Objectifs

• Comprendre et maîtriser les concepts qui permettront de mettre en sécurité les applications développées en Java.
• Connaître les techniques de base de l'authentification, de la sécurisation des communications et de la gestion des droits d'accès dans les environnements Java JEE.

Public

Développeurs d'applications Java.

Pré-requis

la connaissance de la programmation Java est indispensable.

Post-Formation

Méthodes

50% Pratique 50% Théorique

Programme

PRINCIPES ET CONCEPTS DE LA SECURITE DES APPLICATIONS

• L'authentification, l'identification et les autorisations
• Les communications en confidentialité
• La non répudiation
• Techniques de base de cryptage : symétrique, clé publique, certificats
• Quelques exemples de techniques de compromissions et d'attaques

LA SECURITE DE LA MACHINE VIRTUELLE

• Les dangers inhérents à la technologie Java
• Le classLoader, le SecurityManager et l'AccessController
• Les fichiers de stratégie de sécurité
• L'obfuscation du code

SECURISATION DES COMMUNICATIONS

• Rappels sur les outils de base, Sockets
• La librairie JSSE pour mettre en euvre des sockets SSL
• Utiliser un certificat X509
• Le chiffrement des communications au travers de la librairie JCE

L'AUTHENTIFICATION ET LES AUTORISATIONS

• La librairie JAAS
• Définir des utilisateurs et donner des autorisations
• Le pont avec les modules PAM
• Mise en euvre à travers de Kerberos ou JNDI

MISE EN EUVRE DE LA SECURITE DANS UNE ARCHITECTURE JEE

• Authentification des utilisateurs, les rôles
• Contrôler les accès aux composants EJB
• Exécuter sous une autre identité
• Implémentation dans Tomcat
• Implémentation dans JBoss

Environnement

Mot-clés

JVS100_Securite-Java_JVS100