En el momento de escribir este post no existía la posibilidad de determinar este puerto a priori.
Desconozco si esto ha cambiado desde entonces.

Un saludo.

Efectivamente, si modificas el código en tu browser verás cosas en la UI que no deberías ver. Pero sólo podrás VERLAS! Podrías eliminar un registro, pero no tendría reflejo en el servidor (y por tanto la BD, si es que existe una).

La seguridad en una app web siempre debe ser controlada tanto del lado del cliente (browser) como del lado del servidor (mucho más importante). Cualquier app web – decente – controlará del lado del servidor las acciones que un usuario puede realizar en función de sus permisos (o roles). Se puede decir que todo lo que se ejecute en el browser está fuera de tu control (como desarrollador), porque como bien dices, cualquiera puede modificar y ejecutar lo que quiera.

En conclusión, la seguridad del lado del cliente es simplemente aplicable a la visualización (si me apuras… no lo llamaría seguridad), donde se controla realmente qué se puede hacer y que no es en el servidor.

Un saludo.

Examinando el primer codigo expuesto…

Imagina que al cargar la pagina de klicap abro la herramienta para desarrolladores del navegador, marco un punto de parada justo en la linea

MyGrid = Ext.extend(Ext.grid.GridPanel, {

y ejecuto hasta llegar a que se detenga en esa linea. Se detiene y abro la consola para modificar el valor de role1 a true, me parece que puedo eliminar registros, no?

Mi pregunta es si con el segundo codigo esta vulnerabilidad quedaria resuelta.

Y en cuanto a mi duda, yo uso una variable que se activa cuando el login es con el admin. Pero me ocurre lo mismo que intento explicarte, si modifico ese valor con la consola y lo pongo a true cualquier usuario puede añadir, modificar y eliminar registros del grid.

Un saludo.

Puedes exponerlo aquí, así aprendemos todos, ¿no crees? :-)

Saludos!

Tengo un problema de seguridad pendiente de dar una solución que creo que es vulnerable en el código expuesto en tu blog.

No lo expongo aquí por seguridad pero si te interesa te lo mando por mail.

JConsole muestra información agregada de consumo de memoria. Hasta donde yo se no es posible monitorizar el tiempo de vida de un objeto concreto.
Para esto tendrías que hacer profiling, usando herramientas como Eclipse Profiler (Eclipse TPTP), YourKit o InfraRed. Hay muchos más, elige el que más te guste.

Saludos!

Estoy monitorizando pruebas con JConsole (antes lo hacía con VisualGC que lo veo much mas ligero), el caso es que me recomendaron JConsole para monitorizar el comportamiento del GC, para ver la vida de mis objetos en las distintas generaciones, pero no encuentro donde ver esto en JConsole (ni en VisualGC). Sabes si es posible ver esta información en esta u otra herramienta?, gracias por adelantado.

Asegúrate de que no hay ningún elemento de red entre tu pc y glassfish que pueda restringir conexiones a otros puertos (además de 9010), JConsole utiliza otros puertos (altos) para la comunicación con la JVM.

Un saludo.

reseteo la pc

desde la pc donde corro el jconsole ejecuto jconsole ip-pc-glassfish:9010 coloco user y pass y no se conecta

Yo creo que no lo esta tomando pero no se como validarlo

Para hacer lo que quieres tendrás que implementar algo a bajo nivel (http://docs.oracle.com/javase/1.5.0/docs/guide/jvmti/jvmti.html).

Un saludo.