Sécurité Java

Sécurité Java :
Problèmes - solutions
Partie 1
www.objis.com - Jmaghreb 2012 - Sécurité Java
1
Présentateur : Douglas MBIANDOU
Président fondateur Objis (2005)
Ingénieur école INSA Lyon (2000)
Architecte formateur Java/J2ee
Ambition : N°1 formation Java Afrique
www.objis.com - Jmaghreb 2012 - Sécurité Java
2
Objis : spécialiste formation JAVA
70% travaux pratiques
200 tutoriaux sur www.objis.com
Nous formons les architectes de demain
www.objis.com - Jmaghreb 2012 - Sécurité Java
3
Marocain(e)s :
profitez des 200 tutoriaux Objis !
www.objis.com - Jmaghreb 2012 - Sécurité Java
4
Programme Formation
'Architecture JAVA' (4 ans+ exp)
www.objis.com - Jmaghreb 2012 - Sécurité Java
5
Programme Formation
'Architecture SOA' (6 ans+ exp)
www.objis.com - Jmaghreb 2012 - Sécurité Java
6
Clients
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
7
Sécurité Java :
Problèmes - solutions
www.objis.com - Jmaghreb 2012 - Sécurité Java
8
Objectifs
 1 rappel
 3 repères clés
 3 problèmes sécurité
 3 solutions
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
9
Rappel : atouts clés Java
 Portabilité
 Réseau
 Mémoire
 Sécurité
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
10
Repère 1 : architecture J2ee
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
11
Repère 2 : livrables J2EE
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
12
Repère 3 : Services clés J2EE











Web : Html, images, css, jsp, servlet → livrable WAR
EJB : composant métier distribué → livrable EJB
JMX : Java Management eXtension (Monitoring applicatif)
JNDI : Java Naming Directory Interface
JAAS : Java Authentication & Authorisation Service
JCA : Java Connector Architecture (Connexion SI/ERP)
JTA : Java Transaction API
JPA : Java Persistence API (Mapping objet/relationnel)
JMS : Java Message Service
JAX-WS : Java API for XML Web Services
JAXP : Java API for XML Processing (Sax/Dom/Stax)
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
13
Les 3 problématiques de sécurité
OS (Win, Linux,...)
Serveur d'applications (Jboss, GlassFish, WebSphere...)
Livrable Application (war, Ear, Jar...)
Niveau 1 Niveau 2
Niveau 3
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
14
3 pistes de solutions sécurité
OS (Win, Linux,...)
Serveur d'applications (Jboss, GlassFish, WebSphere...)
Livrable Application (war, Ear, Jar...)
JAAS Fichier
.policy
User
Interfaces
NetFilter
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
15
Solution Sécurité Niveau 1 :
configuration JAAS
 QUOI ?
•<security-constraint>
•<web-resource-collection>
•<url-pattern>
QUI ?
• <role-name>
OU ? (stockage login/pwd)
•<realm> (File, DB, Ldap...)
web.xml
web.xml + specifique.xml
Serveur
web.xml
COMMENT ?
•<auth-method> (BASIC, FORM, CLIENT-CERT...)
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
16
Solution Sécurité Niveau 2 :
Fichier Policy
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
17
Solution Sécurité Niveau 2 :
Fichier Policy
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
18
Solution Sécurité Niveau 3 :
Vérouiller user système
 1 user restreint pour lancer serveur d'application
 Répertoire
 Quotas
 Interfaces réseau
 Sécurité paquets
www.objis.com
- Formation
www.objis.com
- JmaghrebSPRING
2012 - Sécurité Java
19
Objis : spécialiste formation JAVA
 70% travaux pratiques
 200 tutoriaux 'cadeau' sur www.objis.com
– 2000 visiteurs / jour
– Profitez-en dès maintenant !!!
 Nous formons les architectes de demain
 Clé USB offerte avec outils / Tps
 Satisfait ou remboursé
www.objis.com - Jmaghreb 2012 - Sécurité Java
20
Cursus formation 'développeur architecte'
45 jours – avril/juin 2013 - Casablanca










M1 : Architecture JAVA (5j) 8-12 avril
M2 : Développement framework ’SPRING’ (5j) 15-19 avril
M3 : Développement ’WEB SERVICES’ (5j) 22-26 avril
M4 : Développement Mobile ’ANDROID’ (5j) 6-10 mai
M5 : Développement framework ’ExtJS’ (5j) 13-17 mai
M6 : Intégration continue Maven (5j) 20-24 mai
M7 : Administration JBOSS 7 (5j) 3-7 juin
M8 : Sécurité Java (3j) 10-12 juin
M9 : Performance Java(2j) 13-14 juin
M10 : Architecture SOA (5j) 17-21 juin
www.objis.com - Jcertif 2012 - Performance Java
21