Artigo Java Magazine 04 - Segurança em aplicações web

Esse artigo faz parte da revista Java Magazine edi��o 04. Clique aqui para ler todos os artigos desta edi��o

Clique aqui para ler essa revista em PDF.

Seguran�a em aplica��es web

Conceitos e implementa��es no J2EE

Um requisito b�sico da maioria das aplica��es web � a seguran�a. Veja conceitos e t�cnicas usados na configura��o de seguran�a em containers web

Uma das maiores vantagens da plataforma J2EE � ajudar o desenvolvedor a focar na implementa��o da l�gica de neg�cios de suas aplica��es, deixando as tarefas de infra-estrutura por conta dos containers J2EE. Uma dessas tarefas � a seguran�a.

A especifica��o de servlets define como o container web deve fornecer servi�os de seguran�a para aplica��es web hospedadas no container, al�m de uma API comum para acesso a esses servi�os.

Conceitos de seguran�a e os 4 As

As aplica��es web s�o formadas por um conjunto de recursos, como p�ginas JSP, servlets, p�ginas HTML, imagens, applets etc. Em algumas aplica��es � necess�rio que o acesso a esses recursos seja controlado, restringindo-o apenas aos usu�rios previamente autenticados.

Vamos come�ar discutindo os principais conceitos de seguran�a. Em seguida veremos como eles se aplicam a um container web. Os principais componentes de um sistema seguran�a s�o conhecidos como os "quatro As": Autentica��o, Autoriza��o, Auditoria e Administra��o.

Autentica��o

Representa a forma como o usu�rio prova que � realmente quem est� dizendo que �. Na maioria das aplica��es, a autentica��o � feita utilizando o nome do usu�rio e sua senha. Esta � a forma mais simples de autentica��o e por isso a mais utilizada. Mas a autentica��o pode ser muito mais sofisticada, envolvendo, por exemplo, a an�lise de um certificado digital ou a verifica��o de padr�es biol�gicos, como caracter�sticas da �ris do olho ou o reconhecimento de faces (autentica��o biom�trica).

Autoriza��o

A autoriza��o � utilizada para verificar se o usu�rio previamente autenticado possui permiss�o para acessar um determinado recurso, ou para executar alguma fun��o da aplica��o. Em termos simples, a autoriza��o determina �quem pode fazer o que�.

Auditoria

Os sistemas de seguran�a devem fornecer relat�rios que permitam uma auditoria nos sistemas, e n�o apenas logs em arquivos texto. Um exemplo comum � o registro das opera��es realizadas por cada usu�rio. S�o armazenados qual foi o usu�rio, a data e a hora, e que opera��o foi executada. Entretanto n�o � evidente, a partir da simples leitura deste logs, quais acessos foram indevidos ou quais partiram de usu�rios regulares. Um sistema de auditoria permitiria correlacionar padr�es nos logs e identificar reais tentativas de violar a aplica��o.

Administra��o

A administra��o de usu�rios � uma tarefa complexa e exige uma interface de f�cil opera��o. � uma parte fundamental de sistemas de seguran�a, por�m muitas vezes subestimada, talvez por n�o ser um requisito tecnol�gico e sim operacional. Adicionar novos usu�rios e gerenciar roles (veja o quadro "O que s�o roles") s�o algumas das tarefas comuns da administra��o. Estas tarefas se tornam mais complexas � medida que aumenta o n�mero de usu�rios, aplica��es e permiss�es.

Outros importantes conceitos de sistemas de seguran�a s�o:

Confidencialidade, integridade e n�o-repudia��o

Os dados devem trafegar de forma segura entre o cliente e o servidor, sem o risco de serem interceptados ou copiados enquanto em tr�nsito pela rede, e com a garantia de que est�o sendo enviados para o seu destino real em vez de outro destino qualquer, indesejado. O problema de confidencialidade � resolvido com criptografia. Nos servidores web, o SSL (Secure Sockets Layer) � a forma mais utilizada de criptografia, fornecendo a integridade necess�ria para garantir que os dados trafegados n�o sejam alterados durante o percurso, e utilizando certificados digitais para garantir a identidade das partes envolvidas.

Notifica��o

Apenas com os recursos de auditoria j� � poss�vel realizar consultas, mas um sistema de seguran�a deve fornecer notifica��es em tempo real sobre poss�veis problemas. Deve ser capaz de informar, �s pessoas respons�veis, da ocorr�ncia de eventos como um ataque DoS (Denial of Service), ou da possibilidade de algu�m estar tentando descobrir uma senha usando t�cnicas de for�a bruta. As notifica��es podem ser enviadas aos administradores por e-mail, ou atrav�s de mensagens SMS, apenas para citar as formas mais comuns. Outra funcionalidade da notifica��o � informar a ocorr�ncia de algum problema com os servi�os de autentica��o e autoriza��o, j� que estes s�o vitais para o funcionamento do sistema. ...

Quer ler esse conteúdo completo? Tenha acesso completo

Tecnologias:

Confira outros conte�dos:

Introdu��o ao JDBC

Novidades do Java

Teste unit�rio com JUnit

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Handerson Em 2008

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Artigo Java Magazine 04 - Seguran�a em aplica��es web

Confira nesta edi��o de Java Magazine uma entrevista Bill Day Java speech, Interface ricas com flash