セッションのレースコンディション(1) | 技術者ブログ | 三井物産セキュアディレクション株式会社
主にWebアプリケーションスキャナを開発している寺田です。 本日はJavaのWebアプリケーションにおけるセッションのレースコンディションについて書きます。StrutsやSpringのセッションスコープのフォームを使用しているアプリケーションに影響しうる問題ですので、該当する方は参照ください。 要約 Java Servletのセッションは、同じセッションIDのリクエストを複数同時に処理する際にレースコンディション問題を起こしうる仕組みになっている。 Struts1/2, Springのセッションスコープのフォームを使っていると、レースコンディションによりフレームワークやアプリケーションによるチェックをバイパスされるおそれがある。 Synchronizedブロックによるロック等の回避策がある。 Java Servletのセッションが持つ特性 Java Servletのセッションは、他の処理系
Spring SecurityのOAuth 2.0サポートでKeycloak 19.0を使った認証を試す - CLOVER🍀
これは、なにをしたくて書いたもの? 先日、WildFlyベースからQuarkusベースになったKeycloakをインストールしてKeycloak自体にログインするところまでやってみました。 Ubuntu Linux 20.04 LTSにKeycloak 19.0をインストールする - CLOVER🍀 今回は、Spring SecurityのOAuth 2.0サポートを使ってKeycloakと連携してログインまで行ってみます。 環境 今回の環境は、こちら。 $ java --version openjdk 17.0.4 2022-07-19 OpenJDK Runtime Environment (build 17.0.4+8-Ubuntu-120.04) OpenJDK 64-Bit Server VM (build 17.0.4+8-Ubuntu-120.04, mixed mode,
Spring Securityで再認証を実装してみる
Spring Securiyで再認証するサンプルアプリを作ってみたいと思います この実装が正しいかどうかいまいちわかりません。もっとこうした方がいい等あればコメント頂けると嬉しいです バグがあるかもしれません はじめに 再認証とは ここでは 以下の 1 の事として話を進めます 重要な処理の前、機密性の高い情報を表示する前にユーザー認証を行うこと パスワード変更、アカウント削除、バックアップコード表示、など セッションハイジャック対策、CSRF対策 ログインしたままでいる場合、定期的にユーザー認証すること 参考 徳丸 浩. 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 4.6.2 推測可能なセッションID 成りすましの影響 5.2.7アカウント管理のまとめ OWASP Application Security Verification Standard 4.0 - 3.7.1
[ JJUG CCC 2022 Spring ] AWS Batch × Spring Batch でクラウド最適なバッチを構築した話 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? こんにちは。Red Frasco でインフラエンジニアをやっている猪熊です。 JJUG CCC 2022 Spring にて、 AWS Batch × Spring Batch でクラウド最適なバッチを構築した話 というタイトルで登壇させていただきました。 セッション内容の紹介と登壇のふりかえりをしようと思います。 セッションの紹介 まずは、セッション内容について紹介します。 アーカイブ動画が公開されました。良ければこちらからご覧ください。 https://youtu.be/ArEY_yIt0GI 自己紹介 詳細は割愛します。 香川県出
![[ JJUG CCC 2022 Spring ] AWS Batch × Spring Batch でクラウド最適なバッチを構築した話 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/0c15cdf5861a689166b28e38dc12d4386e54c7b5/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBzaW5va3VtYSZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9ZDI3YmJmZDEwZmEzNzRiMzQxNWExY2I0YzMzYzEwZGI%26blend-x%3D142%26blend-y%3D436%26blend-mode%3Dnormal%26txt64%3DaW4g5qCq5byP5Lya56S-UmVkIEZyYXNjbw%26txt-width%3D770%26txt-clip%3Dend%252Cellipsis%26txt-color%3D%2523212121%26txt-font%3DHiragino%2520Sans%2520W6%26txt-size%3D36%26txt-x%3D156%26txt-y%3D536%26s%3Dbe0aa45cae9ba92fba824bbc99a64088)
JJUGナイトセミナー「初めてのひとのためのSpring/Spring Boot」に参加してきた - 天の月
jjug.doorkeeper.jp こちらのイベントに参加してきたので、会の様子と感想を書いていこうと思います。 会の概要 会の様子 Springとは DIコンテナとは AOP Springのサブプロジェクト Spring JDBC Spring Tx Spring MVC その他 Spring Bootとは? 参考資料 会全体を通した感想 会の概要 サーブレットやその他のフレームワークを使ったことはあるし、Javaの知識もあるけれどSpringやSpring Bootを初めて学ぶ人を対象に、SpringやSpring Bootをの基本を説明してくれるイベントです。 会の様子 以下、常体で話されていた内容を書いていきます。 Springとは VMwareが開発しているオープンソースなJava FW Rod Johnsonが自著のためにサンプルコードを書いたのが始まり 2022年にJDK1
Spring IntegrationのJDBCサポートを使って、データベースポーリングを試してみる - CLOVER🍀
これは、なにをしたくて書いたもの? Spring Integrationで、JDBCを使ったデータベースポーリングをサポートしているというので、ちょっと試してみました。 Spring IntegrationのポーリングとJDBCサポート Spring Integrationでは、ポーリングの機能があります。 Messaging Channels / Poller ポーリングを使うようなユースケースには以下のようなものがあり、この中のひとつにデータベースが含まれています。 Polling certain external systems, such as FTP Servers, Databases, and Web Services Polling internal (pollable) message channels Polling internal services (such as
Spring IntegrationのGatewayを試す - CLOVER🍀
これは、なにをしたくて書いたもの? 少し前に、Spring Integrationを試してみました。 Spring Integrationを試してみる - CLOVER🍀 他にドキュメントを読んでいて、Gatewayを使ってみないと全体のイメージが掴めない気がするので、1回試してみようかなと。 Gateway Gatewayは、Overview内にも少し出てきます。request - replyな形式をサポートするようです。 request-reply MessagingGatewaySupport implementations (such as AmqpInboundGateway and AbstractWebServiceInboundGateway). Spring Integration Overview / Finding Class Names for Java and
Spring Integrationを試してみる - CLOVER🍀
これは、なにをしたくて書いたもの? Spring Integrationを少し試しておきたいな、と思いまして。 Spring Integration Spring Integrationは、EIP(Enterprise Integration Patterns)をSpringで実現するためのものです。 Extends the Spring programming model to support the well-known Enterprise Integration Patterns. Spring Integration 宣言的なアダプターを使い、外部システムとSpringベースのアプリケーションを軽量なメッセージングで統合します。 Spring Integration enables lightweight messaging within Spring-based applica
Springの各プロジェクトに、サポート期間が掲載されるようになっていたという話 - CLOVER🍀
いつからかわかりませんが、Springの各プロジェクトのにサポート期間がわかりやすく掲載されるようになっていたという話です。 たとえば、Spring Frameworkを例にしてみます。プロジェクトのトップページにある、「SUPPORT」を選択してみます。 すると、「リリース日」、「OSSサポート」、「商用サポート」、「将来のリリース」のそれぞれの日付が表示され、グラフも描画されます。 「OSSサポート」はSpringコミュニティによる、無償でのセキュリティアップデートおよびバグフィックスが行われる期間ですね。 「商用サポート」はOSS版のEOL後も続く、有償のサポートです。 「将来のリリース」は、まだ未リリースのバージョンです。 「OSSサポート」の詳細はこちら、 VMware Tanzu OSS Support | Support | VMware Tanzu 「商用サポート」の詳細は
Gradle+SpringBootでLog4j 2のバージョン更新(DependencyManagementPlugin不使用) - 日々常々
Log4j 2のバージョンアップのやりかた からの派生。 特化した内容なので別エントリにします。 2021-12-13追記: 今気づいたけどSpring公式ブログの[Log4J2 Vulnerability and Spring Boot](https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot)見るほうがシンプルでよいかもです。 本稿はバージョンダウンとか選択とかに興味あればって感じ。……`./gradlew dependencyInsight --dependency {}` なんてあったのね。 2021-12-20追記: `2.17.0` 出てますのでコピペしてそのままにせず適宜読み替えてくださいね。 条件 Gradle 7.3.1 SpringBoot 2.6.1 SpringBootで、Grad
2021.12.3 - 決済システムで学ぶレジリエントなサービスのいろは
▼イベント▼ Spring Fest 2021 https://springfest2021.springframework.jp/ ▼配信アーカイブ▼ https://www.youtube.com/watch?v=9-yDaFlGTxE
Springのドキュメントの探し方 - 日々常々
私のね。 三行で Single page HTML でページ内検索する。 Googleでは site:https://docs.spring.io/spring-boot/docs/current/ を検索条件に含める。 GitHubの spring-projects で in this organization で検索する。 蛇足 該当ツイート、発端はbouzuyaさんのクイズ です。 Springのドキュメントは充実していて、欲しい情報はだいたいどこかに書かれています。機能についても使い方についてもどうすればいいのかなども書かれています。なんだけど、できることがたくさんあるうえに一つのことをいろんなやり方でできるため、できることが限定されたものと比べると初見の人が目的のドキュメントにたどり着くのは難しいと思います。 情報はないわけではなく、たいていのものは https://spring
GradleのマルチプロジェクトによるKotlin、Spring Bootでのオニオンアーキテクチャの実現 - タケハタのブログ
4月に発売した書籍「Kotlin サーバーサイドプログラミング実践開発」なのですが、この中で途中まで作っていてボツネタにした内容がありました。 gihyo.jp それが「Gradleのマルチプロジェクトでオニオンアーキテクチャを実現する」というものです。 第2部で作成していたbook-managerというアプリケーションは、もともとこれを使って作成していましたが、途中でやめて現在の形になりました。 github.com ボツネタにした理由としては、一回実践で導入してみていくつか微妙な点があったことと、紙面上の説明が複雑になるのでベーシックな内容としては外していいかなと思ったためです。 ただせっかく途中まで作っていたので、試して微妙と感じた点も含めて、今回紹介したいと思います。 サンプルとしてこのbook-managerの内容をマルチプロジェクト化したアプリケーションを使い、オニオンアーキテ
Spring Cloud GCP を使ったアプリケーション開発入門
この記事は Google Cloud Japan Customer Engineer Advent Calendar 2020 の 21日目の記事です。 みなさん、こんにちは、Google Cloud の柳原 (@yanashin18618)です。 2020 年の今年は Java が公開されてから 25 周年というアニバーサリー・イヤーで盛り上がりを見せた年でした。Java に馴染みのない人も 今年は Java というキーワードを目にしたりしたのではないでしょうか。 私はと言えば、日夜 Google Cloud 上で Java アプリケーションをどう組み上げていくかと想いを馳せた1年でした。 TL;DRこれから Google Cloud 上で Java アプリケーションを作っていこうとしている方のために参考になるような話を綴っていきます。 特に開発フレームワークの Spring が提供して
Macchinetta Framework
Macchinetta Frameworkとは Macchinetta Frameworkは高い信頼性が求められるエンタープライズ開発における利用を志向したアプリケーションフレームワークです。世界中で幅広く利用されているOSSを最大限に活用して、高品質なアプリケーションを効率良く開発することができます。 Macchinetta Server Framework Springを中心としたOSSスタックを用いてWebアプリケーションのサーバサイドの実装を行うためのフレームワークです。 AWS等のクラウドプラットフォームを利用する際のスケーラビリティを考慮した実装については Cloud Extension に纏めています. Macchinetta Batch Framework Spring Batchを中心としたOSSスタックを用いてバッチ処理を実装するためのフレームワークです。 Macchi
ドメイン駆動設計のための Spring の上手な使い方
ドメイン駆動設計の4つの基本活動、Springのプログラミングモデル、ドメイン駆動設計のためのSpringの使い方
JJUG CCC 2017 Spring Seasar2からSpringへ移行した俺たちのアプリケーションがマイクロサービスアーキテクチャへ歩み始めた
JJUG CCC 2017 Spring Seasar2からSpringへ移行した俺たちのアプリケーションがマイクロサービスアーキテクチャへ歩み始めた 2011年にリリースした弊社フリューのアプリケーションは、利用者が年々増加し、1000万人を超えました。それに伴い、機能を追加、改修しているため肥大化したモノリシックアプリケーションとなりました。また開発チームも複数あり、それぞれが機能を開発し、毎日のようにデプロイ、リリースしています。 こうした現状から、ドメインごとにアプリケーションを分割したいという欲求が生まれ、マイクロサービスアーキテクチャに変えていくことにしました。もちろん今もサービスを運用、新機能開発していく中でゆるやかに実施していくため、完成したわけではありません。このセッションでは、現実に運用しているアプリケーションに対して、マイクロサービス構築に何を使い、どのように一歩踏み
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
STORES決済におけるEC2からECS Fargateへの移行〜無停止要件も添えて〜
Spring Framework Versions
Efficient data transfer through zero copy
