Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
Accueil > Java > Sécurité des applications Web Java EE

Sécurité des applications Web Java EE

Identifier les risques et savoir choisir les solutions de sécurisation

Avec le développement de services en ligne BtoB et BtoC (consultation d’historiques de consommation par exemple), les entreprises sont de plus en plus nombreuses à exposer des données sur la toile par le biais de serveurs Web. Si certaines de ces données ne revêtent pas une dimension stratégique, il apparait néanmoins indispensable d’en assurer la sécurité, ne serait-ce qu’au regard de la loi. Aussi, sécuriser une application web ainsi que les données auxquelles elle donne accès doit-il devenir un réflexe. Les participants à cette formation de 3 jours découvriront les techniques et bonnes pratiques pour assurer la sécurité des applications développées en Java et hébergées sur des serveurs Web, mais également la sécurité liée à la JVM et proche du cœur des systèmes.

Objectifs

  • Connaître les risques potentiels dans l'utilisation de Java
  • Identifier les parades à mettre en œuvre, les moyens de sécuriser les applications JEE
  • Apprendre à sécuriser les différents aspects techniques d’une application
  • Être capable de tester la sécurité des applications Web Java

Public

  • Développeurs et analystes programmeurs "anciennes technologies"
  • Chefs de projets

Prérequis

  • Connaître les notions de base du langage Java est nécessaire pour suivre cette formation dans de bonnes conditions

Programme de la formation

Introduction

  • Les risques
  • Politique de sécurité
  • Évaluation des risques en fonction des différents modes d'utilisation de Java (applets, application, servlets)

Sécurisation de la JVM

  • Limites naturelles imposées par Java
  • Gestion mémoire
  • Contrôle du bytecode par la machine virtuelle

Protection de l’exécution

  • Exécution protégée
  • Security Manager, ClassLoader
  • Surcharge des méthodes d'accès
  • Lecture, écriture, exécution, ouverture de socket
  • Autorisation de connexions...

Chiffrement

  • Les mécanismes de signature
  • Création de clés publiques et privées
  • Les clés RSA, DSA
  • Signature d'un document
  • Les algorithmes SHA1withDSA, MD5withRSA
  • Les MessageDigest
  • Les algorithmes MD2, MD5, SHA-1, SHA-512

Certificats

  • Cycle de vie d'un certificat
  • La fabrique de certificats Java
  • Les certificats de modification X509

Contrôle

  • Rappel sur les ACL
  • Le paquetage java.security.acl
  • Ajout d'entrée, vérification d'accès

Obfuscation

  • Principe
  • Techniques d'obfuscation
  • Solutions commerciales

JAAS et sécurité JEE

  • Présentation
  • Fonctionnement et mise en œuvre
  • Le service de sécurité
  • Sécurité Web et EJB
  • Autorisations EJB V3
  • Accès applicatifs et lien avec un annuaire LDAP

Les + de cette formation

Une vision objective des risques liés à Java.
Un panorama détaillé des solutions en local (JVM) et en mode Web.
La mise en œuvre très technique et pratique des solutions à travers une série d’ateliers.