Application Security Enhancements in Java EE 6

Som min (Jespers) sidste egentlige præsentation mandag var der en opremsningssession om Java EE sikkerhed. Havde jeg ikke gjort mit forarbejde? Jeg ved det ikke, men jeg fik indtryk af at det ikke kun var generel mathed, der gjorde at jeg havde lidt svært ved at holde mig rigitg vågen under timen. Og jeg var vist ikke alene. Taleren fremhævede hvor vigtigt sikkerhed fordi han arbejdede med banksektoren.

Manden gennemgik på hurtigt, men utydeligt, indisk inspireret engelsk:

• Web Profile annoteringer
• Authentication in web tier
• Authorization
• Transport Security

Der var intet som ikke kunne læses ud af beskrivelsen af Servlet 3.0 og gætte sig til hvad der logisk måtte følge. Men han gik nævnt at han arbejdede med sikkerhed, fordi han jo arbejdede inden for finansielle services.

Plus: Han holdt tiden.

Minus:

• Taleren: Hvorfor bruge tid på at forklare at han ikke har tid nok?
• Spec’en: Hvorfor fedter vi stadig rundt med mere og mere forkromede måder at implementere username+password på når vi jo godt ved at det ikke er godt nok og at alvorlige løsninger med multi-faktorauthentifikation.
• Og eksponere passwordet til applikationen, hvorfor? Var det ikke formålet at undgå at sammenblande applikation og sikkerhedslag.
• Og hvor fedt er et at sætte alle de de annoteringer på servlets – hvor mange bruger reelt servlets som det primære applikationsframework. Eller er der samme konstruktioner i JSF 2.0 etc.
• Hvorfor bruge tid på at forklare hvordan man IKKE ville gøre tingene i virkligheden. Hvis en bruger ikke må et eller andet, hvor ofte smider man så en HTTP 403 i hovedet på ham?
• Og taleren igen: Nævnte jeg at han helt sikkert vidste alt om applikationssikkerhed fordi han jo arbejder inden for sådan noget med banker og kreditforeninger? Åh, jo det gjorde jeg vist…