in Java Security - Joller-Voss

Weitere Magazine

Empfehlungen

Info

JAVA SECURITY 1.2.3. Gute Security Praktiken Da die meisten Rechner mit einem Intranet oder dem Internet verbunden sind, wurde das Thema Rechnersicherheit in den letzten Jahrzehnten zunehmend wichtiger. Zudem wurde das Thema Sicherheit auch wesentlich komplexer durch neue Zugriffsarten (Modem, Kabelnetz, VPN) und neue Möglichkeiten unerlaubt auf Rechner zuzugreifen und neuartige Sicherheitsverletzungen. Die meisten Experten sind sich jedoch einig, dass eine gute Sicherheitspraktik sich um folgende Themen kümmern muss: • Identifikation und Authentifizierung / Bestätigung / Beglaubigung • Autorisation • Ressourcen Kontrolle und Beherrschung • Vertraulichkeit und Integrität • Unleugbarkeit • Prüfen / Auditing Um ein zuverlässiges Sicherheitsmodell implementieren zu können muss sich der Benutzer der Streitpunkte bewusst sein und Vorsichtsmassnahmen und Sicherheitspläne sollten definiert sein. Effektive Sicherheit kann nur durch folgende Massnahmen erreicht werden: • Schulung der Benutzer (Mitarbeiter und Angestellte) über Sicherheitsbelange und Taktiken / Policies. • Implementation eines Einbruchabwehrplans, in dem festgehalten wird, wann Auditdateien nachgeschaut werden müssen und auf was geachtet werden muss. • Implementation eines Rettungsplans / Wiederherstellungsplans / Recovery Plans für den Fall eines Einbruchs und Festlegung wer was zu tun hat, wer für was verantwortlich ist. Identifikation und Authentifizierung legen die Legitimierung / Rechtmässigkeit eines Knoten oder eines Benutzers fest, bevor der Zugriff auf einen Rechner oder benötigte Informationen freigegeben wird. Im Verlaufe dieses Prozesses muss unter Umständen ein Benutzer einen Benutzernamen oder eine Kontonummer (Identifikation) und Passwort (Authentifizierung) eingeben, bevor ihm der Zugriff zum Rechner gestattet wird. Nachdem das System den Benutzer identifiziert und authentifiziert hat, erwartet er, dass falls er eine Kommunikation zu einem andern Rechner aufbaut: • dieser (andere) Rechner kein Betrüger ist • die Dateien, die er herunter lädt das enthalten, was er erwartet, insbesondere keine Viren, trojanische Pferde oder Code, der die Integrität oder Sicherheit seines Systems beeinträchtigen könnte. Das Java Security Package enthält die Werkzeuge keytool und jarsigner (und ab JDK 1.1 javakey), mit deren Hilfe digitale Signaturen und Zertifikate gehandhabt werden können. Digitale Signaturen identifizieren Programmquellen, nicht aktuelle Benutzer. Auf der Browser Ebene hängt die Java Security von der Benutzerauthentifizierung auf Betriebsystemebene ab. Danach schützt eine digitale Signatur den Benutzer. Autorisierung ist der Prozess zur Bestimmung der erlaubten Aktivitäten für einen authentifizierten Benutzer. Nachdem der Benutzer authentifiziert ist, kann er für unterschiedliche Zugriffe oder Aktivitäten autorisiert werden. Administratoren können über den Level der Zugriffsrechte für autorisierte Benutzer entscheiden. Die Granularität / Körnigkeit dieser Zugriffsberechtigungen ist ein wichtiger Bestandteil der Autorisierung. 4 / 134 © J.M.Joller
JAVA SECURITY Rechnerbenutzer hängen von der Vertraulichkeit und Datenintegrität der Rechner und Rechneranwendungen ab. Vertraulichkeit kann viele unterschiedliche Bedeutungen haben. Die meisten Benutzer verstehen darunter, dass die Informationen vor unberechtigtem Lesen oder Kopieren geschützt sind, sofern der Besitzer der Informationen diese Zugriffe nicht explizit gestattet. Im UNIX, VMS, ... System werden Dateien im Rahmen des Dateisystems geschützt (Lesen, Schreiben, Ausführen, Löschen). Datenintegrität bedeutet, dass Daten nicht auf unautorisierte Art und Weise verändert wird. Wie könnten Sie mit einem Rechner arbeiten, falls Sie nicht dieses Vertrauen hätten Authentifizierung ist eine Voraussetzung für Unleugbarkeit. Unter Unleugbarkeit verstehen wir in diesem Zusammenhang die Unleugbarkeit des Ursprungs, also der eindeutigen Zuweisbarkeit einer Verantwortung. Mittels Unleugbarkeit kann das Sicherheitssystem einen Benutzer eindeutig für eine bestimmte Transaktion verantwortlich machen. Damit werden auch elektronische Vereinbarungen möglich, da eindeutig die Partizipation der einzelnen Teilnehmer bewiesen werden kann. Gute Sicherheitsrichtlinien enthalten Prüfungsgrundsätze. Diese helfen den Administratoren Probleme zu isolieren und zu beheben, wann immer eine Abnormalität oder ein Verstoss eingetreten ist. Prüfungen / Audits bewahren nicht vor Attacken. Aber eine Prüfung kann Aufschluss liefern über den Umfang eines Verstosses und ist damit auch behilflich bei der Behebung des Schadens. 5 / 134 © J.M.Joller
Seite 1 und 2: JAVA SECURITY In diesem Kapitel:
Seite 3: JAVA SECURITY 1.2. Modul 1 - Übers
Seite 7 und 8: JAVA SECURITY 1.2.5. Das Sandbox Si
Seite 9 und 10: JAVA SECURITY Security Manager Java
Seite 11 und 12: JAVA SECURITY 1.2.7. Musterlösunge
Seite 13 und 14: JAVA SECURITY 1.3. Modul 2 - JVM un
Seite 15 und 16: JAVA SECURITY 1.3.3. Java Interpret
Seite 17 und 18: JAVA SECURITY In Durchlauf 1 wird d
Seite 19 und 20: JAVA SECURITY Die Spezifikation der
Seite 21 und 22: JAVA SECURITY 1.3.5. Typensicherhei
Seite 23 und 24: JAVA SECURITY 1.3.8. Verifier und C
Seite 25 und 26: JAVA SECURITY 1.3.9. Kimera Projekt
Seite 27 und 28: JAVA SECURITY 1.3.10.4. Java Compat
Seite 29 und 30: JAVA SECURITY 1.3.11. Indirekte Aus
Seite 31 und 32: JAVA SECURITY http://kimera.cs.wash
Seite 33 und 34: JAVA SECURITY 1.3.12.1.5. Schritt 4
Seite 35 und 36: JAVA SECURITY 1.3.12.1.8. Schritt 7
Seite 37 und 38: JAVA SECURITY 1.3.12.2.1. Kimera By
Seite 39 und 40: JAVA SECURITY 1.3.12.2.2. Kimera Di
Seite 41 und 42: JAVA SECURITY 1.3.12.3. Jasmin - ei
Seite 43 und 44: JAVA SECURITY 1.3.13. Quiz Frage 1
Seite 45 und 46: JAVA SECURITY 1.4. Module 3 - Class
Seite 47 und 48: JAVA SECURITY 1.4.3. Wie wird eine
Seite 49 und 50: JAVA SECURITY 1.4.3.2. Überprüfen
Seite 51 und 52: JAVA SECURITY 1.4.3.4. Kreieren ein
Seite 53 und 54: JAVA SECURITY 1.4.4. Class Loaders
Seite 55 und 56:
JAVA SECURITY 1.4.6. Laden von Ress
Seite 57 und 58:
JAVA SECURITY 1.4.8. Class Loader S
Seite 59 und 60:
JAVA SECURITY 1.4.9. Übungen Lernz
Seite 61 und 62:
} JAVA SECURITY } catch (Exception
Seite 63 und 64:
} JAVA SECURITY byte data[] = loadC
Seite 65 und 66:
JAVA SECURITY //in.close(); int sum
Seite 67 und 68:
JAVA SECURITY 1.5.2. Security Manag
Seite 69 und 70:
JAVA SECURITY 1.5.3. Security Manag
Seite 71 und 72:
JAVA SECURITY 1.5.6. FileInputStrea
Seite 73 und 74:
JAVA SECURITY 73 / 134 © J.M.Jolle
Seite 75 und 76:
JAVA SECURITY Alle drei Methoden we
Seite 77 und 78:
JAVA SECURITY 1.5.9. Installieren e
Seite 79 und 80:
JAVA SECURITY 1.5.12. Übung - Secu
Seite 81 und 82:
} File base = new File (args[0]); J
Seite 83 und 84:
} JAVA SECURITY public void checkSy
Seite 85 und 86:
JAVA SECURITY 1.5.12.4. Runner pack
Seite 87 und 88:
JAVA SECURITY 1.6.2. Kurzwiederholu
Seite 89 und 90:
JAVA SECURITY 1.6.5. Das Java Prote
Seite 91 und 92:
JAVA SECURITY 1.6.6. Protection Dom
Seite 93 und 94:
JAVA SECURITY # if this is set to f
Seite 95 und 96:
JAVA SECURITY Die möglichen Permis
Seite 97 und 98:
JAVA SECURITY Sie können auch alle
Seite 99 und 100:
JAVA SECURITY Die folgende allgemei
Seite 101 und 102:
JAVA SECURITY Selbsttestaufgabe 3 W
Seite 103 und 104:
JAVA SECURITY 1.7. Modul 6 - Java J
Seite 105 und 106:
JAVA SECURITY 1.7.4.3. java.securit
Seite 107 und 108:
JAVA SECURITY 1.7.4.6. PermissionCo
Seite 109 und 110:
JAVA SECURITY Mit dieser neuen Sich
Seite 111 und 112:
JAVA SECURITY 1.7.6. Exceptions Im
Seite 113 und 114:
JAVA SECURITY 1.7.6.2. java.securit
Seite 115 und 116:
JAVA SECURITY Alle JDK Permission K
Seite 117 und 118:
JAVA SECURITY 1.7.9. Neue Permissio
Seite 119 und 120:
JAVA SECURITY 1.7.10. Quiz Selbstte
Seite 121 und 122:
* Preview ist nicht implementiert *
Seite 123 und 124:
JAVA SECURITY /** * Initialisieren
Seite 125 und 126:
** * hash code * @return hash code
Seite 127 und 128:
JAVA SECURITY System.out.println("t
Seite 129 und 130:
JAVA SECURITY } /** * main Methode
Seite 131 und 132:
JAVA SECURITY 1.8. Zusammenfassung
Seite 133 und 134:
JAVA SECURITY 1.4.3.1. Validieren d
Alle anzeigen

in Java Security - Joller-Voss

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?