La revue de presse hebdomadaire des écosystèmes Java/JEE proposée par Xebia.
Le coin de la technique
Evénements de notre communauté en France et à l’étranger
Lire la suite de cet article »
Authentifier les utilisateurs d’une application est une étape cruciale pour tout système d’information. Restreindre l’accès à ses ressources selon certains critères l’est également. Côté web, Spring Security tient le haut du pavé en la matière. Pourtant son adhérence à Spring et sa volumétrie — plus de 10 JAR de dépendances — peuvent représenter un frein à son adoption. En outre, son absence d’intégration à Guice ou la récurrence du déploiement d’une application App Engine peuvent le rendre impraticable. Voici une bonne occasion pour se tourner vers Apache Shiro.
Lire la suite de cet article »
La revue de presse de l’actualité Java/J2EE hebdomadaire proposée par Xebia.
Actualité éditeurs / SSII
RIA
NoSQL
Le coin de la technique
Lire la suite de cet article »
La sécurisation des sites web est un sujet important dès lors que l’application que vous développez contient des données un tant soit peu sensibles, ayant trait à la vie privée, à des données bancaires ou encore à des données stratégiques (d’entreprise, gouvernementales, militaires …).
Le but de cet article est de sensibiliser les développeurs aux notions de sécurité des applications web. L’idée n’est pas de faire de vous des experts de la sécurité (le sujet est, comme vous vous en doutez probablement, plutôt vaste) mais de vous donner les bases qui vous permettront d’appréhender les principales problématiques de la sécurité informatique, et plus particulièrement de la sécurité des applications Web. Cet article n’a donc pas vocation à être un état de l’art des techniques de cryptographie et de sécurité informatique, mais d’en introduire les concepts.
Lorsque nous travaillons sur la sécurisation d’une application, nous nous attachons principalement aux aspects suivant :
- l’authentification,
- les autorisations,
- l’intégrité,
- la confidentialité,
- l’identité,
- la non répudiation.
Nous allons traiter dans la suite de cet article ces différents principes, en essayant de rester simple et pragmatique.
Lire la suite de cet article »
La revue de presse de l’actualité Java/J2EE hebdomadaire proposée par Xebia.
Actualité éditeurs / SSII
Le coin de la technique
Evènements de notre communauté en France et à l’étranger
Lire la suite de cet article »
Pour en avoir parlé fin septembre, vous savez peut-être que je participe à la traduction française du Maven Definitive Guide. Comme vous pouvez le constater, la traduction est maintenant bien avancée, nous lancerons d’ailleurs probablement très bientôt les demandes de relecture de la seconde et dernière partie (vous en serez informé sur ce blog).
Je profite de cette occasion pour vous en présenter un extrait en prenant l’exemple d’une fonctionnalité que je ne connaissais pas avant de m’y atteler : comment chiffrer vos mots de passe dans vos Settings Maven.
Lire la suite de cet article »
Amazon Elastic Compute Cloud (aka EC2), et de manière générale les Amazon Web Services, ont attiré l’attention de nombreuses personnes pour la flexibilité de déploiement qu’ils permettent.
Cette plate-forme de Cloud Computing a recourt à la virtualisation pour créer à la demande des instances de serveurs directement utilisables. Il s’agit donc d’une approche totalement différente des hébergements traditionnels.
Lorsque l’on parle d’EC2, il est souvent question du déploiement de sites Web de type réseaux sociaux pouvant connaître de grands pics de trafic imprévisibles. On met alors en avant l’élasticité de configuration qu’apporte EC2, par définition. En revanche, il est rarement question des problématiques de haute disponibilité ou des bonnes pratiques à suivre pour les déploiements d’architectures multi-tiers classiques.
De même, au-delà de l’élasticité, les justifications du déploiement sur EC2 sont en général peu abordées.
Chris Richardson, créateur de CloudFoundry (récemment racheté par SpringSource), nous a offert une présentation très complète sur l’ensemble de ces sujets rarement abordés autour des Web Services d’Amazon.
Lire la suite de cet article »
Configurer Tomcat 5 derrière un proxy Apache avec HTTPS, dit comme ça, le novice éclairé pourrait croire que c’est facile. Cependant les problèmes dus à de mauvaises configurations sont nombreux et parfois difficiles à diagnostiquer comme les boucles infinies de redirection par exemple. Donc facile oui (maintenant), mais il m’a fallu plusieurs heures de sueur avant de trouver, non pas une, mais deux solutions. L’avantage de ces deux techniques est de n’utiliser que le driver SSL d’Apache pour fournir le protocole HTTPS. Notez bien cette distinction, car il est facile d’avoir la configuration Apache HTTPS en proxy de Tomcat 5 HTTPS. Toute la difficulté est d’avoir une configuration pleinement fonctionnelle dans laquelle Apache HTTPS est proxy de Tomcat 5 HTTP. Cela permet de sniffer les paquets entre le frontal Web et l’application métier, tout en évitant de doubler les ressources utilisées pour encrypter et décrypter les données.
Un détail pour ceux qui utilisent le mod_jk, le projet Apache Httpd propose depuis Apache 2.0, le module mod_proxy qui permet notamment d’assurer la liaison Apache-Tomcat. Ce module, complété en version 2.2 de mod_proxy_balancer pour le load balancing, supporte les protocole HTTP (mod_proxy_http) et AJP 1.3 (mod_proxy_ajp). Si AJP a longtemps été le protocole utilisé par Tomcat en production, il est aujourd’hui possible, plus simple et plus fiable d’utiliser HTTP. HTTP est notamment recommandé par Mark Thomas et Philip Hanik, SpringSource, qui sont les plus gros contributeurs du projet Tomcat en ce moment.
Si vous êtes habitués à mod_jk, vous apprécierez notamment la simplicité d’un module embarqué par la distribution standard de Tomcat, la fin des interrogations sur la fermeture des connexions en présence d’un firewall entre Apache et Tomcat ou encore le débuggage avec un sniffeur réseau comme wireshark pour voir passer en clair les requêtes HTTP.
Lire la suite de cet article »
Agile et sécurité étaient le thème d’une session sur la sécurité dans un cadre agile. Le show était assuré par Jason Li et Jeff Hoff (Aspect Security).
Leur mise en scène presque théâtrale a fait oublier le niveau un peu faible de la présentation. Elle réservait tout de même quelques slides très intéressants que l’on vous doit de partager !
Lire la suite de cet article »
Depuis le rachat de Covalent en Janvier 2008, SpringSource est le premier contributeur au projet Apache Tomcat avec plus de 80% des commits ; Mark Thomas et Philip Thomas en sont les principaux acteurs.
Tomcat est la pierre angulaire de l’offre middleware de SpringSource aujourd’hui composée de tc Server, une version professionnelle Open Source de Tomcat et dm Server, un serveur OSGi (le format d’assemblage que SpringSource préfère aux classiques .war).
Mark Thomas a présenté lors de SpringOne 2009 : Securing Apache Tomcat For Your Environment les points essentiels sur ce sujet qui se décompose en trois thèmes : la confidentialité, l’intégrité et la disponibilité.
Lire la suite de cet article »
Complet
Twitter
