問題タブ [java-security]

I am wondering whether J2C authentication in Websphere corresponds to Java2 Security or J2EE security.

What is the difference between these two? While configuring J2C Authentication alias in WAS Console, are we configuring Java2 Security or J2EE Securiy?

I am prety much confused in these. Please help me in this regard. Thanks.

Java 6 バージョンを使用してコンパイルされたサードパーティの Java パッケージがあり、このパッケージは Java 8 環境にデプロイされています。現在、実行時に次の例外が発生しています。

この例外について調査したところ、Java 8 がCertAndKeyGenクラスをsun.security.tools.keytoolパッケージに移動したことがわかりました。ただし、この場合、このパッケージは Java 6 を使用してコンパイルされ、sun.security.x509.CertAndKeyGenパッケージを参照しています。この問題を軽減するための代替アプローチは何ですか。. 御時間ありがとうございます。

ユーザーがある場所から私のウェブサイトにログインし、同時にユーザーが別の場所/コンピューターからログインしようとすると、「ユーザーは既にログインしています」と表示されるか、エラーが発生するはずです..私はそうではありませんコードを求めているので、この質問を閉じないでください。私はたくさん検索しましたが、これを質問として投稿しているだけです。
プロジェクトに実装できるように、誰かリンクやアイデアを教えてください。JAVA STRUTS2 で Web サイトを作成しました。

Policy次のように Policy クラスを拡張する独自のクラスを定義して、カスタムを設定したいと考えています。

次に、アプリケーションの開始時にカスタムPolicyクラスを設定SecurityManagerし、新しいポリシーが有効になるように有効にします。

上記の問題は、それが機能しないことです。上記の例の考え方は、アプリケーションがあらゆる種類の許可を必要とすることを実行できないようにするポリシーを導入することです。たとえば、アプリケーションを実行すると、次のようになります。

上記の結果、AccessControlExceptionによってスローされるはずSecurityManagerです。代わりに、私のアプリケーションは問題なく動作します。ただし、ポリシーを初期化すると、SecurityManager次のようになります。

次にSystem.getenv()、実際に実行すると、期待される結果が得られAccessControlExceptionます。

説明が必要な質問/懸念事項は次のとおりです。

• SecurityManager の設定後にポリシーを有効にするために、ポリシーを 2 回設定する必要があるのはなぜですか?
• 上記の問題は何らかのバグですか、それとも Policy クラスは意図的にこのように動作するように設計されていますか (もしそうなら、なぜですか?)。

これはオラクルの重要な更新についてです

http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html#AppendixJAVA

OpenJDK ソースコードをダウンロードすることで、存在する実際のセキュリティ脆弱性と、これらを修正するために行われたコード変更を知ることは可能ですか?

CVE の詳細を確認すると、ほとんどの場合、「Oracle Java SE 6u95、7u80、および 8u45 の未特定の脆弱性」と表示されます。

6u95、7u80 が影響を受けると記載されている場合、以前のバージョン (6u31、7u55) も影響を受けるということですか?

自己署名証明書を受け入れる必要がある jax-ws クライアント アプリを作成しています。しかし、自己署名証明書をインポートしようとすると、この一般的なSSL ハンドシェイク例外の問題が発生します。そのため、最も一般的な回避策は、JSSE セキュリティ プロバイダを拡張し、SSL コンテキストを初期化して、次のようなすべての証明書を受け入れることです。

これが、この問題に対して私が見つけた唯一の回避策でした。ここには、 SSL 証明書のインポートなど、同様の種類の質問が多数あり、それらはすべて同じ解決策を提案しています。

これは明らかに中間者攻撃を非常に受けやすく、このソリューションはテスト目的でのみ正当であるように思われます。

私の質問は、証明書をプログラムでインポートしようとするときに、このプロセス全体をより安全にする方法はありませんか?

前もって感謝します！

私は最近、従業員の Windows デスクトップで現在実行されているアプリケーションを実装し、そのコードをオフィスで使用されている Unix サーバーに移行するという、私の会社でのタスクを継承しました。

このサーバーは、IBM の websphere も実行します。これには、多くの企業の大規模な Web アプリケーションが含まれており、Java 1.6 を使用しています。

組織的な点は別として (これは巨大な会社であり、コーディングの多くはスパゲッティ ウエスタンのように見えます。古いレガシー システムについては、人々が何も知らなくても驚かないでしょう)、私の計画は単純にコードをダウングレードすることでした ( 1.7 から 1.6 までは簡単でした)、このアプリケーションを実行可能な jar に移動し、シェル スクリプトを介して呼び出します。

しかし、UNIX システムで実行することができないため、このアプリケーションが実稼働サーバーに移行されなかった理由がわかりました。

最初に、アプリケーションの一部として使用される SSL 接続がエラーをスローする問題に遭遇しました (これについては間違っている可能性があります) (この質問と同じエラー: SSL を使用した Web サービスへのアクセス中にエラーが発生しました)。 Websphere を使用してサーバー上で実行される Java アプリケーション (アプリケーションが Websphere にない場合) は実行できないため、これを行うには Java セキュリティ プロパティを手動で設定する必要があります (これはメイン メソッドの開始時に行いました)。 .

それをした後、私は最初のエラーを乗り越えましたが、今このエラーが発生しています

これがすでに尋ねられている場合は、申し訳ありませんが、見つけられなかったようです。ここにリンクしてください。質問を閉じます。

javaee Web アプリケーションにログインする方法と、認証されていないユーザーから URI リソースを保護する方法を知っています。動作します。

ここで、既存のすべての Java EE セキュリティ構造を使用することを考えました。単純に、コードを複製して悪化させることを避けたいからです。@Entityすでに利用可能な Beanを作成することは避けたいです。したがって、EJB、バッキング Bean、CDI Bean、および URI リソースを保護したいと考えています。すべて同じコンセプトです。つまり、私は必要です：

• Role--> javax.management.relation.Role
• Group--> java.security.acl.Group???
• User--> java.security.Principal

最大で、既存の実装を拡張し、より具体的な実装を使用したいと考えています。例--> 、などUserを持つユーザーfirstnamelastname

UserJava EE セキュリティまたは実装にすでにインターフェースはありますか?

また、ユーザーがフォームベースのログインで識別された場合、ユーザーのパーミッションを EJB でも確認できます@Statelessか (例)。例えば@RolesAllowed("admin")。言い換え:ログイン ステータスは、Web コンテキストだけでなく、EJB コンテキストにも適用されますか? （つまり、同じコンテナですよね？）