|
Tags: Java | Security | Web Applicaties
| ||
| ||
Beveiliging Java webapplicaties vereist kennisJava geeft beveiliging vorm door inzet van JAAS
Tekst en foto’s: Frans Kanters In de huidige webapplicaties is Java niet meer weg te denken. Fixion is een Oracle en Java specialist uit het Zuiden van ons land. Met behulp van speciale kennissessies wordt met gelijkdenkende bedrijven ervaringen en expertise uitgewisseld. Kennis is macht; kennis delen is beter. Een interview met Stephan van Hoof geeft inzicht. In de wereld van internet, webapplicaties en Oracle toepassingen is de rol van Java fl ink aan het toenemen. Niet in het minste vanwege de schaalbaarheid en het gemak voor programmeurs waarmee Java toepassingen ontwikkeld kunnen worden. Fixion is een specialist die de wereld van Oracle en Java technologie combineert. Vanuit een modern en strak pand in Eindhoven wordt sinds een aantal jaar aan de weg getimmerd. Organisaties waar Fixion aan de slag is zijn te vinden in (semi)overheid en bedrijven in de milieu en afvalbranche. Ook organisaties in de technologie sector, die traditioneel in en rond Eindhoven zijn neergestreken, behoren tot de cliëntèle. Beveiligingsvraagstuk niet triviaalDe inzet van Java technologie, en vooral het security aspect, vereist kennis. Fixion is specialist op gebied van Java technologie, en heeft ervaring met het realiseren van oplossingen daarmee. Het security aspect van applicatieservers zoals Tomcat, jBoss, BEA en OC4J (van Oracle) binnen een Java omgeving vereist diepgaande expertise. Stephan van Hoof is als technisch directeur werkzaam binnen Fixion. Hij zegt hierover: “Java is momenteel het platform als het gaat om het ontwikkelen van webapplicaties. Beveiliging is vooral in webomgevingen cruciaal. Wij als Fixion hebben ervaringen op dit vlak, en deinzen niet terug voor dit soort projecten. Fixion maakt in bepaalde trajecten gebruik van specialistische kennis. Zo ook met Java security. De inrichting van beveiliging aan de kant van de client is nog wel te doen. Maar dat is slechts een deel van het verhaal. De client heeft met een server te maken, en beveiliging is hierin een van de belangrijkste elementen. Je wilt tenslotte als bedrijf niet dat je webapplicatie voor Jan en alleman beschikbaar is, laat staan dat privacy gerelateerde informatie openbaar wordt gemaakt doordat een programmeur heeft zitten slapen. Fixion put uit haar omvangrijke kennisnetwerk als het gaat om dit soort specifi eke vraagstukken. Beveiliging is hot, en het belang en de aandacht ervoor wordt steeds evidenter. Het bewustzijn binnen organisaties voor beveiliging stijgt. Het beveiligingsvraagstuk van webapplicaties is niet altijd triviaal. Kijk je bijvoorbeeld naar het Java Authentication & Autorization System, kortweg JAAS, dan vereist inzet hiervan diepgaand inzicht.” JAAS wordt tegenwoordig standaard met Java meegeleverd, zowel in de JEE als JSE versie.Kennisdeling vooropExpertise rondom speciale aandachtsgebieden binnen Java technologie is soms met een lampje te zoeken. Sinds haar ontstaan heeft Fixion dit in een vroegtijdig stadium ervaren. Om enerzijds kennis te vergaren en anderzijds ervaringen en expertise in breder verband en met meerdere geïnteresseerde bedrijven te delen is een tweetal jaar terug het fenomeen kennissessie gestart. Deelname is gratis en discussie zonder aanzien des persoons staat hoog in het vaandel. Dit is een bijzondere insteek.Hoeveel bedrijven hebben de focus om kennis angstvallig binnenshuis te houden? Stephan van Hoof zegt hierover: “Fixion heeft niet de pretentie om alle kennis rondom Java en Oracle technologie in huis te hebben. Daarom werken wij regelmatig samen met experts van buiten het bedrijf. Voor de fase waarin wij nu verkeren en met het oog op de toekomst is het vinden van goede partners van belang. De inzet van onze kennissessies, die wij eens in de maand hier in Eindhoven organiseren, is gericht op het breder delen van gemeenschappelijke ervaringen van partners en deelnemers van de kennissessie. Tevens ontmoet je er mensen uit het vakgebied. De kennis komt uit de groep zelf. Als je weet wat er in je netwerk beschikbaar is aan expertise dan ben je beter in staat om je klant van advies te voorzien. Dat is ons streven. Kennisdeling is voor Fixion een van de pijlers.” 
Java security in een notendopHet beveiligen van webapplicaties is traditioneel een onderwerp waar per defi nitie specialistische kennis bij komt kijken. Stephan van Hoof heeft hier een ontnuchterende kijk op: “Een goede beveiliging vereist veel denkwerk. Je kunt dit er niet later zomaar even bij doen als programmeur. Zie het dus als een serieus onderwerp, vanaf de start. Of het nu gaat om het programmeren van maatwerk inlogschermen voor bedrijfsapplicaties of het bedenken van een strategie voor inloggen of een beveiligingsconcept voor een webapplicatie, je moet al snel terugvallen op alweer die expertise. Uit eerdere sessies blijkt dat er veel interesse is voor de beveiliging van webapplicaties. Daarom hebben wij de kennissessie ‘Security in JEE’ georganiseerd. Onze expertisepartner GLC professionals heeft deze presentatie voor zijn rekening genomen. Centraal hierin staat het beveiligen van JEE gebaseerde omgevingen, met de focus op het inlogproces.”In een notendop komt het beveiligen van een Java web applicatie neer op het maken van de juiste keuzen. Allereerst moet aan de kant van de client worden gekozen uit drie verschillende varianten. Los van de keuze bieden alle varianten veel kant-en-klaar code in Java. De eerste mogelijkheid is te kiezen voor HTMLFORM. Een voorbeeld hiervan is het inlogscherm van eBay. HTML-FORM is bij voorkeur de keuze als speciale lookand- feel gewenst is. Het gaat hier om maatwerk en dit levert veel controle over het inlogproces op. De tweede variant betreft HTTPbasic authentication dat is gebaseerd op een combinatie van inlognaam en een wachtwoord. Deze methode wordt standaard ondersteund door de browsers en is daardoor herkenbaar voor vele gebruikers. Het versturen van inlognaam en wachtwoord kan eventueel versleuteld. Nadeel van deze tweede variant is de gebruiker kan kiezen om het wachtwoord en de inlognaam te bewaren (cashen in het geheugen). Hierdoor is de inlog voor iedereen toegankelijk vanaf die machine. Als derde mogelijkheid is er het gebruik van certifi caten. Hierbij is er nog minder code noodzakelijk. De gebruiker krijgt door middel van zijn certificaat toegang en hoeft daardoor geen inlognaam en wachtwoord meer te geven. Snel en bij inzet van de juiste certifi caten redelijk waterdicht. Genoemde inlogvarianten en authenticatie methodieken kunnen worden gecombineerd met bijvoorbeeld SSL (Secure Socket Layer) zodat het transport van informatie versleuteld is. Beveiliging server traditioneel ingewikkeldAan de server kant is beveiliging een ander verhaal. Een Java applicatieserver levert out-of-the-box voorzieningen ten behoeve van de beveiliging. Deze kun je inzetten maar dit is niet verplicht. Je kunt er ook voor kiezen om dit zelf te programmeren. JAAS is de voorziening die je kunt inzetten voor beveiliging van de Java applicatie en voorziet in een uitgebreide set voorzieningen en functies.Naast SUN’s Java en dus JAAS is er een aantal open source oplossingen. Een daarvan is SPRING. Het beveiligingsverhaal in SPRING wordt geregeld via ACEGI, waarmee op redelijk eenvoudige wijze een rudimentair systeem voor authenticatie en autorisatie beschikbaar is. Stephan van Hoof tenslotte: “De ontwikkelingen binnen Java gaan in een razend snel tempo. Het bijhouden van deze veranderingen en het vervolgens op juiste wijze toepassen binnen projecten en klantomgevingen is een vak apart. Security in trajecten waar webapplicaties worden ontwikkeld is een belangrijk element om het succesvol invoeren van deze toepassingen te kunnen waarborgen. De Fixion kennissessies vormen een belangrijke bijdrage in het delen van specialistische expertise en uiteindelijke inzet daarvan in opdrachten. Fixion is dan ook continu op zoek naar sprekers met een interessant verhaal rondom Oracle en Java.” | ||
| Lees meer over Fixion | ||
| Ga terug naar We Love IT uitgave 5 - 2007 | ||
|
 |
|
