In einem vorhergehenden Artikel habe ich beschrieben, wie ich dWb+ um die Möglichkeit erweitert habe, JMS als Schnittstelle zur Kommunikation mit Drittsystemen zu verwenden. Dabei musste ich mühsam ein Problem überwinden, das durch den SecurityManager verursacht wurde. Hier stelle ich das dafür verwendete Hilfsmittel vor.

Java-Anwendungen können mit oder ohne Sicherheitsmanager gestartet werden. Der Sicherheitsmanager ist dafür verantwortlich, zu prüfen, ob der ausgeführte Code sensible Informationen nutzen darf oder nicht.

Dazu gehören API-Funktionen, Umgebungsvariablen, Dateisystemzugriffe, externe Schnittstellen (Netzwerkkommunikation) und weiteres mehr. Zusätzlich kann der Entwickler darüber hinaus auch eigene Gesichtspunkte integrieren und mittels dieses Mechanismus ein Rollen- und Rechte-Konzept für die Anwender der Lösung implementieren - so geschehen beispielsweise in dWb+.

Was geschieht aber, wenn eine Anwendung während der Entwicklung ohne SecurityManager hervorragend zu funktionieren scheint, im Produktiveinsatz mit aktiviertem SecurityManager jedoch versagt? Leider ist es oft so, dass Exceptions wegen fehlender Permissions vom umgebenden Code verschluckt werden. Um diese trotzdem analysieren zu können, bietet es sich an, einen Proxy zu entwickeln, der den ursprünglich benutzten SecurityManager einkapselt und die Security-Violations sichtbar macht.

Einfach einen Proxy-SecurityManager zu nutzen, der sämtliche Security-Violations loggt, ist kontraproduktiv - Als Beispiel verwenden wir ein simples HelloWorld-Programm:

public class Hello 
{
	public static void main(java.lang.String[] args)
	{
		System.out.println("Huhu! ("+args.length+" arguments)");
	}
}

Mit einem SecurityManager-Proxy, der jede verweigerte Permission aufzeigt, erhält man bereits folgende Ergebnisse:

access denied ("java.util.PropertyPermission" "sun.boot.class.path" "read")
access denied ("java.util.PropertyPermission" "java.system.class.loader" "read")
access denied ("java.lang.RuntimePermission" "modifyThreadGroup")
access denied ("java.lang.RuntimePermission" "modifyThread")
access denied ("java.lang.RuntimePermission" "modifyThreadGroup")
access denied ("java.lang.RuntimePermission" "modifyThread")
access denied ("java.lang.RuntimePermission" "modifyThreadGroup")
access denied ("java.lang.RuntimePermission" "modifyThread")
access denied ("java.lang.RuntimePermission" "modifyThreadGroup")
access denied ("java.lang.RuntimePermission" "modifyThread")
access denied ("java.util.PropertyPermission" "java.vm.info" "read")
access denied ("java.util.PropertyPermission" "java.library.path" "read")
access denied ("java.util.PropertyPermission" "java.class.path" "read")
access denied ("java.util.PropertyPermission" "java.endorsed.dirs" "read")
access denied ("java.util.PropertyPermission" "java.ext.dirs" "read")
access denied ("java.util.PropertyPermission" "java.home" "read")
access denied ("java.util.PropertyPermission" "sun.boot.class.path" "read")
access denied ("java.util.PropertyPermission" "sun.boot.library.path" "read")
access denied ("java.util.PropertyPermission" "java.home" "read")
access denied ("java.util.PropertyPermission" "com.oracle.usagetracker.config.file" "read")
access denied ("java.io.FilePermission" "/home/elbosso/work/java/jdk1.7.0_25/jre/lib/management/usagetracker.properties" "read")
access denied ("java.io.FilePermission" "/home/elbosso/work/java/jdk1.7.0_25/jre/lib/management/usagetracker.properties" "read")
access denied ("java.util.PropertyPermission" "sun.jnu.encoding" "read")

Man kann also sagen, dass der Einsatz eines einfachen Proxy für die Analyse fehlender Permissions keine Erleichterung bringt - man muss noch weiter denken.

Ich habe das Problem gelöst, indem ich meinen SecurityManager-Proxy zu einem MXBean machte: Damit kann ich über eine Management-Konsole[3] das Verhalten steuern. Damit ist es dann möglich, die Operation in der Anwendung geziehlt auszulösen, die im Verdacht steht, wegen fehlender Permissions fehlzuschlagen. Erst unmittelbar vor dem Auslösen schalte ich über die Management-Konsole das Debugging ein und sehe so nur die SecurityViolations, die unmittelbar damit im Zusammenhang stehen.

Darüber hinaus habe ich den Proxy noch so verbessert, dass jede Art von Violation nur genau einmal gemeldet wird - alle Meldungen werden gespeichert und beim Auftreten weiterer Violations gecheckt: Schließlich reicht es aus, eine Violation einmal zu sehen und da es vorkommen kann, dass eine Lawine von Violations analysiert werden muss, ist es schön, wenn jede nur einmal auftritt. Die gespeicherten Violations können gelöscht werden.

Eine weitere Anpassung besteht darin, dass man ein Suchmuster angeben kann. Nur wenn der Stacktrace einer Violation dieses Fragment enthält, wird sie gemeldet. Bleibt das Suchmuster leer, werden alle auftretenden Violations gemeldet.

Um das ganze noch ein wenig abzurunden sei angemerkt, dass JMX natürlich ein Bereich der JVM ist, in dem ebenfalls Security-Permissions gecheckt werden. Daher habe ich mich entschieden, die javax.management.MBeanPermission-Checks durchzuwinken, die aus meinem Proxy resultieren. Da es dennoch hinderlich für die Analyse sein kann, alle JMX-Permission-Violations zu sehen, kann man mittels Setzen einer entsprechenden Property an der MXBean alle javax.management.MBeanPermission-Checks durchwinken - das sollte man aber mit Vorsicht einsetzen, denn vielleicht ist es eine solche Violation, die die Probleme verursacht. Daher ist dieses Verhalten auch standardmäßig deaktiviert.

---

Fußnoten

Kommentar hinzufügen (via ) Kommentare ansehen (via )

Kommentar hinzufügen (via ) Kommentare ansehen (via )