Servus...
Eine Beispielsznario:
Angenommen ich würde ein Shopsystem entwickeln, auf was müsste ich achten?
1. SQL.Injections -> müssten durch die richtige Nutzung von Hibernate abgesichert sein.
2. Cross-Site-Scripting -> ist jetzt auch nichts wofür man ein extra Framework braucht (wenn das in meinem Fall nicht sogar durch Primefaces vorgebeugt wird)
Vielleicht stell ich mir das ganze ja zu einfach vor -
- aber der einzige Punkt der mir neben den anderen beiden einfällt wäre, dass der Angreifer sich Zugriffsrechte besorgt, die nicht für ihn bestimt sind.
Hierbei hätte ich gedacht, dass ein einfaches Login:
ueberpruefen von Benutzername+Passwort (am besten über https)
und bei Erfolg den User in der SessionScoped ManageBean eintragen
+ über die ManagedBeans abfragen ob der 'User' der aktuellen Session die benötigten Rechte hat
(Eventuel noch Session-ID und IP adresse vergleichen und bei Login eine neue Session anlegen)
ausreichend wäre.
Was könnte jetzt noch schief gehen?
Mir fällt erstmal nichts mehr ein.
Aber bestimmt vertu ich mich da!?? Ich meine... wieso sollte es extra die Frameworks wie Spring Security geben, wenn das so einfach wäre??
???:L
Also nochmal ganz kurz: hab ich an alles gedacht oder komme ich nicht drum rum weitere Sicherheitsmaßnahmen zu "ergreifen" :autsch:
Eine Beispielsznario:
Angenommen ich würde ein Shopsystem entwickeln, auf was müsste ich achten?
1. SQL.Injections -> müssten durch die richtige Nutzung von Hibernate abgesichert sein.
2. Cross-Site-Scripting -> ist jetzt auch nichts wofür man ein extra Framework braucht (wenn das in meinem Fall nicht sogar durch Primefaces vorgebeugt wird)
Vielleicht stell ich mir das ganze ja zu einfach vor -
- aber der einzige Punkt der mir neben den anderen beiden einfällt wäre, dass der Angreifer sich Zugriffsrechte besorgt, die nicht für ihn bestimt sind.
Hierbei hätte ich gedacht, dass ein einfaches Login:
ueberpruefen von Benutzername+Passwort (am besten über https)
und bei Erfolg den User in der SessionScoped ManageBean eintragen
+ über die ManagedBeans abfragen ob der 'User' der aktuellen Session die benötigten Rechte hat
(Eventuel noch Session-ID und IP adresse vergleichen und bei Login eine neue Session anlegen)
ausreichend wäre.
Was könnte jetzt noch schief gehen?
Mir fällt erstmal nichts mehr ein.
Aber bestimmt vertu ich mich da!?? Ich meine... wieso sollte es extra die Frameworks wie Spring Security geben, wenn das so einfach wäre??
???:L
Also nochmal ganz kurz: hab ich an alles gedacht oder komme ich nicht drum rum weitere Sicherheitsmaßnahmen zu "ergreifen" :autsch:
Zuletzt bearbeitet:
