netlogix, profile picture
Hochgeladen vonnetlogix
1,864 aufrufe

FLOW3: Security mit AOP

Das Dokument behandelt das Flow3 Security Framework, das auf die Entwicklung sicherer Anwendungen abzielt und Authentifizierung sowie Autorisierung durch Aspektorientierte Programmierung (AOP) ermöglicht. Es erläutert verschiedene Methoden der Authentifizierung, die Mechanismen zur Autorisierung und Content-Security, um den Zugriff auf gespeicherte Daten zu kontrollieren. Darüber hinaus werden Lösungen zur Verhinderung von Sicherheitslücken wie Cross-Site Request Forgery (CSRF) vorgestellt.

Präsentation einbetten

FLOW3: SECURITY MIT AOP FLOW3 Experience 2012 31.03.2012 F3X - Andreas Förthner media.netlogix.de 1
ANDREAS FÖRTHNER Leiter Web-Entwicklung @t3andi netlogix Media TYPO3 Phoenix / FLOW3 Core Team seit 2007 Andreas_Foerthne TYPO3 Security Team r Member und Kopf hinter dem FLOW3 Security Framework andreas.foerthner@netlogi x.de 31.03.2012 F3X - Andreas Förthner media.netlogix.de 2
AGENDA Warum ein Security Framework? Authentifizierung Autorisierung mit AOP cont ent Content Security ... und der ganze Rest 31.03.2012 F3X - Andreas Förthner media.netlogix.de 3
WER? WAS? WIE? UND WARUM DER GANZE AUFWAND? Das Security Framework 31.03.2012 F3X - Andreas Förthner media.netlogix.de 4
DAS SECURITY FRAMEWORK Start der Planungen bereits Ende 2007 Ziel: Unterstützung bei der Entwicklung sicherer Anwendungen Kritische Routinen zentral kapseln Infrastruktur für oft benötigte Use-Cases Nicht Teil des Security-Packages: Validierung und Output-Filterung 31.03.2012 F3X - Andreas Förthner media.netlogix.de 5
UND WER WARST DU NOCH GLEICH? Authentifizierung 31.03.2012 F3X - Andreas Förthner media.netlogix.de 6
AUTHENTIFIZIERUNG Es ist möglich beliebige Mechanismen zur Authentifizierung zu verwenden 31.03.2012 F3X - Andreas Förthner media.netlogix.de 7
AUTHENTIFIZIERUNG Es ist möglich beliebige Mechanismen zur Authentifizierung zu verwenden Bisher in FLOW3 implementiert: Benutzername/Passwort HTTP-Auth typo3.org SSO 31.03.2012 F3X - Andreas Förthner media.netlogix.de 7
AUTHENTIFIZIERUNG TYPO3: FLOW3: security: authentication: providers: DefaultProvider: providerClass: PersistedUsernamePasswordProvider entryPoint: WebRedirect: uri: login.html 31.03.2012 F3X - Andreas Förthner media.netlogix.de 8
AUTHENTIFIZIERUNG Es ist möglich verschiedene Mechanismen gleichzeitig zu verwenden! More-Factor-Authentication Verschiedene Mechanismen für verschiedene Bereiche Verschiedene Mechanismen je nach Herkunft des Users (z.B. internes vs. externes Netzwerk) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 9
AUTHENTIFIZIERUNG DefaultProvider: providerClass: PersistedUsernamePasswordProvider requestPatterns: uri: /userarea AdministrationProvider: providerClass: PersistedUsernamePasswordProvider requestPatterns: controllerObjectName: MyPackage/Controller/Admin.* 31.03.2012 F3X - Andreas Förthner media.netlogix.de 10
AUTHENTIFIZIERUNG 31.03.2012 F3X - Andreas Förthner media.netlogix.de 11
AUTHENTIFIZIERUNG Jeder Provider authentifiziert einen eigenen Account 31.03.2012 F3X - Andreas Förthner media.netlogix.de 11
AUTHENTIFIZIERUNG Jeder Provider authentifiziert einen eigenen Account Jeder Account hält Rollen, die damit „aktiv“ werden 31.03.2012 F3X - Andreas Förthner media.netlogix.de 11
AUTHENTIFIZIERUNG Jeder Provider authentifiziert einen eigenen Account Jeder Account hält Rollen, die damit „aktiv“ werden Account-Model erweitern für dynamische Rollen-Aktivierung 31.03.2012 F3X - Andreas Förthner media.netlogix.de 11
HEY! DU KOMMST HIER NET REIN! Autorisierung 31.03.2012 F3X - Andreas Förthner media.netlogix.de 12
AUTORISIERUNG 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
AUTORISIERUNG Was bedeutet das? 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
AUTORISIERUNG Was bedeutet das? Aktionen verbieten 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
AUTORISIERUNG Was bedeutet das? Aktionen verbieten ... also Methoden nicht ausführen 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
AUTORISIERUNG Was bedeutet das? Aktionen verbieten ... also Methoden nicht ausführen Problem: Eine Anwendung hat überall Methoden... 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
AUTORISIERUNG Was bedeutet das? Aktionen verbieten ... also Methoden nicht ausführen Problem: Eine Anwendung hat überall Methoden... Wir wollen das aber trotzdem zentral lösen! 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
AUTORISIERUNG Mit AOP kann Code dynamisch in die Anwendung „eingewoben“ werden z.B. Security-Checks for dem Ausführen einer Methode Der Check selbst wird nur einmal zentral in einem sog. Advice implementiert! Pointcut-Expressions definieren wo „eingewoben“ wird (Pointcuts) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 14
AOP namespace ExamplesForumDomainModel; class Forum { /** * Delete a forum post * * @param ExamplesForumDomainModelPost $post * @return void */ public function deletePost(Post $post) { $this->posts->remove($post); } } 31.03.2012 F3X - Andreas Förthner media.netlogix.de 15
AOP /** * @FLOW3Aspect */ class LoggingAspect { /** * Log a message if a post is deleted * * @param TYPO3FLOW3AOPJoinPointInterface $joinPoint * @FLOW3Before("method(ExamplesForumDomainModelForum- >deletePost())") * @return void */ public function logDeletePost(TYPO3FLOW3AOPJoinPointInterface $joinPoint) { $post = $joinPoint->getMethodArgument('post'); 31.03.2012 F3X - Andreas Förthner media.netlogix.de 16
AUTORISIERUNG Security-Policy besteht aus: Securit-Resources: Pointcut-Expressions Rollen Access Control Lists (ACLs) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 17
POLICY resources: methods: RestrictedController_adminAction: "method(MyPackageRestrictedController->adminAction())" RestrictedController_customerAction: "method(MyPackageRestrictedController ->customerAction($customer.administrator == current.securityContext.account) )" 31.03.2012 F3X - Andreas Förthner media.netlogix.de 18
POLICY roles: Customer: [] Administrator: [ Customer ] 31.03.2012 F3X - Andreas Förthner media.netlogix.de 19
POLICY acls: Customer: methods: RestrictedController_customerAction: GRANT RestrictedController_adminAction: DENY Administrator: methods: RestrictedController_customerAction: GRANT RestrictedController_adminAction: GRANT 31.03.2012 F3X - Andreas Förthner media.netlogix.de 20
AUTORISIERUNG Mass-Assignment -> vgl. Github resources: methods: User_makeAdmin: "method(MyPackageUser->setAdmin())" 31.03.2012 F3X - Andreas Förthner media.netlogix.de 21
CONTENT SECURITY SECURITY KANN MAN GANZ AM ENDE „HINZUFÜGEN“! 31.03.2012 F3X - Andreas Förthner media.netlogix.de 22
31.03.2012 F3X - Andreas Förthner media.netlogix.de 23
31.03.2012 F3X - Andreas Förthner media.netlogix.de 23
CONTENT SECURITY 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
CONTENT SECURITY Sicherheit für gespeicherte Daten 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
CONTENT SECURITY Sicherheit für gespeicherte Daten ... d.h. für peristierte Objekte 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
CONTENT SECURITY Sicherheit für gespeicherte Daten ... d.h. für peristierte Objekte Objekte, die man nicht lesen darf, werden nicht zurückgegeben 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
CONTENT SECURITY Sicherheit für gespeicherte Daten ... d.h. für peristierte Objekte Objekte, die man nicht lesen darf, werden nicht zurückgegeben Wir schreiben Queries per AOP transparent um 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
CONTENT SECURITY Sicherheit für gespeicherte Daten ... d.h. für peristierte Objekte Objekte, die man nicht lesen darf, werden nicht zurückgegeben Wir schreiben Queries per AOP transparent um Nebeneffekt: Performance-Gewinn! 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
CONTENT SECURITY resources: entities: TYPO3_FLOW3_Tests_Functional_Security_Fixtures_RestrictableEntity: TYPO3_FLOW3_allEntities: "ANY" TYPO3_FLOW3_hiddenEntities: "this.hidden == TRUE" TYPO3_FLOW3_othersEntities: "current.securityContext.account != this.ownerAccount && this.ownerAccount != NULL" 31.03.2012 F3X - Andreas Förthner media.netlogix.de 25
CONTENT SECURITY DEMNÄCHST IN IHREM FLOW3: 31.03.2012 F3X - Andreas Förthner media.netlogix.de 26
CONTENT SECURITY DEMNÄCHST IN IHREM FLOW3: CONTENT SECURITY FÜR DQL 31.03.2012 F3X - Andreas Förthner media.netlogix.de 26
SO VIEL SPASS - FÜR SO WENIG GELD! Was es sonst noch zu sehen gibt... 31.03.2012 F3X - Andreas Förthner media.netlogix.de 27
WAS ES SONST NOCH ZU SEHEN GIBT... 31.03.2012 F3X - Andreas Förthner media.netlogix.de 28
WAS ES SONST NOCH ZU SEHEN GIBT... Virus! 31.03.2012 F3X - Andreas Förthner media.netlogix.de 28
WAS ES SONST NOCH ZU SEHEN GIBT... 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
WAS ES SONST NOCH ZU SEHEN GIBT... Was steckt dahinter? 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
WAS ES SONST NOCH ZU SEHEN GIBT... Was steckt dahinter? Cross Site Request Forgery (CSRF) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
WAS ES SONST NOCH ZU SEHEN GIBT... Was steckt dahinter? Cross Site Request Forgery (CSRF) Die Lösung 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
WAS ES SONST NOCH ZU SEHEN GIBT... Was steckt dahinter? Cross Site Request Forgery (CSRF) Die Lösung CSRF-Token für geschützte (schreibende) Actions 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
WAS ES SONST NOCH ZU SEHEN GIBT... Was steckt dahinter? Cross Site Request Forgery (CSRF) Die Lösung CSRF-Token für geschützte (schreibende) Actions Die geschieht komplett transparent per AOP 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
WAS ES SONST NOCH ZU SEHEN GIBT... Was steckt dahinter? Cross Site Request Forgery (CSRF) Die Lösung CSRF-Token für geschützte (schreibende) Actions Die geschieht komplett transparent per AOP (Nur das weglassen muss momentan explizit 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
WAS ES SONST NOCH ZU SEHEN GIBT... 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
WAS ES SONST NOCH ZU SEHEN GIBT... Zentrale Utility-Klassen für 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
WAS ES SONST NOCH ZU SEHEN GIBT... Zentrale Utility-Klassen für Hashing (Hashes, HMAC, etc.) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
WAS ES SONST NOCH ZU SEHEN GIBT... Zentrale Utility-Klassen für Hashing (Hashes, HMAC, etc.) Encryption (RSA wallet service ...) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
WAS ES SONST NOCH ZU SEHEN GIBT... Zentrale Utility-Klassen für Hashing (Hashes, HMAC, etc.) Encryption (RSA wallet service ...) Secure Downloads 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
WAS ES SONST NOCH ZU SEHEN GIBT... Zentrale Utility-Klassen für Hashing (Hashes, HMAC, etc.) Encryption (RSA wallet service ...) Secure Downloads Functional Tests für Security! 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
SO LONG AND THANKS FOR THE FISH... Vielen Dank! Gibt es Fragen? 31.03.2012 F3X - Andreas Förthner media.netlogix.de 31

Weitere ähnliche Inhalte

PPT
Data loss prevention (dlp)
vonHussein Al-Sanabani
 
PPTX
Data Security Explained
vonHappiest Minds Technologies
 
PDF
TYPO3 Neos and Flow - Security 2.0
vonnetlogix
 
PDF
Astaro Security Wall - Sechs Schritte zur sicheren IT
vonnetlogix
 
PDF
Securing Your Endpoints Using Novell ZENworks Endpoint Security Management
vonNovell
 
PDF
What Is Next-Generation Endpoint Security and Why Do You Need It?
vonPriyanka Aash
 
PDF
Data Loss Prevention de RSA
vonAEC Networks
 
PDF
McAfee MOVE & Endpoint Security
vonnetlogix
 
Data loss prevention (dlp)
vonHussein Al-Sanabani
 
Data Security Explained
vonHappiest Minds Technologies
 
TYPO3 Neos and Flow - Security 2.0
vonnetlogix
 
Astaro Security Wall - Sechs Schritte zur sicheren IT
vonnetlogix
 
Securing Your Endpoints Using Novell ZENworks Endpoint Security Management
vonNovell
 
What Is Next-Generation Endpoint Security and Why Do You Need It?
vonPriyanka Aash
 
Data Loss Prevention de RSA
vonAEC Networks
 
McAfee MOVE & Endpoint Security
vonnetlogix
 

Mehr von netlogix

PDF
SMS PASSCODE: Authentifizierung per Handy
vonnetlogix
 
PDF
Microsoft System Center - Lizenzierung
vonnetlogix
 
PDF
netlogix Care: Cloudbasierte, proaktive Systemüberwachung als Managed Service
vonnetlogix
 
PDF
Data Domain Backup & Recovery
vonnetlogix
 
PDF
EMA Email Archive Appliance
vonnetlogix
 
PDF
DataCore Speichervirtualisierung
vonnetlogix
 
PDF
VMware ThinApp 4.5
vonnetlogix
 
PDF
Webspecial LIVE/11: eCommerce mit TYPO3, TYPO3 5.0 und FLOW3
vonnetlogix
 
PDF
Ein Hypervisor alleine macht nicht glücklich: Interessante Add-Ons zu VMware ...
vonnetlogix
 
PDF
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...
vonnetlogix
 
PPTX
Microsoft System Center Day 2011
vonnetlogix
 
PDF
Building a large eCommerce application with Extbase, Fluid and Apache Solr
vonnetlogix
 
PDF
Astaro IT-Security-Lösungen
vonnetlogix
 
PDF
Citrix XenDesktop 4
vonnetlogix
 
PDF
Citrix XenServer 5.6: Die Neuerungen
vonnetlogix
 
PDF
VMware View 4
vonnetlogix
 
PDF
Next Generation Unified Communications mit Microsoft Lync 2010
vonnetlogix
 
PDF
XenDesktop 5 und das letzte "Puzzleteil"
vonnetlogix
 
PDF
Trapeze WLAN-Lösung
vonnetlogix
 
SMS PASSCODE: Authentifizierung per Handy
vonnetlogix
 
Microsoft System Center - Lizenzierung
vonnetlogix
 
netlogix Care: Cloudbasierte, proaktive Systemüberwachung als Managed Service
vonnetlogix
 
Data Domain Backup & Recovery
vonnetlogix
 
EMA Email Archive Appliance
vonnetlogix
 
DataCore Speichervirtualisierung
vonnetlogix
 
VMware ThinApp 4.5
vonnetlogix
 
Webspecial LIVE/11: eCommerce mit TYPO3, TYPO3 5.0 und FLOW3
vonnetlogix
 
Ein Hypervisor alleine macht nicht glücklich: Interessante Add-Ons zu VMware ...
vonnetlogix
 
EMA - Enterprise Managed Archive: globales Informationsmanagement clever gel...
vonnetlogix
 
Microsoft System Center Day 2011
vonnetlogix
 
Building a large eCommerce application with Extbase, Fluid and Apache Solr
vonnetlogix
 
Astaro IT-Security-Lösungen
vonnetlogix
 
Citrix XenDesktop 4
vonnetlogix
 
Citrix XenServer 5.6: Die Neuerungen
vonnetlogix
 
VMware View 4
vonnetlogix
 
Next Generation Unified Communications mit Microsoft Lync 2010
vonnetlogix
 
XenDesktop 5 und das letzte "Puzzleteil"
vonnetlogix
 
Trapeze WLAN-Lösung
vonnetlogix
 

FLOW3: Security mit AOP

  • 1.
    FLOW3: SECURITY MITAOP FLOW3 Experience 2012 31.03.2012 F3X - Andreas Förthner media.netlogix.de 1
  • 2.
    ANDREAS FÖRTHNER Leiter Web-Entwicklung @t3andi netlogix Media TYPO3 Phoenix / FLOW3 Core Team seit 2007 Andreas_Foerthne TYPO3 Security Team r Member und Kopf hinter dem FLOW3 Security Framework andreas.foerthner@netlogi x.de 31.03.2012 F3X - Andreas Förthner media.netlogix.de 2
  • 3.
    AGENDA Warum ein Security Framework? Authentifizierung Autorisierung mit AOP cont ent Content Security ... und der ganze Rest 31.03.2012 F3X - Andreas Förthner media.netlogix.de 3
  • 4.
    WER? WAS? WIE?UND WARUM DER GANZE AUFWAND? Das Security Framework 31.03.2012 F3X - Andreas Förthner media.netlogix.de 4
  • 5.
    DAS SECURITY FRAMEWORK Start der Planungen bereits Ende 2007 Ziel: Unterstützung bei der Entwicklung sicherer Anwendungen Kritische Routinen zentral kapseln Infrastruktur für oft benötigte Use-Cases Nicht Teil des Security-Packages: Validierung und Output-Filterung 31.03.2012 F3X - Andreas Förthner media.netlogix.de 5
  • 6.
    UND WER WARSTDU NOCH GLEICH? Authentifizierung 31.03.2012 F3X - Andreas Förthner media.netlogix.de 6
  • 7.
    AUTHENTIFIZIERUNG Es ist möglich beliebige Mechanismen zur Authentifizierung zu verwenden 31.03.2012 F3X - Andreas Förthner media.netlogix.de 7
  • 8.
    AUTHENTIFIZIERUNG Es ist möglich beliebige Mechanismen zur Authentifizierung zu verwenden Bisher in FLOW3 implementiert: Benutzername/Passwort HTTP-Auth typo3.org SSO 31.03.2012 F3X - Andreas Förthner media.netlogix.de 7
  • 9.
    AUTHENTIFIZIERUNG TYPO3: FLOW3: security: authentication: providers: DefaultProvider: providerClass: PersistedUsernamePasswordProvider entryPoint: WebRedirect: uri: login.html 31.03.2012 F3X - Andreas Förthner media.netlogix.de 8
  • 10.
    AUTHENTIFIZIERUNG Es ist möglich verschiedene Mechanismen gleichzeitig zu verwenden! More-Factor-Authentication Verschiedene Mechanismen für verschiedene Bereiche Verschiedene Mechanismen je nach Herkunft des Users (z.B. internes vs. externes Netzwerk) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 9
  • 11.
    AUTHENTIFIZIERUNG DefaultProvider: providerClass: PersistedUsernamePasswordProvider requestPatterns: uri: /userarea AdministrationProvider: providerClass: PersistedUsernamePasswordProvider requestPatterns: controllerObjectName: MyPackage/Controller/Admin.* 31.03.2012 F3X - Andreas Förthner media.netlogix.de 10
  • 12.
    AUTHENTIFIZIERUNG 31.03.2012 F3X - AndreasFörthner media.netlogix.de 11
  • 13.
    AUTHENTIFIZIERUNG Jeder Provider authentifiziert einen eigenen Account 31.03.2012 F3X - Andreas Förthner media.netlogix.de 11
  • 14.
    AUTHENTIFIZIERUNG Jeder Provider authentifiziert einen eigenen Account Jeder Account hält Rollen, die damit „aktiv“ werden 31.03.2012 F3X - Andreas Förthner media.netlogix.de 11
  • 15.
    AUTHENTIFIZIERUNG Jeder Provider authentifiziert einen eigenen Account Jeder Account hält Rollen, die damit „aktiv“ werden Account-Model erweitern für dynamische Rollen-Aktivierung 31.03.2012 F3X - Andreas Förthner media.netlogix.de 11
  • 16.
    HEY! DU KOMMST HIERNET REIN! Autorisierung 31.03.2012 F3X - Andreas Förthner media.netlogix.de 12
  • 17.
    AUTORISIERUNG 31.03.2012 F3X - AndreasFörthner media.netlogix.de 13
  • 18.
    AUTORISIERUNG Was bedeutet das? 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
  • 19.
    AUTORISIERUNG Was bedeutet das? Aktionen verbieten 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
  • 20.
    AUTORISIERUNG Was bedeutet das? Aktionen verbieten ... also Methoden nicht ausführen 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
  • 21.
    AUTORISIERUNG Was bedeutet das? Aktionen verbieten ... also Methoden nicht ausführen Problem: Eine Anwendung hat überall Methoden... 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
  • 22.
    AUTORISIERUNG Was bedeutet das? Aktionen verbieten ... also Methoden nicht ausführen Problem: Eine Anwendung hat überall Methoden... Wir wollen das aber trotzdem zentral lösen! 31.03.2012 F3X - Andreas Förthner media.netlogix.de 13
  • 23.
    AUTORISIERUNG Mit AOP kann Code dynamisch in die Anwendung „eingewoben“ werden z.B. Security-Checks for dem Ausführen einer Methode Der Check selbst wird nur einmal zentral in einem sog. Advice implementiert! Pointcut-Expressions definieren wo „eingewoben“ wird (Pointcuts) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 14
  • 24.
    AOP namespace ExamplesForumDomainModel; class Forum { /** * Delete a forum post * * @param ExamplesForumDomainModelPost $post * @return void */ public function deletePost(Post $post) { $this->posts->remove($post); } } 31.03.2012 F3X - Andreas Förthner media.netlogix.de 15
  • 25.
    AOP /** * @FLOW3Aspect */ class LoggingAspect { /** * Log a message if a post is deleted * * @param TYPO3FLOW3AOPJoinPointInterface $joinPoint * @FLOW3Before("method(ExamplesForumDomainModelForum- >deletePost())") * @return void */ public function logDeletePost(TYPO3FLOW3AOPJoinPointInterface $joinPoint) { $post = $joinPoint->getMethodArgument('post'); 31.03.2012 F3X - Andreas Förthner media.netlogix.de 16
  • 26.
    AUTORISIERUNG Security-Policy besteht aus: Securit-Resources: Pointcut-Expressions Rollen Access Control Lists (ACLs) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 17
  • 27.
    POLICY resources: methods: RestrictedController_adminAction: "method(MyPackageRestrictedController->adminAction())" RestrictedController_customerAction: "method(MyPackageRestrictedController ->customerAction($customer.administrator == current.securityContext.account) )" 31.03.2012 F3X - Andreas Förthner media.netlogix.de 18
  • 28.
    POLICY roles: Customer: [] Administrator: [ Customer ] 31.03.2012 F3X - Andreas Förthner media.netlogix.de 19
  • 29.
    POLICY acls: Customer: methods: RestrictedController_customerAction: GRANT RestrictedController_adminAction: DENY Administrator: methods: RestrictedController_customerAction: GRANT RestrictedController_adminAction: GRANT 31.03.2012 F3X - Andreas Förthner media.netlogix.de 20
  • 30.
    AUTORISIERUNG Mass-Assignment -> vgl. Github resources: methods: User_makeAdmin: "method(MyPackageUser->setAdmin())" 31.03.2012 F3X - Andreas Förthner media.netlogix.de 21
  • 31.
    CONTENT SECURITY SECURITY KANN MAN GANZ AM ENDE „HINZUFÜGEN“! 31.03.2012 F3X - Andreas Förthner media.netlogix.de 22
  • 32.
    31.03.2012 F3X - AndreasFörthner media.netlogix.de 23
  • 33.
    31.03.2012 F3X - AndreasFörthner media.netlogix.de 23
  • 34.
    CONTENT SECURITY 31.03.2012 F3X -Andreas Förthner media.netlogix.de 24
  • 35.
    CONTENT SECURITY Sicherheit für gespeicherte Daten 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
  • 36.
    CONTENT SECURITY Sicherheit für gespeicherte Daten ... d.h. für peristierte Objekte 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
  • 37.
    CONTENT SECURITY Sicherheit für gespeicherte Daten ... d.h. für peristierte Objekte Objekte, die man nicht lesen darf, werden nicht zurückgegeben 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
  • 38.
    CONTENT SECURITY Sicherheit für gespeicherte Daten ... d.h. für peristierte Objekte Objekte, die man nicht lesen darf, werden nicht zurückgegeben Wir schreiben Queries per AOP transparent um 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
  • 39.
    CONTENT SECURITY Sicherheit für gespeicherte Daten ... d.h. für peristierte Objekte Objekte, die man nicht lesen darf, werden nicht zurückgegeben Wir schreiben Queries per AOP transparent um Nebeneffekt: Performance-Gewinn! 31.03.2012 F3X - Andreas Förthner media.netlogix.de 24
  • 40.
    CONTENT SECURITY resources: entities: TYPO3_FLOW3_Tests_Functional_Security_Fixtures_RestrictableEntity: TYPO3_FLOW3_allEntities: "ANY" TYPO3_FLOW3_hiddenEntities: "this.hidden == TRUE" TYPO3_FLOW3_othersEntities: "current.securityContext.account != this.ownerAccount && this.ownerAccount != NULL" 31.03.2012 F3X - Andreas Förthner media.netlogix.de 25
  • 41.
    CONTENT SECURITY DEMNÄCHST IN IHREM FLOW3: 31.03.2012 F3X - Andreas Förthner media.netlogix.de 26
  • 42.
    CONTENT SECURITY DEMNÄCHST IN IHREM FLOW3: CONTENT SECURITY FÜR DQL 31.03.2012 F3X - Andreas Förthner media.netlogix.de 26
  • 43.
    SO VIEL SPASS- FÜR SO WENIG GELD! Was es sonst noch zu sehen gibt... 31.03.2012 F3X - Andreas Förthner media.netlogix.de 27
  • 44.
    WAS ES SONSTNOCH ZU SEHEN GIBT... 31.03.2012 F3X - Andreas Förthner media.netlogix.de 28
  • 45.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Virus! 31.03.2012 F3X - Andreas Förthner media.netlogix.de 28
  • 46.
    WAS ES SONSTNOCH ZU SEHEN GIBT... 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
  • 47.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Was steckt dahinter? 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
  • 48.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Was steckt dahinter? Cross Site Request Forgery (CSRF) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
  • 49.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Was steckt dahinter? Cross Site Request Forgery (CSRF) Die Lösung 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
  • 50.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Was steckt dahinter? Cross Site Request Forgery (CSRF) Die Lösung CSRF-Token für geschützte (schreibende) Actions 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
  • 51.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Was steckt dahinter? Cross Site Request Forgery (CSRF) Die Lösung CSRF-Token für geschützte (schreibende) Actions Die geschieht komplett transparent per AOP 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
  • 52.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Was steckt dahinter? Cross Site Request Forgery (CSRF) Die Lösung CSRF-Token für geschützte (schreibende) Actions Die geschieht komplett transparent per AOP (Nur das weglassen muss momentan explizit 31.03.2012 F3X - Andreas Förthner media.netlogix.de 29
  • 53.
    WAS ES SONSTNOCH ZU SEHEN GIBT... 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
  • 54.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Zentrale Utility-Klassen für 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
  • 55.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Zentrale Utility-Klassen für Hashing (Hashes, HMAC, etc.) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
  • 56.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Zentrale Utility-Klassen für Hashing (Hashes, HMAC, etc.) Encryption (RSA wallet service ...) 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
  • 57.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Zentrale Utility-Klassen für Hashing (Hashes, HMAC, etc.) Encryption (RSA wallet service ...) Secure Downloads 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
  • 58.
    WAS ES SONSTNOCH ZU SEHEN GIBT... Zentrale Utility-Klassen für Hashing (Hashes, HMAC, etc.) Encryption (RSA wallet service ...) Secure Downloads Functional Tests für Security! 31.03.2012 F3X - Andreas Förthner media.netlogix.de 30
  • 59.
    SO LONG ANDTHANKS FOR THE FISH... Vielen Dank! Gibt es Fragen? 31.03.2012 F3X - Andreas Förthner media.netlogix.de 31

Hinweis der Redaktion