自作Javaアプリにサンドボックスで動くアドインの仕組みを作る方法 - seraphyの日記
概要 「Javaアプリケーション内から信頼できないかもしれないアドインコードをサンドボックスで実行するための方法」について、簡単なサンプルコードとともに、まとめてみたいと思う。 ※ 信頼できないかもしれない、という意味は後述。*1 セキュリティマネージャとポリシーの有効化 SecurityManagerの有効化 まず、Javaアプリケーションは、何も設定していない場合はセキュリティチェックは全く行わないため、どのような操作でも全て許可されている状態と同じとなる。 セキュリティチェックを有効にするには、 // セキュリティマネージャを有効にする. System.setSecurityManager(new SecurityManager()); とすれば良い。 このようにすると、ファイルの作成などの権限チェックすべき各種タイミングでセキュリティチェックが行われるようになる。 ※ 設定した瞬間
比較的強固なライセンスキーの生成 - kaisehのブログ
プログラムのバイナリ自体が改ざんされる可能性を無視して、解析・偽装が困難なライセンスキーを生成/検証する手法というと、やっぱり以下のような公開鍵暗号方式になるんだろうか。 RSAのキーペアを作成しておく。 管理者側は「プログラム固有の情報+ユーザ固有の情報」を秘密鍵で暗号化してライセンスキーとする。 1024ビットの鍵の場合、パディングの88ビットを引いて936ビット=117バイトを固有情報の記述に使用可能。ユーザ名とメールアドレス程度の情報は格納することができる。 この場合、ライセンスキーの長さも1024ビットになる。これをBase64でエンコードすれば172文字のキーになる。Base16なら256文字。 プログラム側には公開鍵を埋め込んでおく。 ユーザが入力したライセンスキーを公開鍵で復号化して検証する。 以下はライセンスキー生成部のサンプル。 import java.math.Big
Using JAAS with Tomcat
Although it is possible to use JAAS within Tomcat as an authentication mechanism (JAASRealm), the flexibility of the JAAS framework is lost once the user is authenticated. This is because the principals are used to denote the concepts of "user" and "role", and are no longer available in the security context in which the webapp is executed. The result of the authentication is available only through
JAASを使った認証と承認
認証・承認を行うプログラム ユーザー認証や権限の制御を行うために標準APIとしてJAAS(Java Authentication and Authorization Service) APIがあります。 JAASには、ユーザーが正当であることを確認する認証と、ユーザーの権限に応じて要求を制御する承認の2つの要素があります。 認証 認証で使用する主要APIは以下です。 javax.security.auth.login.LoginContext javax.security.auth.spi.LoginModule javax.security.auth.callback.CallbackHandler javax.security.atth.callback.Callback 認証のフローは大まかには以下です。 アプリケーションがLoginContextクラスをインスタンス化する Logi
はてなブログ | 無料ブログを作成しよう
春の伊予国漫遊記。松山・今治と愛媛の魅力を満喫してきました。 法事を兼ねて愛媛観光へ 2024年のGWは、毎年恒例の名古屋帰省ではなく自宅でゆっくり過ごしておりました。というのも、4月に法事のため愛媛・松山に親族大集合というイベントがありまして、そちらをGWの旅行代わりにしたという理由です。法事は日曜日の予定ということ…
java:securityfilter [paulownia.jp]
いくつか依存JarがあるのでMavenを使うと楽。 <dependency> <groupId>securityfilter</groupId> <artifactId>securityfilter</artifactId> <version>2.0</version> </dependency> web.xmlにフィルタ設定を記述 <filter> <filter-name>securityfilter</filter-name> <filter-class>org.securityfilter.filter.SecurityFilter</filter-class> <init-param> <param-name>config</param-name> <param-value>/WEB-INF/securityfilter-config.xml</param-value> </in
The SecurityFilter Project Home Page
SecurityFilter is a Java Servlet Filter that mimics container managed security. It looks just like container managed security to your app, as you can call request.getRemoteUser(), request.isUserInRole(), and request.getUserPrincipal() and get valid responses. The Security Filter configuration file follows the web.xml standard, which makes it easy to switch to Security Filter from container managed
Apache Shiro | Simple. Java. Security.
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.
社内システムのセキュリティとアクセス制御の常識
企業向けアプリケーションのさまざまな“常識”をJavaのオープンソース・フレームワーク群である「JBoss」から学んでいきましょう。企業システムを構築するうえでの基礎となる知識をリファレンス感覚で説明していきます。初心者から中堅、ベテランまで大歓迎! 今日の企業で使われる社内システムは、複数のユーザーがコンピュータ・ネットワークによってサービスの同時提供を受けられます。そのため、会社の中にいなくても、自分の会社で使っている社内システムにアクセス可能で、多くの人がその利便性を享受しています。 もちろんインターネットにはさまざまな脅威が存在するため、「外部からのアクセスに対するセキュリティ対策を行っている」という会社も多いでしょう。しかし、それだけでは企業で使うシステムにとってのセキュリティ対策は万全ではありません。 そこで重要になってくるのが、今回のテーマでもある社内システムのセキュリティの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer
All that JAAS
Custom LoginModule in Tomcat
IBM Developer
How JAAS enables use of custom security repositories with J2EE applications
Raible Designs | Java Web Application Security - Part I: Java EE 6 Login Demo
IBM Developer