Oracle Security Developer Toolsについての記事がDigital ID World、Internet News.comに書かれていました。 As I mentioned in the last newsletter, security must be derived from identity and the nature of networking. From its application viewpoi…

OC4JにカスタムJAASモジュールを組み込むための資料がUS-OTNに掲載されています。Declarative J2EE authentication and authorization with JAAS

少し前のFrank Nimphiusのブログに、JSFのコンポーネントから宣言的J2EEセキュリティを実現する方法について、かかれていました。 Expression Language (EL) in JavaServer Faces cannot directly access the isUserInRole() method on the request object, …

Sunの山中さんのブログに、先ごろ発表されたオープンソースのシングルサインオン製品「OpenSSO」に関する記事があがっていました。 OpenSSO の web site の FAQ を読むと、サンの意図が見えてきます。（以下、梅田望夫風） Q: Why open source Web SSO? A: .…

Frank Nimphius' Blogbusterで、現在のJ2EEセキュリティの現状と今後のあり方について、彼の意見がかかれています。 Security needs to be implemented by experts, based on proven technologies so application developers can safely use it. In my opini…

Pete Finnigan's Oracle security weblogから参照されていたDebu Pandaの記事です。OC4J 10.1.3で認証を行わずにEJBをLookupする方法がかかれています。 Anonymous EJB Lookup - leaving a security hole in your applications ただし、本文に書かれているよ…

Frank Nimphiusのブログで、データベースのストアドプロシージャコールで認証/承認を行うJAASLoginModuleを作成中との記事が載っています。 The goal of this exercize is to obtain a list of user application roles from the database after successfully…

Frank Nimphiusのブログに以下のような記事がありました。 The gap in J2EE and JAAS authentication One aspect of authentication that is not covered in the J2EE specs is account management like account creation. Generally the J2EE and JAAS spec…

Colin's MaxWeblog: Securing Web Services using JDev and WS-Security Web Services: Securing Web Services

やっと最新版のJDev10.1.3(Developers Preview)を試しています。 http://www.oracle.com/technology/software/products/jdev/index.html興味はADF Facesなどいろいろありますが、とりあえずWS-Securityを触ってみます。チュートリアルは以下に公開されていま…

「データベース・フォレンジック」「アクセスコントロール」「システムデザイン」「セキュリティとパフォーマンス」といった作業部会を設置し、検討結果をドキュメントやセミナーなどのかたちで、会員企業や一般ユーザーに提供していく。事務局となるラック…

OracleデータベースにはEnterprise User Securityという機能があります。何かというと、データベースに接続するユーザをディレクトリ・サーバ（LDAPサーバ）で管理するという機能です。OracleはOracle Internet Directory(OID)というLDAPディレクトリ・サー…

結構昔の資料の紹介が続きますが... J2EE Security in Oracle ADF Web Applications Oracle ADF（特にStruts）でJ2EEセキュリティを使用する方法についての資料です。 中でもViewレイヤーで行レベルのセキュリティを実現する方法についての記載がなされてい…

Leveraging Oracle Database Security with J2EE CMPOracleデータベースでVirtual Private Databaseやファイングレイン監査などをおこなおうとすると、データベース内でユーザのアイデンティティ情報が必要になるのですが、それではEJB CMPなどを用いたJ2EE…