PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Vorlesung zum Thema Sicherheit in Java (als Prüfungsvorleistung)



PygoscelisPapua
02.05.2007, 21:42
Hallo Unix-Boardler!

Im Rahmen der Programmiervorlesung an unserer FH sollen wir nun eine Vorlesung in einem Java-Spezifischen Thema halten.

Unsere Gruppe hat das Sicherheitsthema unter Java abbekommen.

Vorstellen tut sich der Prof dadrunter hauptsächlich das Konzept unter Java, also das Modell mit dem Code-Verifier, dem Class-Loader und dem Security-Manager. Dabei sollen wir auch nicht so sehr auf die kryptographischen Verfahren eingehen (Zitat des Profs: "Ihr habt eine Gruppe Wirtschaftsinformatiker vor euch, die sollen den Kram anwenden können! Ihr sollt keine Sicherheitsexperten heranzüchten".

Naja, das alles ist soweit kein Thema - wir werden ein wenig auf das Konezpt eingehen, den Security Manager, auf die Policies, Signierung, Verschlüsselung und Autentifizierungsmöglichkeiten. Das ist so das was wir uns bisher überlegt haben (dazu muss man sagen, dass wir die Inhalte bisher auch nur überflogen haben - und uns nicht komplett eingearbeitet haben).

Dann sollten wir weiter auch noch Übungen für die Studenten Vorbereiten, und ab hier kommt der Knackpunkt ;)

Meine Frage an euch: Habt ihr lustige und anspruchsvolle Ideen für Aufgaben, die man den Studenten geben könnte? Die Übungen fließen mit in unsere Bewertung ein, daher ist das auch eine wichtige Komponente.

Eine weitere Komponente dieses Vortrages ist ein Programm, dass jedes Teammitglied eigenständig selbst entwickeln muss. Dies soll zeigen, dass man sich mit dem Thema auseinander gesetzt hat und es in eigenen Anwendungen umsetzten kann - nur wie verpackt man dieses Thema (bzw. möglichst viele Aspekte davon) in eine Anwendung?

Überlegt hatte ich mir eventuell ein Programm zu schreiben, dass den Security Manager "Austestet" und ermittelt, was man darf und was nicht.
Nur bei näherem Nachdenken kam ich dann dahinter, dass es eigentlich garnichts mit dem Thema an für sich zu tun hat (das aufrufen einiger Funktionen und auffangen eventueller exceptions... da wendet man das alles nicht wirklich an).

Eine andere Idee wäre gewesen 3 Applikationen zu schreiben (eine Java Applikation, ein Applet und ein ActiveX) und ihr Verhalten bei Sicherheitskritischen Punkten aufzuzeigen. Auch hier allerdings das gleiche Problem (zusätzlich zu dem, dass ich mich in ActiveX einarbeiten müsste).

Daher wollte ich hier einmal fragen, ob jemand (der vielleicht auch schon ein wenig in diesen Bereichen gearbeitet und Erfahrungen hat) Anregungen hat?

Das Programm soll sich im Rahmen zwischen 250-400 Zeilen Code halten. Natürlich können es auch mehr Zeilen werden, aber der Prof hat gesagt, dass die Menge auf keinen Fall honoriert wird - wer also Stunden in seine Software setzt und in 1000 Zeilen etwas schreibt, was ein anderer auch in 250 hinbekommen hat, hat seine (für uns eh schon sehr knappe) Zeit vertran...

Und falls noch jemand einen Sicherheitsaspekt von Java hat, der in meinen Aufzählungen fehlt, würde ich mich darüber auch freuen :)

Also dann hoffe ich mal auf möglichst viele Anregungen :)

[Und bevor mich einer Falsch versteht - ihr sollt nicht meine Hausaufgaben machen - ich möchte nur Ideen sammeln, da ich einfach auf dem Schlauch stehe - ich möchte hier keine Zeile Code sehen ;) ]

supersucker
02.05.2007, 21:52
Meine Frage an euch: Habt ihr lustige und anspruchsvolle Ideen für Aufgaben, die man den Studenten geben könnte?

Spontan würde mir da so z.B. die Servlet-Verbindungen einfallen, die über https verschlüsselt und authentifiziert werden.

Den apache als vorgeschaltete Instanz nehmen, über mod_jk an tomcat weiterleiten usw.

Anspruchsvoll voll genug sollte das - zumindest für einen Anfänger - sein, da gerade bei Zertifikaten doch recht viel zu beachten ist.

PygoscelisPapua
02.05.2007, 22:02
Ähm, ich glaube, dass ist ein wenig am Thema vorbei. https wird ja vom Apache-Server gehändelt, nicht von Java.

Es geht aber um Javaeigene Sicherheitsmechanismen. Also um ein Java-Programm das z.B. gebrauch vom Security Manager macht...