問題タブ [securitydomain]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache-flex - リモート SWF をアプリケーション SecurityDomain (actionscript3) に「ブートストラップ」します。
私の Flash (AS3/AIR) アプリケーションは現在、(Flash アプリの) 少し変わったアーキテクチャを使用して、実行時に読み込まれたコンテンツに特定の基本クラスを提供しています。外部コンテンツは「スタブ」基本クラスで公開されますが、実行時に読み込まれると「実際の」基本クラスによって隠されます。Adobe ではこれをブートストラップ( pdf )と呼んでいると聞いたことがありますが、これまでのところ非常にうまく機能しています。確かなことを言う資格はありませんが、私が信じている DLL アーキテクチャと同じです。
これまでロードしていた外部コンテンツは、同じSecurityDomain
(同じサンドボックス) 内からロードされていたため、 child 内のコンテンツを簡単にロードできましたApplicationDomain
。残念ながら、私が知る限り、ApplicationDomain
s にまたがるSecurityDomain
s は関連付けることができません。つまり、ある SecurityDom の AppDom を別の SecurityDom の AppDom の子にすることはできません。
しかし、今度はこの外部コンテンツをアプリケーション サンドボックスの外からロードする必要があります。を介して通信を行う方法はたくさんありますがSecurityDomain
、そのほとんどは非常に限定されていますが、AIR のsandboxBridge
API はおそらく最も強力です。残念ながら、これらの通信方法では、このブートストラップ アーキテクチャを実現することはできません。
LoaderContext
オブジェクトにプロパティがあることに気付きましたsecurityDomain
が、Flash セキュリティにより、「ローカル swfs」がオブジェクトに触れることが禁止されています (SecurityError
または同様のものがスローされます)。
Flexには有望に見えるプロパティSWFLoader
がありますが、 で を設定するのtrustContent
と同じ制限があると思いがちです。SecurityDomain
Loader
LoaderContext
再設計する必要があると思いますが (これは簡単ではありません)、調査で何かを見逃していないことをここで確認したいと思います。
それで... アイデアや知恵の真珠はありますか?セキュリティモデルに取り組んでいるアドビの誰かが決定的な「はい/いいえ、できます/できません」と言ってくれたら、特にうれしいです...
前もって感謝します!
補遺:それ以来、ブートストラップがすべて外部ドメインで行われるように、アーキテクチャを再設計することにしました。しかし、私の質問はまだ好奇心から立っています。
jboss - Jboss5、@RunAs を介した保護された EJB への認証されていない呼び出し
認証されていないソース (キューに接続されたメッセージ駆動型 Bean) から保護された EJB のメソッドを呼び出そうとしています。MDB には @EJB を介して EJB が注入されていますが、これは問題ありませんが、ターゲット EJB には @SecurityDomain("stuff") と @RequireRole("user") があり、実行時に巨大なスタック トレースが生成されます。
@SecurityDomain("stuff") @RunAs("sysuser") のアノテーションが付けられた仮の EJB を介してロールを提供することで、これを修正しようとしました。この仮の Bean には、元のターゲット EJB が注入されています。私の理解では、ターゲット EJB は「sysuser」のロールの下で暫定 Bean から呼び出されるメソッドを持っているということです。それでも、同じスタック トレースが得られるため、作成のデータベース ロールバックが発生します。
パス MDB -> SecureEJB は、これらのスタック トレースなしで、他のいくつかのバリエーションで可能ですか? プロキシ アプローチは成功への正しい道を進んでいますか?それとも、何か追加する必要があるものはありますか?
乾杯、アンディ
ssl - PBESecurityDomain を使用した相互/クライアント証明書認証で Jboss アプリケーション ポリシーが無視される
次の相互クライアント証明書を使用すると、SSL (TLS) ハンドシェイクが残りのエンドポイントで機能します (yay!) - テストとデバッグによって検証されました: javax.net ロギング & ワイヤーシャーク。しかし...
最初の観察: HTTPServletRequest および JAX-RS アノテーション付き SecurityContext に null プリンシパル情報がある
2 番目の観察: application-policy 要素を含む login-config.xml を改ざんしても効果がない
つまり、TLS は機能しますが、証明書 DN を要求スレッドの HTTPServletRequest オブジェクトに転送しても、アプリケーションが呼び出し元の ID を取得することは妨げられません。誰かアドバイスはありますか?
JBoss 6 の場合:
デプロイ/jbossweb.sar/server.xml:
deploy/jbossweb.sar/META-INF/jboss-beans.xml:
deploy/security-service.xml:
デプロイ/セキュリティ/セキュリティ-jboss-beans.xml:
conf/login-config.xml:
戦争/WEB-INF/jboss-web.xml:
security - Chrome は現在、https から http へのすべての jsonp リクエストをブロックしていますか?
最近のある時点で、Chrome は jsonp 経由でロードされたデータの表示を停止し、エラーが発生しました
[ブロック] https://user.example.com/category/12345のページで、 http://livedata.example.com/Data.svc/jsonp/GetData?category=12345&callback=_jsp&_1346417951424=の安全でないコンテンツが実行されました。
他のすべてのブラウザでは問題なく動作し、Chrome を実行しているいくつかの異なるコンピュータで確認されています。
この問題について私が以前に見た唯一の言及は、ページが Google 自身のドメインの 1 つから提供されたときです (Google Apps のセキュリティ機能だと思いますか?)。これは、最近のバージョンですべてのドメインで有効になっているものですか?クロムの?
理想的には、livedata サブドメインで https を有効にする必要はありません。これは、余分なサーバー負荷が発生するためです。データはすべて公開されているため、差し迫った暗号化の必要はありません。
mysql - 複数のデータベース (SQL クラスター) との JBOSS 接続
JBOSS を複数のデータベースに接続したい (フェールオーバー リカバリとロード バランシングを使用)。つまり、最初の DB 接続が失敗した場合に、ある DB から別の DB に接続を切り替えます。
また、各 DB 接続には、個別のユーザー ID とパスワードのセットがあります。
前半はほぼ終わったけど、後半はまだ途中。
どうすればいいのですか?
javacard - javacard アプレットのバージョンを変更する
カードでパーソナライゼーションが行われ、新しいデータの量が javacard に保存されている状況を考えてみましょう。aplet に小さな変更があり、javacard でアプレットのバージョンを更新したい場合、各アプレットとして、以前にカードに保存されたデータはどうなるでしょうか。は独自のセキュリティ ドメイン (SD) を持っています。すべてのデータは現在のアプレットの SD に保存されていると思います。そのため、新しいインストールは以前のアプレットの削除につながります。では、保存されたデータはどうなりましたか?
よろしく
actionscript-3 - 'loader' および 'loaded' アプリケーションで型強制が失敗しました
私のメイン アプリケーションの swf ファイルは、キャッシュを壊すのに役立つ単純なローダー swf アプリケーションによってロードされています。どちらのアプリケーションでも、シングルトンにアクセスしたいと考えています。バグを再現する例を提供します。シングルトンは次のとおりです。
ローダーとメイン クラスの両方のコンストラクターで、次のように呼び出します。
これは、シングルトン クラス コードが両方のアプリケーションに確実に含まれるようにするためです。ローダー コードは提供しませんが、非常に単純です。Loader インスタンスを作成し、現在の ApplicationDomain と SecurityDomain の両方を提供する LoaderContext を作成します。
しかし、ローダー アプリケーションを起動すると、次のエラーが表示されます。
メインアプリケーションがローダーでロードされた直後にこのエラーが発生します。Event.COMPLETE はまだディスパッチされていないため、ハンドラーは関与していません。アプリケーションまたはセキュリティ ドメインについて何かを見つけようと多くの時間を費やしましたが、次に見つけたものは本当に奇妙なので、それは問題ではないようです。代わりに:
私は書く:
その後、そのようなエラーは発生せず、すべて問題ありません。明らかに、ここでフラッシュ プレーヤーが予期しない動作を実行しています。この問題に関する情報はほとんどありません。ほとんどの人は、ローダー コンテキストが欠落しているためにこのエラーを受け取りますが、前にここで述べたように、そうではありません。これに関するいくつかの議論は、小さなアプリケーションローダーを使用するときに遭遇する非常に一般的な問題であることがわかっているため、私にとっては奇妙なことです。
java - セキュリティ ドメイン JBoss AS 7.1.1 の不正なユーザー名またはパスワードのカスタム エラー ページ
JSF 2 で PrimeFaces 4 を使用し、JBoss AS 7.1.1.Final で実行し、JBoss Security Domain を使用して、DatabaseServerLoginModule と auth-method FORM を使用して、Web/エンタープライズ (耳) Java アプリケーションに取り組んでいます。
これは正しく機能しており、ユーザー名またはパスワードが正しくない場合は、予想どおり、web.xmlの form-error-pageによって構成されたページにリダイレクトされます (ユーザー名またはパスワードが正しくないことが示されています)。
私の上司は、「無効なユーザー名」や「無効なパスワード」など、どのデータが間違っていたかに応じて、より具体的なメッセージを求めています。これはform-error-pageにある可能性がありますが、ログイン フォーム フィールドの近くにメッセージとして表示される可能性があります。
出来ますか?どのように?
ありがとう
jsf - Wildfly セキュリティ ドメインを使用してログインできない
グラスフィッシュ 4 からワイルドフライ 8.1 に移行しています。
問題は、Wilfly のセキュリティ ドメインを使用したログインにあります。何時間も解決策を見つけることができません。
これが私のstandalone-full.xmlセキュリティドメイン構成です:
ここでもデフォルトのセキュリティドメインを作成しました
ここにweb.xmlの私の設定があります:
ais.properties の構成は次のとおりです。
および jboss-web.xml 構成:
login.xhtml:
UserBean ログイン機能:
それは私に次の例外を与えます:
jakarta-ee - WildFly 8.x でのセキュリティ ドメインの自動展開
セキュリティ ドメインとデータベースという名前のモジュールを使用して、アプリケーションを自動セットアップする方法を探しています。
初期設定を簡素化するために、展開(Maven)またはセットアップ(ランタイム)フェーズでstandalone.xmlまたはdomain.xmlにセクションを追加する方法を教えてください。