/sizes/l/in/photostream/ Donnerstag, 8. November 12

  7. Spring Security Donnerstag, 8. November 12

  8. Das „Swiss Army Knife“ Donnerstag, 8. November 12

  9. Spring Security architektonisch belastbar http://www.flickr.com/photos/fennsen/5747535733/sizes/l/in/photostream/ Donnerstag, 8. November 12

  10. 3 Zutaten ‣Elementare Datentypen eliminieren ‣Fachliche Autorisierungsfunktionen schreiben ‣Services fachlich

    absichern http://www.flickr.com/photos/fairtradefairy/3708326594/sizes/l/in/photostream/ Donnerstag, 8. November 12

  11. Architekturtoast http://www.flickr.com/photos/steveperron/2649835754/sizes/l/in/photostream/ Donnerstag, 8. November 12

  12. View (z.B. HTML/CSS/JSTL) Spring Security (ServletFilter) Spring @MVC @Controller Spring

    Security Interceptor Services DAO DB -- 1 2 3 4 Donnerstag, 8. November 12

  13. Die Software- Bibel (zumindest an der Uni Hamburg) Donnerstag, 8.

    November 12

  14. Alles ist ein Fachwert ... ‣Keine syntaktisch falschen Exemplare möglich

    ‣Zentrale Validitätsprüfung im fachlichen Model ‣Exceptions sichern illegale Konstruktion ab Donnerstag, 8. November 12

  15. Eine Brücke in die Spring-Welt Donnerstag, 8. November 12

  16. Parameter eingrenzen http://www.flickr.com/photos/justusfotos/7123749301/sizes/l/in/photostream/ Donnerstag, 8. November 12

  17. Von der Konfigurationstapete ... http://www.flickr.com/photos/ups_and_downs_of_life/3241824929/sizes/l/in/photostream/ Donnerstag, 8. November 12

  18. ... zur schlanken Security- Konfiguration http://www.flickr.com/photos/36368926@N05/5485037470/sizes/l/in/photostream/ Donnerstag, 8. November 12

  19. Wenn Rollen nicht mehr ausreichen Donnerstag, 8. November 12

  20. Fachliche Security-Funktionen ... WebSecurityExpressionRoot YourCustomWebSecurityExpressionRoot Donnerstag, 8. November 12

  21. ... das Killerfeature. Donnerstag, 8. November 12

  22. Fachliche Sicherung der Services ‣Eingehende Daten inhaltlich validieren ‣Ausgehende Daten

    ebenfalls ‣Sauber vom Applikationscode getrennt Donnerstag, 8. November 12

  23. Securitycode sauber getrennt Services DAO DB Spring Security Interceptor CustomWebSecurityExpression

    Donnerstag, 8. November 12

  24. Service: Ein- & Ausgabe prüfen http://www.flickr.com/photos/blende18/8044797312/sizes/l/in/pool-24959956@N00/ Donnerstag, 8. November 12

  25. Angriff von außen ... http://www.flickr.com/photos/pixelens/4051402387/sizes/l/in/photostream/ Donnerstag, 8. November 12

  26. ... aber auch von Innen. http://www.flickr.com/photos/justanotherhuman/4642740176/sizes/l/in/photostream/ Donnerstag, 8. November 12

  27. Jetzt kann er kommen ... der Audit. Oder? http://www.flickr.com/photos/kris91/2575853508/sizes/l/in/photostream/ Donnerstag,

    8. November 12

  28. Re-Audit. Continuous. http://www.flickr.com/photos/stellamarishh/8077058288/sizes/l/in/photostream/ Donnerstag, 8. November 12

  29. spring-test-mvc ‣Integrationstests einer Spring-Webkonfiguration ohne Serverstart ‣Seit Version 1.0.0.M2 Unterstützung

    für Spring Security ‣Trotzdem: Integrationstest des deployten Contextes nötig Donnerstag, 8. November 12

  30. Measure Everything. http://codeascraft.etsy.com/2011/02/15/measure-anything-measure-everything/ Donnerstag, 8. November 12

  31. Display Everything. Donnerstag, 8. November 12

  32. Fragen? Anregungen? Twitter: @tboeghk Github: @tboeghk Mail: [email protected] www.s24.com developer.s24.com

    Donnerstag, 8. November 12