J and I and Me
2007-11-07
  WJAX: Mike Wiesner: Security Last - Sicherheitsentscheidungen spät treffen
Warum Security Last? Nun ja, weil "Security nervt", wie Martin Lippert es gesagt hat. Außerdem bringt Security erstmal wenig Feedback, bei agiler Entwicklung will man erstmal Feedback zu anderen Themen als Security. Und eine 100% sichere Anwendung ohne Funktion macht auch kein Sinn. Außerdem muss ich Security jeweils mit ändern und es erschwert das Testen des Businesscodes. Und die Architektur muss sich an den Anforderungen orientieren - und daran muss sich auch Security orientieren.

Also: Soll man Security einfach ignorieren? Nein, man sollte es nur am Ende beachten. Dass ist auch nicht mehr Aufwand, wenn man die richtigen Tools hat. Meistens ist es sogar weniger Aufwand, man kann die Anwendungen ohne Security testen und man muss sie nicht ständig mit ändern.

Wie bekomme ich es hin, den Code im Nachhinein zu ändern? Eine Möglichkeit ist AspectJ, dass es mir ermöglicht Security als Aspekt zum Code hinzuzufügen. Außerdem ist dann die Security im Byte-Code enthalten, man kann sie nicht einfach abschalten. Allerdings benötigt man etwas Einarbeitung. Eine andere Lösung ist Spring AOP, dass mir im wesentlichen dieselben Möglichkeiten wie AspectJ bietet. Dann hat man allerdings keine Compile-Time-Security, die Sicherheit wird erst zu Laufzeit eingefügt.

Als vorbereitetes Framework auf dieser Basis gibt es Spring Security (Acegi), dass bereits eine Aspekt-orientierte Security-Lösung implementiert. Spring Security funktioniert mit Spring AOP und AspectJ. Fehlt nur noch das Testen - hier kann man Tests mit JUnit und Fit implementieren.

Wie bekommt man Security Last jetzt hin? Zunächst benötigt man für die Authentifizierung des Benutzer - den bekommt man bei Spring Security über den SecurityContextHolder. Dort kann man auch die Authentifizerung ablegen. Der wird dann am Thread gehalten, kann an die Child-Threads vererbt werden, in einer Umgebungsvariable liegen, in der HTTP-Session gespeichert sein usw. - das ist konfigurierbar. Damit man die Authentifizierung wirklich vornehmen kann, muss man einen AuthenticationManager nutzen, der die Authentifizierungs-Informationen überprüft. Dabei kann man unterschiedliche Authentifizierungs-Verfahren nutzen und man muss dazu nur noch einen Provider für die jeweilige Authentifizierungs-Technologie hinzufügen.

Bei der Authorisierung muss man im klassischen Modell in jeder Methode die Rollen überprüfen - was aufwändig ist, vergessen werden kann und Wissen über die Rollen voraussetzt. Mit Security Last schreibt man solchen Code nicht und hat dadurch die Probleme nicht mehr. Dazu nutzt man einen Servlet Filter für die URLs oder einen AOP Interceptor, der die Methoden-Aufrufe abfängt und die Security bearbeitet. Dort kann man dann definieren, welche URLs oder Methoden von einer bestimmten Rollen aufgerufen werden können - logischerweise in der Spring-Konfiguration. Oder man schreibt passende Annotationen.

Im Gegensatz zu sonstigen Ansätzen zeigt Mike dann, dass man in den Annotationen oder der Konfiguration Rechte konfigurieren sollte und keine Rollen. Dadurch hat man den Vorteil, dass der Code nur Rechte kennt und keine Rollen - dadurch ist man flexibler. Wenn es neue Rollen gibt oder eine Rolle neue Rechte bekommt - auch zur Laufzeit - muss man einfach nur irgendwo ein Eintrag ändern, aber den Code nicht anfassen.

Ein weiteres Problem ist, dass man dynamische Rechte haben muss: Nur bestimmte Nutzer dürfen bestimmte Datensätze bearbeiten. Dazu kann man mit Spring Security auch nutzen, indem man den Zugriff über ACLs löst und diese ACLs ad-hoc anhand der Eigenschaften der Objekte berechnet. Das bedeutet auch, dass es eine Defense-In-Depth gibt, d.h. im System selber gibt es noch Verteidigungs-Linien zum Beispiel an den DAO-Schnittstellen. Wenn man es nun schafft, per SQL-Injection Datensätze auszulesen, auf die man keinen Zugriff hat, wird durch Spring Security die Ergebnisse trotzdem verworfen.

Bei Tests kann man durch diese Separierung den Business-Code ohne Security testen und die Security ohne den Business-Code. Und zwar recht einfach: Für die Tests der Geschäftslogik kann man die Security als Aspekt deaktivieren. Für Security-Tests ersetzt man die Logik durch eine einfache Variante, die keine echte Funktionalität hat. Mit Fit kann man die Tests einfach als Word-Dokumente schreiben und dann ausführen lassen.

Fazit: Security Last ist technisch machbar - und dabei wird es auch leichter testbar und leichter änderbar.

Labels: , , ,

 
Bookmark and Share
Comments:
Guten Tag,

ich glaube, das Herr Wiesner hier einen zu verkürzten Begriff von Security hat. Im wesentlichen dreht es sich bei Ihm anscheinend um Autorisierung. Natürlich kann man da mit Interzeptoren, Filtern, ..., grosse Teile der Autorisierung von der fachlichen Logik trennen. Das entbindet allerdings selbst im Fall der Autorisierung nicht davon, vorab über das Thema nachzudenken. Ich muss beispielsweise meine Domänenmodell so schneiden, das ich vernünftige Stellen habe, an denen ich mit Spring AOP eingreifen kann (und die Struktur der Anwendung sollte regulär genug sein, das man mit Wildcards in Pointcuts arbeiten kann, damit man nicht für jedes abzusichernde Objekt einen eigenen Pointcut braucht). Das bedingt nun gerade, dass ich wesentliche Entscheidungen (einschliesslich der Nutzung oder Nicht-Nutzung von Acegi, ...) über meine Software-Struktur schon sehr früh treffen muss und sich diese Entscheidungen auch früher verfestigen müssen als im Falle einer Mitentwicklung der Autorisierungs-Features. Letztlich gewinne ich durch die geschilderten Frameworks die Möglichkeit, die Entwicklung am Domänenmodell und an der Autorisierungslösung viel unabhängiger voneinander zu machen - ein grosser Fortschritt, von dem man allerdings nur dann wirklich profitieren kann, wenn man die wesentlichen Entscheidungen sehr früh trifft.

Gruß

Erich Pawlik
 
Hallo,

ich glaube nicht, dass man sich speziell unter dem Aspekt der Security Gedanken über die Struktur der Software machen muss. Generell ist es eine gute Idee, Architektur-Richtlininen festzulegen, d.h. zu definieren, wie ein Service, ein Repository usw. aussieht. Das sollte man immer machen - auch ohne AOP. Mit AOP Kann man dann an den richtigen Stellen eingreifen.

Bei der Absicherung der Domänen-Objekte kann es gut sein, dass man für jedes einzelne Domänen-Objekt eigene Policies braucht, die man im Code abbildet - ein eigener Pointcut ist aber nicht notwendig, nur entsprechende AclProvider, die die Zugriffsrechte regeln.

Gruß,

Eberhard Wolff
 
Kommentar veröffentlichen

<< Home
J for Java | I for Internet, iMac, iPod and iPad | Me for me

ARCHIVES
Juni 2005 / Juli 2005 / August 2005 / September 2005 / Oktober 2005 / November 2005 / Dezember 2005 / Januar 2006 / Februar 2006 / März 2006 / April 2006 / Mai 2006 / Juni 2006 / Juli 2006 / August 2006 / September 2006 / Oktober 2006 / November 2006 / Dezember 2006 / Januar 2007 / Februar 2007 / März 2007 / April 2007 / Mai 2007 / Juni 2007 / Juli 2007 / August 2007 / September 2007 / Oktober 2007 / November 2007 / Dezember 2007 / Januar 2008 / April 2008 / Mai 2008 / Juni 2008 / August 2008 / September 2008 / November 2008 / Januar 2009 / Februar 2009 / März 2009 / April 2009 / Mai 2009 / Juni 2009 / Juli 2009 / August 2009 / September 2009 / Oktober 2009 / November 2009 / Dezember 2009 / Januar 2010 / Februar 2010 / März 2010 / April 2010 / Mai 2010 / Juli 2010 / August 2010 / Oktober 2010 / Januar 2011 / Februar 2011 / März 2011 / April 2011 / Mai 2011 / Juni 2011 / August 2011 / September 2011 / November 2011 / Februar 2012 / April 2012 / Mai 2012 / April 2013 / Mai 2013 / Juni 2013 / Januar 2015 / Juli 2015 / Februar 2016 /

Links

Twitter
Google +
Slideshare
Prezi
XING
LinkedIn
Das Spring Buch


Feeds

Feedburner


Impressum
Betreiber und Kontakt:
Eberhard Wolff
Leobschützer Strasse 22
13125 Berlin
E-Mail-Adresse: eberhard.wolff@gmail.com

Verantwortlich für journalistisch-redaktionelle Inhalte:
Eberhard Wolff