Павел Кислов - Spring Security: повседневное и неочевидное
Вставка
- Опубліковано 4 кві 2024
- Ближайшая конференция - Joker 2024, 9 октября (Online), 15-16 октября (Санкт-Петербург + трансляция).
Подробности и билеты: jrg.su/Ypf1HW
- -
Spring Security готовить легко, пока его варианты использования сводятся к донастройке всего готового в рамках проекта у каждого из нас на работе.
Такой Spring Security - это удобно, привычно и понятно. Совсем другая тень Spring подступает к нам за плечи, когда мы садимся делать что-то с нуля, особенно если все, что касается Security чуть более сложно, чем в обучающих курсах. Мы пишем код, и в нашей голове возникает масса вопросов. Оказывается, в понимании и системности знаний есть пробелы.
В докладе крутим Spring Security на примере домашнего проекта, говорим об аспектах Spring Security, которым уделено мало внимания, ловим «видеоэффекты» и делаем выводы.
Скачать презентацию с сайта Joker - jrg.su/OkQ2SE
#java #springsecurity - Наука та технологія
Классный доклад
Бомба 💥
если перед получением токена пользователь отправляет json с логин/пароль в незашифрованном виде, накой тогда токен шифровать в последствии?
дыра в защите при передаче первого json делает это бессмысленным
Токен и логин в первый раз ходят по https) сегодня https везде. Это невелирует, ну, почти, суть твоего выссказывания)
Не особо понял как можно воспользоваться SESSION ID даже если она и отправляется клиенту (это кстати происходит не всегда, что не очевидно, например при попытке доступа с действующим JWT мы НЕ получим в ответе session ID, а вот при неверном или отсутствующем JWT куки мы таки получаем). Но даже имея этот session ID я не смог получить доступ к защищённому endpoint-у (даже дебагером быстренько попытался в самом спринге найти где бы это могло сработать, не нашёл) и даже не представляю с чего бы спринг вдруг пропустил все остальные фильтры, если бы увидел присланный session ID (которая ни к чему даже не привязана). В общем очень хотелось бы увидеть пример, а то в докладе на этой "уязвимости" несколько раз акцентировалось внимание, а никакого рабочего примера уязвимости я создать не смог.
Когда ты отправишь свои логин и пароль, если сессия не отключена и работает, то тебе выдастся кука. Jwt фильтр обычно мы пишем сами. Если в этот момент у нас оказывается два фильтра, есть сохраненная сессия и мы пришлем ее сешн айди, то запрос пройдет дальше. Согласен. Это зависит от реализации твоего жвт-фильтра. Но обыно они не бросают исключений. И в таком случае при наличии заполненного из сессии секьюрити контекста, ты можешь ходить, минуя jwt.
Очень неоднозначное впечатление от доклада. С одной стороны, автор хорошо готовился, и видно, что в целом разбирается в вопросе.
С другой стороны, непонятна цель доклада и целевая аудитория. С одной стороны, это хай-левел овервью со ссылками, с другой - частое 15-секундное упоминание вскользь какого-то лоу-левел аспекта миграции между конфигурациями в версиях 2 и 3 бута
Я достаточно много работал с секьюрити, у в целом у меня мозг не взорвался после просмотра, но на мой взгляд - такие доклады стоит разбивать на несколько частей и фокусироваться на законченном скоупе. Даже интересно, какая была общая обратная связь по докладу от тех, кто пришел на него.
А ещё интереснее - как доклад ревьюили сами организаторы конференции. И ревьюили ли
Оценки у доклада высокие. Потому что весь необозренный материал покрыт ссылками. Все азы секьюрити даны. Все материалы даны. Цель доклада была в том, чтобы рассказать то, что трудно гуглится, то что важно знать, как тонкости, но это в то же время абсолютно базовые вещи. "Повседневное и неочевидное" - каждый день вокруг нас и не само собой разумеется при первом взгляде на предметную область и инструмент. Спринг секьюрити сам по себе необъятен сегодня. Дока по слогам - это скучно. А, вот, когда ты собрал все основные шишки и можешь дать слушателю их в краткой смеси с основными концепциями - это круто.
@@user-eb1xp8oy1f ты спикер?
@@anton-tkachenkoда.
@@anton-tkachenkoвсе вопросы и претензии можно прям сюда в комменты. Я открыт критике. И читаю эти комменты, чтобы учитывать мои огрехи в подаче и материале.
А если подойти ко мне на конфе прямо с этим, то вообще пушка)