FORMATION Sécurité Java

Chargement et vérification des classes
Un des premiers mécanismes implémentés par la JVM est de s'assurer que le code chargé en mémoire ne peut contourner les mécanismes de protection du langage.
Rôle du compilateur Java
Rôle des classloader
Les différentes zones mémoires de la JVM et leur gestion par le garbage collector
Hiérarchie des différents classloader
Vérification du byte-code
Chargement dynamique ce classe
Implémenter un class loader

Travaux Pratiques :
Modification d'un fichier .class et exécution avec l'option -noverify, Implémentation d'un classloader chargeant des classes cryptées
Gestionnaire de sécurité et permissions
Les permissions et le gestionnaire de sécurité permettent de contrôler finement les autorisations d'un programme et ses interactions avec son environnement.
Opérations contrôlables
Activation du gestionnaire de sécurité
Domaine de protection, provenance du code et permissions
Parcours de l'API
Fichier .policy
Les classes Permission
Implémentation d'une classe Permission

Travaux Pratiques :
Mise au point d'un fichier .policy, implémentation d'une classe Permission
JAAS, Authentification et Autorisations
JAAS offre les services d'authentification et d'autorisations des utilisateurs ou systèmes externes interagissant avec l'application tout en restant du indépendant de la technologie d'authentification.
Présentation de JAAS
LoginContext et LoginModule
Configuration et empilement des login modules
LoginModule disponibles
Implémentation d'un login module spécifique, les CallbackHandler
Packaging d'un login module
Autorisations, Objet Subject et Principals
Interface PrivilegedAction
Configuration des permissions

Travaux Pratiques :
Implémentation d'un LoginModule, Configuration des autorisations à partir de rôles utilisateurs.
Signatures numériques et chiffrement
Les techniques de cryptographie permettent de garantir la provenance d'un code et la sa non altération.
Empreinte de messsage, SHA1 et MD5
Signature numérique, clé publiques et clés privées
L'outil keytool et les keystore
L'outil jarsigner
Les autorités de certification
Déploiement de code signé dans un intranet ou sur internet
Permissions basées sur des keystore
Chiffrement de données, les algorithmes AES et RSA

Travaux Pratiques :
Vérification d'une empreinte, Déploiement d'un applet dans un intranet, Chiffrement symétrique et asymétrique
Application de la sécurité dans un environnement Web
Ce chapitre expose l'application des concepts précédents à l'environnement Web exposées.
Sécurisation d'un serveur applicatif Java
Authentification des utilisateurs, descripteur de déploiement d'une application web
Configuration des logins module dans les principaux serveurs applicatifs
Sécurité déclarative des différents tiers de Java EE
SSL.

Travaux Pratiques :
Sécurisation d'une application web

Formation sécurité JVM

Formation Security Manager

Formation certificat java

Formation java.security