Java et la Sécurité

Pré-requis:Ce cours s'adresse à des développeurs Java confirmés. La maîtrise de Java ainsi que la connaissance des concepts J2EE sont indispensables pour tirer profit de cette formation.

Programme:

-Présentation des concepts liés à la sécurité
- Identification et méthodes d'authentification.
- Autorisations et permissions.
- Confidentialité, non-répudiation, encryptions symétrique et asymétrique, clés publiques et clés privées, autorités de certification.
- Protection pare-feu et zone démilitarisée, rupture de protocole.
- Les différents types d'attaques.

-Mécanismes de sécurité de la machine virtuelle Java
- Le chargement des classes par un ClassLoader et les questions liées à la mise en oeuvre de ClassLoaders spécifiques, le concept de « bac à sable ».
- Le SecurityManager et AccessController et la définition des permissions avec les fichiers .policy.
- Créer ses propres permissions à l'aide la Java Security Permission.
- Les mécanismes de protection de l'intégrité du bytecode, la décompilation et l'obfuscation du code.
- Les spécificités des applets en matière de sécurité, la signature d'une archive Jar.

-Java Authentication and Authorization Service (JAAS)
- L'architecture de JAAS.
- L'authentification à travers le framework PAM (Pluggable Authentification Modules), la notion de Subject et de Principal.
- La gestion des permissions et l'extension des fichiers .policy.
- Utiliser JAAS avec Unix ou Window, JNDI, Kerberos et Keystore.
- Le support du single sign on.

-SSL avec Java
- Etude des fonctionnalités de Java Secure Socket Extension (JSSE).
- L'authentification à base de certificats X.509.
- TLS et SSL.
- L'encryption à base de clés publiques, Java Cryptography Extension (JCE).

-La sécurité d'une application J2EE
- Authentification au niveau d'un conteneur Web et d'un conteneur EJB.
- Déclaration de rôles applicatifs et définition des permissions au sein des descripteurs de déploiement XML.
- Contrôles dynamiques à l'aide des API Servlets et EJB.
- La sécurité dans les API J2EE : JDBC, JNDI, JTA, JMS, JCA.
- La sécurité des Web Services.

-La sécurité d'une application J2ME
- Le modèle de sécurité CDLC/MIDP et les différences avec le modèle de sécurité de J2SE.
- Les fonctionnalités de gestion de la sécurité de KVM.
- Le paquetage SATSA : Security and Trust Services API.