Category Archives: Security

Security beim W-JAX Ballroom

Dieses Jahr findet auf der W-JAX am Dienstagabend das erste Mal der W-JAX Ballroom statt. Dazu werden im großen Ballsaal Tische zu verschiedenen Themen wie Web 2.0, JSF, Security, Eclipse und viele mehr aufgestellt. Die Tische werden von einem oder mehreren Speakern betreut, die die Diskussionen moderieren und für Fragen zur Verfügung stehen. Eine ideale Gelegenheit also den Konferenztag in lockerer Atmosphäre ausklingen zu lassen.

Ich werde zusammen mit Bruce Sams den Security-Tisch betreuen und freue mich jetzt schon auf interessante Gespräche.

Acegi 1.0.2 fertig

Etwas verspätet hier noch die Nachricht das das Acegi Security Framework for Spring nun in der Version 1.0.2 erschienen ist.

Dabei wurden unter anderem Bugs bzgl. CAS, EH-CACHE und der URL-Filterung behoben. Das komplette Changelog kann hier eingesehen werden.

Bereits in der 1.0.1 wurde ja die Unverträglichkeit mit Spring 1.2.8 beseitigt.

Vorallem wegen dem Bug bei der URL-Filterung sollte bei Webanwendungen auf jeden Fall ein Update auf die 1.0.2 erfolgen.

Spring Security (Acegi) auf der W-JAX 2006

Wie ja bereits angekündigt gibt es auf der W-JAX 2006 in München (der Schwesterkonferenz der JAX) ebenfalls einen Spring Day. Moderater ist wieder Eberhard Wolff und ich werde auch wieder einen Vortrag zu Spring Security (Acegi) halten. Weitere Themen sind dann unter anderem Spring 2.0 und die Java EE 5, Spring & OSGi oder auch Contract-first Web service using Spring-WS. Abgeschlossen wird der Spring Day durch ein Speaker Panel bei dem dann noch genug Zeit zum Diskutieren und Fragen ist.

Für Neueinsteiger in das Spring Framework findet am Freitag auch wieder ein Workshop von Eberhard Wolff statt.

Acegi 1.0.0 ist fertig

Ben Alex kündigte diese Woche die Fertigstellung der Version 1.0.0 des Sicherheitsframeworks Acegi Security an. Gegenüber dem RC2 wurden nochmals einige Verbesserungen gemacht und vorallem wurde die Dokumentation und die Beispiele nochmals erweitert.

Die API hat sich gegenüber dem RC2 kaum noch verändert. Gegenüber der 0.9.0 gab es jedoch einige Änderungen, so wurde z.B. das Package net.sf.acegisecurity durch org.acegisecurity ausgetauscht. Die genauen Änderungen stehen hier.

Acegi Security ist ein Sicherheitsframework das auf dem Spring-Framework aufbaut. Es bietet eine einfache aber mächtige Umsetzung von Sicherheitsaspekten auf allen Schichten einer Anwendungen. Die Anwendung selbst muss dabei nicht zwingend das Spring-Framework nutzen, es kann auch per Servlet Filter und AspectJ für (fast) jede Web und Client/Server Java-Anwendung benutzt werden.

Mehr Informationen zu Acegi findet man unter http://acegisecurity.org.

Eine kurze Ãœbersicht (auf Deutsch) gibt es auch hier.

Kerberos Session auf der FrOSCon

Ich werde auf der Free and Open Source Software Conference (24.06.06/25.06.06, Sankt Augustin) eine Session/Workshop über Single-Sign-On mit Kerberos unter Linux halten.

Hier schon mal der Abstract: 

Kerberos ist ein verteilter Authentifizierungsdienst, der plattform- und systemunabhängiges Single-Sign-On ermöglicht. Es wird bereits von vielen Diensten und Programmen unterstützt und ermöglicht so ein effektives und sicheres Arbeiten im Netz. Vorallem auch in Netzen mit Windows- und Linux- Clients/Servern ermöglicht Kerberos eine transparente und sichere Authentifizierung und vereinfachten deswegen sehr stark die Integration. In dieser Session geht es um die Grundlagen von Kerberos V5 und die Installation sowie dem Betrieb auf einem Debian 3.1 System. Vorgestellt wird das Einrichten eines KDCs, die Einbindung in PAM, der Betrieb eines kerberized Services und die Integrationsmöglichkeiten mit Windows.

 

Aktuelle Tourdaten

Artikel über Application Security & Agile Prozesse

Agile Prozesse werden zunehmend beliebter und bieten oft auch eine bessere Umsetzung der fachlichen Anforderungen. Wie sieht es aber mit der Sicherheit dieser Anwendungen aus? Sollte Sicherheitsmerkmale nicht von Anfang an umfassend geplant werden um einen hohen Schutz zu gewährleisten?

Die Erfahrungen die ich zu diesen Thema bisher sammeln konnte werde ich in den nächsten Wochen in mehreren Teilen auf meiner Homepage zur Verfügung stellen.

Der erste Teil behandel das Thema “Wieviel Sicherheit brauchen wird und ab wann?“.