Sonntag, 21. Februar 2010


Bibliothek

Web Application Security Teil 2

Niemals ungeschützt

Unsichere Webanwendungen stellen eine große Gefahr für jedes Unternehmen dar. Wer dieses Risiko ignoriert, öffnet Hackern die Tore und fügt seinem Unternehmen unter Umständen vermeidbaren, großen Schaden durch Datenmissbrauch oder -diebstahl zu. Aus diesem Grund ist eine mehrschichtige, technische Sicherheitsarchitektur, bestehend aus Härtung der Infrastruktur, Verschlüsselung der Kommunikation und Absicherung von Webanwendungen, unverzichtbar. Letzteres lässt sich mittels der Open Source Web Application Firewall WebCastellum erreichen.

"Verschwunden im Bermudadreieck der Cloud"

Wenn Daten im Nebel verschwinden

Kürzlich war ich im 19. Stock eines Hochhauses und musste feststellen: Näher an den Wolken heißt weiter weg von der Internet-Cloud - denn der Empfang da oben war schlecht für mein Mobile-Internet-USB-Modem und ist dann ganz ausgefallen (wie übrigens auch regelmäßig auf meinem Heimweg, wenn die Schnellbahn durch die Tunnel fährt). "Was mache ich jetzt?", dachte ich mir. "Was bringt mir überhaupt so ein Computerteil ohne Internetzugang?"

Web Application Security

Niemals ungeschützt (Teil 1)

Mit dem Thema Web Application Security rollt die nächste große Welle auf Unternehmen zu und sie wird viele eiskalt erwischen. Wer Webanwendungen nicht bewusst absichert, macht es Angreifern leicht, diese zu kompromittieren. Um unternehmenskritische Daten vor Missbrauch zu schützen, bietet sich eine mehrschichtige Sicherheitsstrategie an. Eine Web Application Firewall übernimmt hierbei den Schutz von Webanwendungen vor Hackerangriffen.

Single-Sign-On-Systeme

Eine Übersicht

Heutzutage ist es üblich, dass Benutzer täglich mit zehn oder mehr unterschiedlichen IT-Systemen interagieren. In den meisten Fällen müssen sie sich an jedem System gesondert anmelden - eine unbefriedigende Tatsache die nicht nur die Kosten in die Höhe treibt, sondern auch die Produktivität vermindert und Sicherheitsschwachstellen erzeugt. Durch Single-Sign-On-(SSO) Systeme ist es möglich, sich einmal gegen ein zentrales System zu authentifizieren und transparent von anderen Systemen als authentifizierter Benutzer erkannt zu werden. Dieser Artikel beschreibt die wichtigsten Merkmale von SSO-Systemen für Webanwendungen. Es werden drei Open-Source-SSO-Systeme miteinander verglichen.

Schutzengel

PHP-Anwendungen mit Suhosin absichern

Mit Suhosin existiert eine PHP-Erweiterung, die es erlaubt, bestehende PHP-Anwendungen mit einfachen Handgriffen und oftmals ohne Änderungen im Quellcode gegen bekannte und unbekannte Angriffe abzuhärten. In diesem Artikel soll die Installation und Konfiguration beschrieben und der sichere Einsatz der Erweiterung demonstriert werden.

Ethical Hacking für Anfänger

Die Sicherheitswelt besteht aus Hacking-Tools

Kann Hacking ethisch sein? Was sich nach einem Widerspruch anhört, ist eine effektive Methode, sich gegen Hacker abzusichern: Denn wer sein Netzwerk wirksam vor Angreifern schützen möchte, muss selbst wie ein Hacker denken.

Hyperactive

Eingehendes HTML in PHP sicher verarbeiten

Schöne neue Welt des Web 2.0: Die hoch motivierten Besucher Ihrer Webseite schreiben fleißig Kommentare, bloggen wie die Weltmeister und füllen das Forum im regen Austausch mit Anderen mit nützlichen Informationen. Doch wie sieht es mit der Sicherheit aus?

Sys-Admin-Corner: OpenSSH, Grundlagen und Insiderwissen

Starke Schlüssel

Verlassen Daten über ungesicherte Verbindungen einen Computer, so besteht immer die Gefahr, dass diese von Unbefugten gelesen oder protokolliert werden. Den meisten Administratoren ist die freie Implementierung OpenSSH [1] als eine authentifizierte, verschlüsselte Alternative zu gängigen, unverschlüsselten Programmen wie zum Beispiel telnet, rsh, rlogin und ftp ein Begriff. Im Folgenden möchte ich Ihnen neben den Grundlagen die oftmals ungenutzten, erweiterten Möglichkeiten von OpenSSH vorstellen.

CAPTCHA - Mensch oder Maschine?

Wie ein Programm Benutzer aus Fleisch und Blut von Bots unterscheiden kann

Jeder kennt sie – die kleinen Bildchen mit verzerrten Buchstaben oder Ziffern auf Webformularen. Die Zeichen sind in ein Formularfeld einzutippen, um eine Registrierung abzuschließen oder bevor man zur gewünschten Seite gelangt. Gedankenlos bis leicht verärgert ist das schnell erledigt und weiter geht's. Erst wenn man selbst Derartiges implementieren muss, taucht man ein ... in die spannende Welt der CAPTCHAs.

Grsecurity und PaX

Sicher ist sicher

So gut wie alle Einbrüche in Computersysteme resultieren aus Fehlern im Design, der Implementierung oder der Konfiguration von Software. Das populäre Grsecurity-Projekt schafft hier Abhilfe. Es stellt einen Patch zur Verfügung, der den Standard-Linux-Kernel (Vanilla Kernel) um zahlreiche Sicherheitsfeatures ergänzt.

Technologische Impulse

W-JAX 06 und Enterprise Architektur Konferenz vom 6. bis 10. November 2006 in München

In der Woche vom 6. bis 10. November fand im ArabellaSheraton Grand Hotel in München die fünfte W-JAX statt. Der folgende Konferenzbericht gibt eine subjektive Sicht auf die Konferenz wieder. Er hat keinen Anspruch auf Vollständigkeit, beleuchtet dafür aber die Veranstaltungen aus verschiedenen Richtungen.

Regulatory Compliance durch Metadata-Management

Sichere Datenverwaltung

Metadata-Management (MDM) ist die Grundlage für die Einrichtung einer unternehmensweiten Datenarchitektur, die für die Durchsetzung der IT-Sicherheitslinien eines Unternehmens von Bedeutung ist. Die Einrichtung einer Datenarchitektur, die Governance und Compliance berücksichtigt, lässt sich mit Modellierungswerkzeugen realisieren, die bestimmte Voraussetzungen erfüllen.

Grundsätze und wichtige Aspekte der PHP-Sicherheit

Auf Nummer sicher

Mit zunehmender Verbreitung von PHP als der Skriptsprache für das Web wächst naturgemäß auch die Zahl der Skeptiker. Neben den vielfach angeführten „Enterprise-Problemen“ wie Scalability und Performance, Sprachinkonsistenzen und angeblichen Mängeln in der OO-Implementierung spielt die Sicherheit von PHP eine zentrale Rolle in der Kritik. Aber ist PHP per se unsicher, wie viele behaupten? Ist es Schuld der Sprache, wenn viele Entwickler unsichere Software schreiben? Und was genau ist eigentlich „PHP-Sicherheit“?

Bots müssen draußen bleiben

Mensch oder Maschine? Grafische Captchas erstellen

Mit der wachsenden Anzahl von Internetdiensten hat auch das Thema Sicherheit eine immer größere Bedeutung erlangt. Wie schützen Sie Ihre Anwendung vor „Spam Robotern“ oder Brutforce-Attacken? Wie schützen Sie Ihre Anwender vor Passwortklau? Captchas versprechen die Lösung. Die häufigste Variante von Captchas sind kleine Grafiken, welche es ermöglichen sollen, Computer und reale Anwender zu unterscheiden. Wie dies funktioniert und wo die Gefahren liegen, zeigt Ihnen dieser Artikel.

Auswirkungen der Code Access Security auf das Setup einer Anwendung

CAS im .NET Framework

In den Unternehmensnetzwerken werden Anwendungen gerne zentral auf einem Server abgelegt, sodass die Anwender diese Programme über ein Netzlaufwerk starten können. Was seit Jahren bewährte Praxis war, wird bei einer .NET-Anwendung mit der Standardinstallation des .NET Framework zu einem gewissen Problem, auf das der Entwickler in seinem Installationsprogramm der Anwendung reagieren muss.
1 2 3      weiter »