Zabezpieczenia w Java EE 7

Zabezpieczenia w Java EE 7
Złoty Lew
Złoty Lew
0

Witam, mam pewne dość specyfincze pytanie(a). Chodzi mi o zabezpieczenie aplikacji Java EE (uwierzytelnianie i autoryzacja). Java oferuje uwierzytelnienia różnych typów (Basic, Digest, Form Based). Basic i Digest przesyłają hasła jawnie więc chyba całkowicie odpadają, czy Form Based jest w znaczący sposób lepsze? Nazwa użytkownika i hasła przesyłana jest poprzez metodę POST HTTP więc skanując sieć można chyba takie dane przechwycić bez problemu. Wiem, że można wszystko robić przez HTTPS (trzeba wykupić certyfikat, tak?) i wtedy dane są szyfrowane. A jak jest to robione w większość aplikacji/stron które z https nie korzystają? Czy zawsze te dane przesyłane są jawnie i dopiero, gdy dotrą do serwera hasło jest szyfrowane i składowane w bazie (w przypadku rejestracji)? Jakby ktoś mógł mi to trochę rozjaśnić to byłoby super : P. Ewentualnie jakiś artykuł jak to jest robione we współczesny aplikacjach czy normalnych stronach internetowych. Pozdrawiam

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
margor90
M9
margor90
M9
  • Rejestracja:prawie 10 lat
  • Ostatnio:prawie 6 lat
1

Form i basic authentication są tak samo niebezpieczne jak uzywasz HTTP: mozna podluchac hasla snifferem (plain text). Potrzbujesz HTTPS. Mozesz uzywac certyfikatu podpisanego przez siebie, bedzie dzialal, ale musisz zaakceptowac wyjatek.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Złoty Lew
Złoty Lew
0

I wtedy używać Form? Mam rozumieć że na każdej stronie internetowej / aplikacji na której logujemy się przez zwykły HTTP, dane można dosyć łatwo wyciągnąć (np. skanując ruch w sieci lokalnej)? Jeśli tak to wydaje się, iż HTTPS to mus, chociaż nie na każdej stronie występuje. To jeszcze pytanie odnośnie składowania haseł. Zazwyczaj są one przetrzymywane w bazie jako hash (np MD5). Ale to hashowanie wykonywane jest po stronie serwera więc "admin" może je sobie podejrzeć przed tym procesem tak? Zaleta z tego taka że jak ktoś włamie się do bazy to nie dostanie haseł "na tacy". Dobrze rozumiem?

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
scibi92
S9
scibi92
S9
  • Rejestracja:ponad 10 lat
  • Ostatnio:5 miesięcy
  • Lokalizacja:Warszawa
  • Postów:3573
0

Dlaczego JEE a nie Spring framework?

"w haśle <młody dynamiczny zespół> nie chodzi o to ile masz lat tylko jak często zmienia się skład"
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Złoty Lew
Złoty Lew
0

Dopiero zaczynam nauke aplikacji webowych więc wydawało mi się, że warto zacząć od Javy EE.

  1. Czy w springu łatwiej zrealizować autoryzację i uwierzytelnienie?
  2. Chciałbym również wrócić do wcześniejszego pytania. Tzn jak to jest z tym przesyłaniem loginu/hasła we współczesnych aplikacjach/stronach internetowych. Czy zawsze (w HTTP) one są przesyłane tekstem jawnym (lub łatwe do odkodowania)? Jakie są standardy jeśli nie stosuje się HTTPS ?
    Pozdrawiam.
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Marszal
MA
Marszal
MA
  • Rejestracja:ponad 12 lat
  • Ostatnio:około 3 lata
  • Postów:166
0

Ad 1. Na początku łatwiej jest skorzystać ze Spring Security niż z autoryzacji i uwierzytelniania w Javie EE. Warto nadmienić że Java EE 8 przyniesie coś co się nazywa "Java EE Security API 1.0", standard, który znacząco ułatwia konfigurację zabezpieczeń naszej aplikacji.
Ad 2. Istnieją sposoby na takie przesyłanie hasła protokołem HTTP (bez HTTPS) tak, aby nikt nie był w stanie tego hasła przechwycić, jednak wykorzystanie HTTPS upraszcza sprawę.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Złoty Lew
Złoty Lew
0

Dzięki za odpowiedź.

  1. I rzeczywiście te metody są stosowane, czy jednak w większość aplikacji/ stron internetowych wszystko jest przesyłane jawnie?
  2. Czyli zastosowanie uwierzytelnienia Form w Javie EE oraz HTTPS jest wystarczające jeśli chodzi o bezpieczeństwo?
    Przejrzę jeszcze tego Springa, chociaz gdzieś przeczytałem że jeśli ogarnie się Java EE to ze springiem potem łatwo i na odwrót.
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
scibi92
S9
scibi92
S9
  • Rejestracja:ponad 10 lat
  • Ostatnio:5 miesięcy
  • Lokalizacja:Warszawa
  • Postów:3573
0

Spring ogólnie jest dużo sensowniejszy niż "czysta" JEE
A jeśli się dopiero uczysz to według mnie nie ma co się skupiać na tych zagadnieniach typu HTTP czy HTTPS (warto oczywiście wiedzieć co to ale nie przejmować sie przy programowaniu)
Do takich tematów bierze się raczej "starszych" developerów a jak za bardzo będziesz chciał się na tym skupić stracisz dużo czasu :P
Wystarczy na początek żebyś wiedział o kodowaniu hasła rolach zabezpieczeniu na tej podstawie URLi a reszta później

"w haśle <młody dynamiczny zespół> nie chodzi o to ile masz lat tylko jak często zmienia się skład"
edytowany 1x, ostatnio: scibi92
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Złoty Lew
Złoty Lew
0

No właśnie ale jakim kodowaniu hasła : P? Bo każdy pisze użyj HTTPS... to masz na mysli przez kodowanie? Uczę się tak, ale chciałbym to robić wykonując jakiś prosty projekcik w którym właśnie jest to logowanie. Zawsze lepiej robi się rzeczy, które się "podobają" : D Więc chciałbym wiedzieć trochę więcej o tym.,. Większa część tutoriali opisuje tylko poszeczgólne metody (BASIC, DIGEST, FORM) dodając na końcu że nie są one zbyt bezpieczne, dlatego mam trochę mętlik w głowie.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
scibi92
S9
scibi92
S9
  • Rejestracja:ponad 10 lat
  • Ostatnio:5 miesięcy
  • Lokalizacja:Warszawa
  • Postów:3573
0
"w haśle <młody dynamiczny zespół> nie chodzi o to ile masz lat tylko jak często zmienia się skład"
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
margor90
M9
margor90
M9
  • Rejestracja:prawie 10 lat
  • Ostatnio:prawie 6 lat
0

Funkcje skrótu są w Apache Commons Encodings nie trzeba do tego Spring Security w podstawowych wersjach w JDK. Istotne, aby pamiętać o zasoleniu hasła.

edytowany 1x, ostatnio: margor90
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Złoty Lew
Złoty Lew
0

Ok to dzięki za wszystkie odpowiedzi. Tylko jeszcze jedna prośba, skoro polecacie Springa na początek to można prosić o jakiś aktualny tutorial? Java EE wybrałem też właśnie z tego względu że mają dość szczegółowy i aktualny (ee 7) opis wszystkiego. Na stronie Spring'a znalazłem tylko kilkanaście przykładów z użyciem Spring Boot (btw, warto z tego korzystać?). Istnieje jakaś stronka bądź książka, gdzie znajdę jakiś aktualny tutorial?

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
margor90
M9
margor90
M9
  • Rejestracja:prawie 10 lat
  • Ostatnio:prawie 6 lat
0

Osobiście preferuje JEE nad Springiem, więc to subiektywne. Używaj co się bardziej podoba / z czym prościej wystartować. EE 8 będzie jeszcze prostsze. BTW. Możesz używać Spring Security razem z JEE, ale do nauki nie potrzebujesz takich kombajnów. Dla nauki najlepiej zrób sobie prosty filtr do logowania: poznasz lepiej API servletow i zrozumiesz jak dzialaja frameworki typu Shiro czy Spring Security.

edytowany 1x, ostatnio: margor90
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
scibi92
S9
scibi92
S9
  • Rejestracja:ponad 10 lat
  • Ostatnio:5 miesięcy
  • Lokalizacja:Warszawa
  • Postów:3573
0

Na stronie Spring'a znalazłem tylko kilkanaście przykładów z użyciem Spring Boot (btw, warto z tego korzystać?). Istnieje jakaś stronka bądź książka, gdzie znajdę jakiś aktualny tutorial?

WUT?
http://docs.spring.io/spring/docs/current/spring-framework-reference/htmlsingle/

A JEE teraz goni za Springiem nie odwrotnie, w 2017 będzie Spring 5 który przebije JEE, spring jest znacznie potężniejszy od JEE,możesz używać różnych jego komponentów nie tylko w Webie

"w haśle <młody dynamiczny zespół> nie chodzi o to ile masz lat tylko jak często zmienia się skład"
M9
Nie umniejszam Springowi, ale CDI też potrafi działać poza serwerem aplikacyjnym i ma podobne rozszerzenia jak spring data (deltaspike). Springa wybrałbym do Javy SE bo jest lepiej przetestowany w tym środowisku.
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Zloty lew
Zloty lew
0

O kurde, tego tam nie znalazłem : D. Dzięki za podlinkowanie, to jeszcze pytanko odnośnie tego Spring Boota, z tego co czytałem to jest to dobra opcja dla początkujących, tylko troche się obawiam, że potem będzie ciężko przejść na "normalną wersję". Czy się mysle?

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Lectre
Lectre
Lectre
Lectre
  • Rejestracja:około 10 lat
  • Ostatnio:ponad 6 lat
  • Lokalizacja:Warszawa
  • Postów:293
0

To nie tak. Spring Boot to tak na prawdę zbiór konfiguracji dla 'normalnego' Springa. Dostajesz defaultowe ustawienia i nadpisujesz to, co ci nie pasuje. Stawiasz projekt i po 30 minutach masz działającą aplikację. Przejście z Boota na Springa poza typową konfiguracją jest nieodczuwalna.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Wielki Samiec
Wielki Samiec
0
scibi92 napisał(a):

Dlaczego JEE a nie Spring framework?

Dlatego że zdrowiej jest się uzależnić od JEE niż od Springa? Stykam się ze Springiem od wielu lat, i to jest tak, że wdepniesz w jedną funkcjonalność, i masz pól frameworku w zależnościach.

Po zmianach w JEE (jest "lżejsze" czy abrdziej "ludzkie") przemieściłem się na pozycję krytycznych wobec Spriga.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Shalom
Shalom
Shalom
Shalom
  • Rejestracja:około 21 lat
  • Ostatnio:prawie 3 lata
  • Lokalizacja:Space: the final frontier
  • Postów:26433
1

Moim zdaniem Boot jest właśnie złą opcją dla początkujacych bo coś sie dzieje i nie rozumiesz czemu ani co. Boot jest fajny jak już rozumiesz co się dzieje i jak coś skonfigurować, ale chcesz oszczędzić czas/wysiłek i ładujesz sobie pewne defaulty.

"Nie brookliński most, ale przemienić w jasny, nowy dzień najsmutniejszą noc - to jest dopiero coś!"
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Brunatny Orzeł
Brunatny Orzeł
0

Nie ufam frameworkom które ukrywają web.xml :D

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Treść
Podgląd
Kliknij, aby dodać treść...
Kliknij, aby dodać załącznik lub wklej ze schowka.
Instrukcja obsługi Markdown
Pomoc 1.18.8

Typografia

Edytor obsługuje składnie Markdown, w której pojedynczy akcent *kursywa* oraz _kursywa_ to pochylenie. Z kolei podwójny akcent **pogrubienie** oraz __pogrubienie__ to pogrubienie. Dodanie znaczników ~~strike~~ to przekreślenie.

Możesz dodać formatowanie komendami , , oraz .

Ponieważ dekoracja podkreślenia jest przeznaczona na linki, markdown nie zawiera specjalnej składni dla podkreślenia. Dlatego by dodać podkreślenie, użyj <u>underline</u>.

Komendy formatujące reagują na skróty klawiszowe: Ctrl+B, Ctrl+I, Ctrl+U oraz Ctrl+S.

Linki

By dodać link w edytorze użyj komendy lub użyj składni [title](link). URL umieszczony w linku lub nawet URL umieszczony bezpośrednio w tekście będzie aktywny i klikalny.

Jeżeli chcesz, możesz samodzielnie dodać link: <a href="link">title</a>.

Wewnętrzne odnośniki

Możesz umieścić odnośnik do wewnętrznej podstrony, używając następującej składni: [[Delphi/Kompendium]] lub [[Delphi/Kompendium|kliknij, aby przejść do kompendium]]. Odnośniki mogą prowadzić do Forum 4programmers.net lub np. do Kompendium.

Wspomnienia użytkowników

By wspomnieć użytkownika forum, wpisz w formularzu znak @. Zobaczysz okienko samouzupełniające nazwy użytkowników. Samouzupełnienie dobierze odpowiedni format wspomnienia, zależnie od tego czy w nazwie użytkownika znajduje się spacja.

Znaczniki HTML

Dozwolone jest używanie niektórych znaczników HTML: <a>, <b>, <i>, <kbd>, <del>, <strong>, <dfn>, <pre>, <blockquote>, <hr/>, <sub>, <sup> oraz <img/>.

Skróty klawiszowe

Dodaj kombinację klawiszy komendą notacji klawiszy lub skrótem klawiszowym Alt+K.

Reprezentuj kombinacje klawiszowe używając taga <kbd>. Oddziel od siebie klawisze znakiem plus, np <kbd>Alt+Tab</kbd>.

Indeks górny oraz dolny

Przykład: wpisując H<sub>2</sub>O i m<sup>2</sup> otrzymasz: H2O i m2.

Składnia Tex

By precyzyjnie wyrazić działanie matematyczne, użyj składni Tex.

<tex>arcctg(x) = argtan(\frac{1}{x}) = arcsin(\frac{1}{\sqrt{1+x^2}})</tex>

Kod źródłowy

Krótkie fragmenty kodu

Wszelkie jednolinijkowe instrukcje języka programowania powinny być zawarte pomiędzy obróconymi apostrofami: `kod instrukcji` lub ``console.log(`string`);``.

Kod wielolinijkowy

Dodaj fragment kodu komendą . Fragmenty kodu zajmujące całą lub więcej linijek powinny być umieszczone w wielolinijkowym fragmencie kodu. Znaczniki ``` lub ~~~ umożliwiają kolorowanie różnych języków programowania. Możemy nadać nazwę języka programowania używając auto-uzupełnienia, kod został pokolorowany używając konkretnych ustawień kolorowania składni:

```javascript
document.write('Hello World');
```

Możesz zaznaczyć również już wklejony kod w edytorze, i użyć komendy  by zamienić go w kod. Użyj kombinacji Ctrl+`, by dodać fragment kodu bez oznaczników języka.

Tabelki

Dodaj przykładową tabelkę używając komendy . Przykładowa tabelka składa się z dwóch kolumn, nagłówka i jednego wiersza.

Wygeneruj tabelkę na podstawie szablonu. Oddziel komórki separatorem ; lub |, a następnie zaznacz szablonu.

nazwisko;dziedzina;odkrycie
Pitagoras;mathematics;Pythagorean Theorem
Albert Einstein;physics;General Relativity
Marie Curie, Pierre Curie;chemistry;Radium, Polonium

Użyj komendy by zamienić zaznaczony szablon na tabelkę Markdown.

Lista uporządkowana i nieuporządkowana

Możliwe jest tworzenie listy numerowanych oraz wypunktowanych. Wystarczy, że pierwszym znakiem linii będzie * lub - dla listy nieuporządkowanej oraz 1. dla listy uporządkowanej.

Użyj komendy by dodać listę uporządkowaną.

1. Lista numerowana
2. Lista numerowana

Użyj komendy by dodać listę nieuporządkowaną.

* Lista wypunktowana
* Lista wypunktowana
** Lista wypunktowana (drugi poziom)

Składnia Markdown

Edytor obsługuje składnię Markdown, która składa się ze znaków specjalnych. Dostępne komendy, jak formatowanie , dodanie tabelki lub fragmentu kodu są w pewnym sensie świadome otaczającej jej składni, i postarają się unikać uszkodzenia jej.

Dla przykładu, używając tylko dostępnych komend, nie możemy dodać formatowania pogrubienia do kodu wielolinijkowego, albo dodać listy do tabelki - mogłoby to doprowadzić do uszkodzenia składni.

W pewnych odosobnionych przypadkach brak nowej linii przed elementami markdown również mógłby uszkodzić składnie, dlatego edytor dodaje brakujące nowe linie. Dla przykładu, dodanie formatowania pochylenia zaraz po tabelce, mogłoby zostać błędne zinterpretowane, więc edytor doda oddzielającą nową linię pomiędzy tabelką, a pochyleniem.

Skróty klawiszowe

Skróty formatujące, kiedy w edytorze znajduje się pojedynczy kursor, wstawiają sformatowany tekst przykładowy. Jeśli w edytorze znajduje się zaznaczenie (słowo, linijka, paragraf), wtedy zaznaczenie zostaje sformatowane.

  • Ctrl+B - dodaj pogrubienie lub pogrub zaznaczenie
  • Ctrl+I - dodaj pochylenie lub pochyl zaznaczenie
  • Ctrl+U - dodaj podkreślenie lub podkreśl zaznaczenie
  • Ctrl+S - dodaj przekreślenie lub przekreśl zaznaczenie

Notacja Klawiszy

  • Alt+K - dodaj notację klawiszy

Fragment kodu bez oznacznika

  • Alt+C - dodaj pusty fragment kodu

Skróty operujące na kodzie i linijkach:

  • Alt+L - zaznaczenie całej linii
  • Alt+, Alt+ - przeniesienie linijki w której znajduje się kursor w górę/dół.
  • Tab/⌘+] - dodaj wcięcie (wcięcie w prawo)
  • Shit+Tab/⌘+[ - usunięcie wcięcia (wycięcie w lewo)

Dodawanie postów:

  • Ctrl+Enter - dodaj post
  • ⌘+Enter - dodaj post (MacOS)