Inhalte überspringen »
Bibliothek
Geek’s Guide To The Working Life: Die Telefonkonferenz
Kapitel 18 der Geek-Kolumne
Telefonnummer: 069-12345678987654321. Konferenzcode: 95673456#. MFV muss an sein. Mal sehen. Sofern sie nicht zum untröstlichen Verdruss der überwiegenden Zahl der potentiellen Teilnehmer abgesagt wird, ist die Telefonkonferenz ein in der Geschäftswelt erprobtes, jederzeit verlässliches Mittel, um eine halbe bis ganze Stunde totzuschlagen, ungesehen von anderen Teilnehmern die schon lange fällige Gesichtshygiene bzw. Reinigung von Kopföffnungen durchzuführen und, gemütlich im eigenen, vertrauten Stuhl sitzend, mal unbekümmert einen fah... "Willkommen in Ihrer Telefonkonferenz. Es sind bereits 2 Teilnehmer anwesend".
Wie SVGs heimlich, still und leise zum Sicherheitsrisiko wurden
Security-Kolumne
Scalable Vector Graphics oder SVG-Dateien sind ein tolles und bewährtes Grafikformat. Ein wesentlicher Vorteil gegenüber normalen Rastergrafiken liegt darin, dass SVGs quelloffen und XML-basiert sind.
Angriffe auf Webapplikationen und Anwender mit Java und LiveConnect
Kaffeeflecken auf der Sicherheitsweste
Skriptbasierte Angriffe auf Webapplikationen und deren Anwender sind in aller Munde. Cross-Site Scripting, DOMXSS, und Cascading-Stylesheet-(CSS-)basierte Attacken ermöglichen es Angreifern, sensible Daten zu stehlen, den Anwender zu belauschen und Tastatureingaben mitzuschneiden. Ein gezielter XSS-Angriff auf eine Webseite erlaubt es Angreifern, den Anwender und sein Verhalten auf der angegriffenen Domain komplett fern zu steuern. Im schlimmsten Fall gelingt es dem Bösewicht, eine Browserlücke auszunutzen und so Malware auszuliefern, die den Computer des Anwenders nachhaltig schädigt.
DOMXSS - Angriffe aus dem Nirgendwo
Security-Kolumne
Eine der am meisten unterschätzten und am häufigsten belächelten Klassen an Sicherheitslücken ist ohne Zweifel das DOM-basierte Cross Site Scripting, kurz DOMXSS. Als kleiner Bruder vom "echten" XSS, der über GET oder POST hereinpoltert und seine Spuren im Client wie auch meist den Serverlogs hinterlässt, hat man es auch nicht leicht. Herkömmliches Cross Site Scripting hat in den letzten Wochen und Monaten viel Presse bekommen – und ist unter Sicherheitsexperten spätestens seit Samy Kamkars mehr oder weniger böswilligen Angriff auf MySpace im Jahre 2005 bekannt.
Schlechter Code ist … schlecht
Security-Kolumne
Das WWW kann durchaus als eine Errungenschaft jenseits von einzelner begreifbarer Komplexität angesehen werden. Aus technischer Sicht betrachtet, handelt sich um ein Netzwerk außerordentlicher Dimension, in dem eine schwer zu überschauende Menge an Plattformen Informationen jedweder Art anbieten und einfordern.
Enterprise Eclipse RCP - Teil 3
Security und Fehlerhandling
Eclipse RCP etabliert sich zunehmend als Frontend für verteilte Anwendungen im Unternehmensbereich. Nachdem der zweite Teil der Reihe "Enterprise Eclipse RCP [1] detailliert den Aspekt der Verteilung und das clientseitige Caching beleuchtet hat, beschäftigt sich der dritte Teil mit dem Thema Security und Fehlerhandling. Beide Bereiche sind stark mit dem Thema Verteilung bzw. Kommunikation verwoben, sodass sich Elemente der im Artikel beschriebenen Lösungen auf das im vorhergehenden Teil beschriebene Spring Remoting beziehen.
Web Application Security Teil 2
Niemals ungeschützt
Unsichere Webanwendungen stellen eine große Gefahr für jedes Unternehmen dar. Wer dieses Risiko ignoriert, öffnet Hackern die Tore und fügt seinem Unternehmen unter Umständen vermeidbaren, großen Schaden durch Datenmissbrauch oder -diebstahl zu. Aus diesem Grund ist eine mehrschichtige, technische Sicherheitsarchitektur, bestehend aus Härtung der Infrastruktur, Verschlüsselung der Kommunikation und Absicherung von Webanwendungen, unverzichtbar. Letzteres lässt sich mittels der Open Source Web Application Firewall WebCastellum erreichen.
"Verschwunden im Bermudadreieck der Cloud"
Wenn Daten im Nebel verschwinden
Kürzlich war ich im 19. Stock eines Hochhauses und musste feststellen: Näher an
den Wolken heißt weiter weg von der Internet-Cloud - denn der Empfang da
oben war schlecht für mein Mobile-Internet-USB-Modem und ist dann ganz
ausgefallen (wie übrigens auch regelmäßig auf meinem Heimweg, wenn die
Schnellbahn durch die Tunnel fährt). "Was mache ich jetzt?", dachte ich mir. "Was
bringt mir überhaupt so ein Computerteil ohne Internetzugang?"
Web Application Security
Niemals ungeschützt (Teil 1)
Mit dem Thema Web Application Security rollt die nächste große Welle auf Unternehmen zu und sie wird viele eiskalt erwischen. Wer Webanwendungen nicht bewusst absichert, macht es Angreifern leicht, diese zu kompromittieren. Um unternehmenskritische Daten vor Missbrauch zu schützen, bietet sich eine mehrschichtige Sicherheitsstrategie an. Eine Web Application Firewall übernimmt hierbei den Schutz von Webanwendungen vor Hackerangriffen.
Single-Sign-On-Systeme
Eine Übersicht
Heutzutage ist es üblich, dass Benutzer täglich mit zehn oder mehr unterschiedlichen IT-Systemen interagieren. In den meisten Fällen müssen sie sich an jedem System gesondert anmelden - eine unbefriedigende Tatsache die nicht nur die Kosten in die Höhe treibt, sondern auch die Produktivität vermindert und Sicherheitsschwachstellen erzeugt. Durch Single-Sign-On-(SSO) Systeme ist es möglich, sich einmal gegen ein zentrales System zu authentifizieren und transparent von anderen Systemen als authentifizierter Benutzer erkannt zu werden. Dieser Artikel beschreibt die wichtigsten Merkmale von SSO-Systemen für Webanwendungen. Es werden drei Open-Source-SSO-Systeme miteinander verglichen.
Schutzengel
PHP-Anwendungen mit Suhosin absichern
Mit Suhosin existiert eine PHP-Erweiterung, die es erlaubt, bestehende PHP-Anwendungen mit einfachen Handgriffen und oftmals ohne Änderungen im Quellcode gegen bekannte und unbekannte Angriffe abzuhärten. In diesem Artikel soll die Installation und Konfiguration beschrieben und der sichere Einsatz der Erweiterung demonstriert werden.
Ethical Hacking für Anfänger
Die Sicherheitswelt besteht aus Hacking-Tools
Kann Hacking ethisch sein? Was sich nach einem Widerspruch anhört, ist eine effektive Methode,
sich gegen Hacker abzusichern: Denn wer sein Netzwerk wirksam vor Angreifern schützen
möchte, muss selbst wie ein Hacker denken.
Hyperactive
Eingehendes HTML in PHP sicher verarbeiten
Schöne neue Welt des Web 2.0: Die hoch motivierten Besucher Ihrer Webseite schreiben fleißig Kommentare, bloggen wie die Weltmeister und füllen das Forum im regen Austausch mit Anderen mit nützlichen Informationen. Doch wie sieht es mit der Sicherheit aus?
Sys-Admin-Corner: OpenSSH, Grundlagen und Insiderwissen
Starke Schlüssel
Verlassen Daten über ungesicherte Verbindungen einen Computer, so besteht immer die Gefahr, dass diese von Unbefugten gelesen oder protokolliert werden. Den meisten Administratoren ist die freie Implementierung OpenSSH [1] als eine authentifizierte, verschlüsselte Alternative zu gängigen, unverschlüsselten Programmen wie zum Beispiel telnet, rsh, rlogin und ftp ein Begriff. Im Folgenden möchte ich Ihnen neben den Grundlagen die oftmals ungenutzten, erweiterten Möglichkeiten von OpenSSH vorstellen.
CAPTCHA - Mensch oder Maschine?
Wie ein Programm Benutzer aus Fleisch und Blut von Bots unterscheiden kann
Jeder kennt sie – die kleinen Bildchen mit verzerrten Buchstaben oder Ziffern auf Webformularen. Die Zeichen sind in ein Formularfeld einzutippen, um eine Registrierung abzuschließen oder bevor man zur gewünschten Seite gelangt. Gedankenlos bis leicht verärgert ist das schnell erledigt und weiter geht's. Erst wenn man selbst Derartiges implementieren muss, taucht man ein ... in die spannende Welt der CAPTCHAs.
