Inhalte überspringen »
Alle Topthemen
Donnerstag, 21. Januar 2010
About Security #239: Schwachstellen-Suche: Denial of Service
Die Suche nach DoS-Schwachstellen ist etwas komplizierter als die nach
allen anderen. Zum einen kann man sie nicht mit dem Produktivsystem
durchführen, da jeder Erfolg gleichzeitig zum echten DoS der Anwendung
wird, zum anderen gibt es extrem viele Möglichkeiten, eine
Webanwendung für die Benutzer unbrauchbar zu machen.
Viele Wege führen zum Ziel
Die …
Donnerstag, 14. Januar 2010
About Security #238: Schwachstellen-Suche: Sichere Authentifizierung (7)
Eine Sicherheitsfrage vor der Funktion zum Zurücksetzen des Passworts
führt möglicherweise zur Preisgabe gültiger Benutzernamen.
Die kann der Angreifer gut für weitere Angriffe auf die
Authentifizierung gebrauchen.
Frage da, Benutzername gültig
Können die Benutzer die Sicherheitsfrage selbst wählen, werden
gültige Benutzernamen allein schon am Vorhandensein der Frage erkannt:
Gibt es eine Sicherheitsfrage, existiert …
Donnerstag, 7. Januar 2010
About Security #237: Schwachstellen-Suche: Sichere Authentifizierung (6)
Wie er Zugriff auf die Webanwendung erlangt, ist einem Angreifer im
Allgemeinen egal. Kann er die Authentifizierung nicht bei der normalen
Anmeldung überwinden, sucht er nach anderen Möglichkeiten,
Zugangsdaten auszuspähen oder zu manipulieren. Auch jede Funktion,
die nur indirekt den Zugriff auf die Anwendung erlaubt, ist daher ein
mögliches Angriffsziel. So auch die Funktion zum Zurücksetzen
des …
Donnerstag, 31. Dezember 2009
About Security #236: Schwachstellen-Suche: Sichere Authentifizierung (5)
Gegen Brute-Force-Angriffe, bei denen eine Liste mit einer große
Anzahl ermittelter oder erratener Benutzernamen der Reihe nach mit einem
einzelnen Passwort durchprobiert wird, helfen die üblichen
Gegenmaßnahmen nicht. Wie in About Security
#235
erwähnt, sind die Erfolgsaussichten eines solchen Angriffs gar nicht
mal schlecht, vor allem dann nicht, wenn die Webanwendung sehr viele
Benutzer hat und …
Donnerstag, 24. Dezember 2009
About Security Weihnachts-Special: Lesetips zur Web-Sicherheit
Auch in diesem Jahr gibt es das schon traditionelle Weihnachts-Special von
About Security. Diesmal mit einer bunten Sammlung an Artikeln,
Präsentationen und Tools rund ums Thema "Web-Sicherheit".
Browser-Sicherheit
Zentraler Anlaufpunkt, wenn es um Fragen der Sicherheit des Webbrowsers
geht, ist das
Browser Security Handbook (BSH)
von Michal Zalewski, das als …
Donnerstag, 17. Dezember 2009
About Security #235: Schwachstellen-Suche: Sichere Authentifizierung (4)
Mit Brute-Force-Angriffen lassen sich schwache Passwörter brechen (und
mit etwas Pech auch stärkere). Da man schwache Passwörter nicht
mit Sicherheit verhindern kann, muss man Brute-Force-Angriffe verhindern
oder zumindest erschweren.
5. Brute-Force-Angriffe verhindern
Sämtliche zur Authentifizierung gehörenden Funktionen müssen
vor automatisierten Angriffen geschützt werden. Außer der
Login-Funktion selbst betrifft das z.B. auch die Funktionen …
Donnerstag, 10. Dezember 2009
About Security #234: Schwachstellen-Suche: Sichere Authentifizierung (3)
Die Entwicklung sicherer Authentifizierungssysteme bzw. die Behebung
gefundener Schwachstellen ist auch das Thema dieser Folge. Zur bereits in
About Security
#233
behandelten korrekten Prüfung der Zugangsdaten gehört auch die
richtige Reaktion auf Fehler bzw. mögliche Angriffe.
Die Anwendung sollte auf alle unerwarteten Eingaben oder Ereignisse
während der Authentifizierung sehr restriktiv reagieren. Wenn ein
Fehler …
Mittwoch, 9. Dezember 2009
Patchday - Microsoft stopft 12 Schwachstellen, Adobe mindestens 7
Am Dezember-Patchday hat Microsoft wie
angekündigt
3 als kritisch und 3 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 12 Schwachstellen behoben werden, darunter die Ende
November veröffentlichte
0-Day-Schwachstelle
im Internet Explorer. Von den restlichen 11 Schwachstellen war nur eine
weitere vor der Veröffentlichung der Security Bulletins
öffentlich
bekannt, alle anderen wurden …
Donnerstag, 3. Dezember 2009
About Security #233: Schwachstellen-Suche: Sichere Authentifizierung (2)
Die Entwicklung sicherer Authentifizierungssysteme bzw. die Behebung
gefundener Schwachstellen ist auch das Thema dieser Folge.
Zur Vervollständigung der in About Security
#232
aufgeführten Regeln zur sicheren Verwendung bzw. Verarbeitung der
Zugangsdaten fehlt noch ein Punkt: Wenn möglich, sollte ein Teil der
Zugangsinformationen über ein Drop-Down-Menü statt über ein
Textfeld abgefragt werden, um einen …
Donnerstag, 26. November 2009
About Security #232: Schwachstellen-Suche: Sichere Authentifizierung
Nachdem es nun einige Folgen lang um die Suche nach Schwachstellen in der
Authentifizierung ging, geht es ab dieser Folge um deren Behebung bzw. die
Entwicklung sicherer Authentifizierungssysteme.
Viele Wünsche auf einmal
Ein sicheres Authentifizierungssystem muss viele Wünsche bzw.
Anforderungen auf einmal erfüllen, denn es muss sowohl sicher als auch
einfach zu …
Montag, 23. November 2009
WebTech-Retrospektive: Der iPhone Dev Day
Das iPhone hat, so scheint es, den Markt revolutioniert. Seine Möglichkeiten das Internet immer und überall zu nutzen haben es ebenso zum
Kassenschlager werden lassen wie die Applikationen, die es zuhauf im App Store zu kaufen gibt. Um diese Entwicklung zu würdigen, gab es auf
der WebTech Conference den
iPhone Dev …
Donnerstag, 19. November 2009
"Konsistent UTF-8 immer und überall benutzen."
Der Umgang mit Zeichensätzen und Kodierungen wird für viele Entwickler immer mal wieder zum Problem, ein wird da schnell mal zum – nicht schön. Worauf PHP-Developer bei der Arbeit mit Charsets & Encodings nun genauer zu achten haben, das stellten Kore Nordmann und Manuel Pichler auf ihrer gleichnamigen Session auf der …
CTO, studiVZ: "Wir haben im Moment 2 Bugs."
Das Programm der jüngsten International PHP Conference war ausgesprochen abwechslungsreich, nicht zuletzt auch Dank Unterstützung vielfältigster Themen der WebTech Conference. Entsprechend bunt bot sich auch das Themensprektrum der diesjährigen Keynotes, auf denen sich neben Patrick Lauke (Evangelist im Developer Relations Team bei Opera Software) und Ralph Schindler (Software Engineer im Zend …
About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
Außer den in About Security
#230
beschriebenen Implementierungsfehlern in mehrstufigen
Authentifizierungssystemen gibt es weitere.
Falsche Frage
Um einmal z.B. über Phishing ausgespähte Zugangsdaten für
den Angreifer wertlos zu machen, erfordern manche mehrstufigen
Authentifizierungssysteme nach der Eingabe von Benutzername und Passwort
z.B. die Beantwortung einer von mehreren geheimen Fragen oder die Eingabe
bestimmter Zeichen …
Mittwoch, 18. November 2009
WebTech-Retrospektive: Der Web Standards Day
Jens Grochtdreis, Initiator der Webkrauts, lud am 2. Webtech-Tag zum "Web Standards Day". Als Vortragende waren bekannte Webkrauts eingeladen, die Eröffnung geschah durch Nils Pooker, der auf unterhaltende Weise zeigte wo die Diskrepanzen in der Kommunikation zwischen Webdesigner und Kunde sind und wie man sie am besten umschifft. Wichtig vor allem: …
Dienstag, 17. November 2009
Vorgeschmack auf den HTML5-Videosupport
Bisher werden Videos üblicherweise dadurch auf einer Website eingebunden, dass man einen knappen Codeblock von YouTube, Vimeo, oder einem Anbieter seiner Wahl per Copy&Paste in sein HTML-Gerüst einbettet. Anschließend kümmert sich ein Plugin um die korrekte Darstellung der Inhalte. Mit so einem Vorgehen handelt man sich jedoch auch verschiedene Schwierigkeiten mit …
Montag, 16. November 2009
International PHP Conference 2009: Good to know
Nach dem morgendlichen Kick-off zur diesjährigen International PHP Conference 2009 konzentriert sich die kommenden Tage alles auf die über 150 Sessions, die das Konferenzpaket aus IPC, WebTech und Open Source Expo den Teilnehmern bietet.
Die IPC 2009 im Web
Konferenzwebseite
Twitter
Speaker der IPC (Twitter)
Community Twitterwall
IPC-Talks auf joind.in
Wer die Tage …
Donnerstag, 12. November 2009
About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
Auch ein gut entworfenes, theoretisch absolut sicheres
Authentifizierungssystem kann durch Implementierungsfehler unsicher werden.
Das können z.B. Informationslecks sein, eine Möglichkeit zum
direkten Umgehen des Authentifizierungssystems oder eine allgemeine
Schwächung des Systems.
Implementierungsfehler sind schwieriger zu finden als Designfehler wie ein
fehlender Schutz vor Brute-Force-Angriffen oder unsichere Regeln für
Passwörter. Daher ist eine allgemeine Beschreibung schwierig, …
Donnerstag, 5. November 2009
About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
Wie werden Zugangsdaten sicher übertragen? Für die Richtung vom
Benutzer zur Webanwendung nimmt man dafür SSL/TLS - aber was ist mit
der Übertragung der von der Webanwendung während der
Registrierung erzeugten Daten? Die müssen an den Benutzer
übermittelt werden, und das, ohne dass Unbefugte sie dabei zu sehen
bekommen.
In einem Intranet ist die sichere …
MySQL: Das Problem ist nicht Oracle, sondern die GPL
Sacha Labourey, ehemals führender Kopf bei JBoss, hat in seinem Blog das GPL-Dual-Licensing-Geschäftsmodell scharf kritisiert. Hintergrund ist die Übernahme Suns durch Oracle und damit einhergehend die unsichere Zukunft von MySQL.
Labourey argumentiert wie folgt: Das Gute an FOSS-Geschäftsmodellen (Free and Open Source Software) sei, dass egal was mit den Firmen hinter der …