Shiro Apache Security Framework

[Spin]

Hallo Community,

hat einer schonmal das Framework : Apache Shiro | Java Security Framework eingesetzt?
Da ich dabei bin eine Anwendung in Scala zu programmieren und die ziemlich sicher sein muss, suche ich nach einem eleganten Framework.

Was habt ihr bisher genommen bzw. was für Erfahrungen gesammelt?
Könnt ihr mir ein Framework empfehlen?

grüße spin:rtfm:

 

[Noctarius]

Wieso kein PHP? *Sidekick* - Sorry musste sein.

Nee damit gearbeitet noch nicht aber im vorletzten (glaube ich) Java-Magazin war ein Artikel über Shiro drin, klang an sich alles ganz nett soweit.

 

[Spin]

Ach wie schön wäre es, wenn ich es alles in PHP machen könnte - dann wäre ich quasi fertig!!! Ob die ganze Geschichte sicher ist - steht aus der Frage, selbstverständlich. *hust* .

Bei meiner jetztigen Anwendung handelt es sich um eine Plattform für Konferenzen und einer selbsverwaltung. Das System soll so autonom laufen, dass es sich selbst verwaltet. Um es entsprechend gegen Manipulation zu schützen, brauche ich ein Sicherheits Framework. Klar kann ich mir auch selbst kryptische Sachen in Java oder Scala schreiben, aber warum?

Mich interessiert hauptsächlich die Algorithmen mit dennen man Daten austauscht. (Private, Public Key, RSA usw.) . Authentifizierung gibt es in dem System nicht und Rollenvergabe ... mhh vielleicht ein Admin. Aber der bekommt eher ne Rechteverwaltung anstatt ne Benutzerrollen vergabe. (flexibler)

Use Cases
1. Admin Session Fixiation
2. XSS (cross Site Scripting --naja das LIFT Framework bietet da schon bissel schutz)
3. SQL Injection - erschlage ich dass mit HIBERNATE? (einfach params binden .. müsste doch passen )
4. Brute Force - Captcha Fields müsste reichen

grüße spin

 

[kama]

Hallo,

Du hast Deinem ersten Post geschrieben:

..Da ich dabei bin eine Anwendung in Scala zu programmieren und die ziemlich sicher sein muss,

Was verstehst Du unter "ziemlich sicher"? Ist die Implementierung darauf ausgelegt sicherer zu sein ? Sauberes Design ? Unit/Integrations-Tests ?

...Um es entsprechend gegen Manipulation zu schützen, brauche ich ein Sicherheits Framework. Klar kann ich mir auch selbst kryptische Sachen in Java oder Scala schreiben, aber warum? [/qoute]
Wieder mal einer der Glaubt, dass durch die Nutzung eines Security Framework eine Anwendung sicher wird...

Abgesehen davon gibt es 100%ige Sicherheit nicht!

Mich interessiert hauptsächlich die Algorithmen mit dennen man Daten austauscht. (Private, Public Key, RSA usw.) . Authentifizierung gibt es in dem System nicht und Rollenvergabe ... mhh vielleicht ein Admin. Aber der bekommt eher ne Rechteverwaltung anstatt ne Benutzerrollen vergabe. (flexibler)

Du benötigst eine Authentifizierung und eine Autorisierung ....da führt kein Weg dran vorbei...

Wie sieht denn die Sicherheit in Deinem System aus? Werden die Daten verschüsselt gespeichert? Wie ist das Passwort/Username gespeichert? (verschlüsselt so hoffe ich doch!)...

Worauf läuft Dein System? Unix/Windows? Was ist mit der Datenbank selbst ? Zugriffe von Außen gestattet....Wie sieht der Zugang auf dem Betriebssystem aus? Wie ist der Zugang gesichert ? Was benutzt Du als Grundlage: Tomcat, JBoss, Glassfish ?

Use Cases

2. XSS (cross Site Scripting --naja das LIFT Framework bietet da schon bissel schutz)

Siehe Framework Kommentar...

3. SQL Injection - erschlage ich dass mit HIBERNATE? (einfach params binden .. müsste doch passen )

War das jetzt ernst gemeint? Ich hoffe nicht...

4. Brute Force - Captcha Fields müsste reichen

Definitiv nicht. Google mal nach Captcha Breaker ...;-)

Gruß
Karl Heinz Marbaise