Inhalte überspringen »
Alle Topthemen
Freitag, 12. März 2010
Ehrenrettung für Open Source
Mit ungläubigem Kopfschütteln über amerikanische Verhältnisse reagierten letzte Woche nicht nur Entwickler im "Alten Europa" auf den Länderbericht der International Intellectual Property Association (IIPA), der US-amrikanischen Gralshüter des Urheberrechts. In dem Bericht spricht die IIPA die Empfehlung an die U.S. Trade Representative (USTR) (das offizielle Organ der internationalen Handelspolitik der Vereinigten …
Donnerstag, 11. März 2010
About Security: Ein Bericht von der CeBIT 2010
Die CeBIT 2010 ist vorüber, Zeit für den traditionellen Bericht
über einige Neuigkeiten aus dem Bereich der IT-Sicherheit.
Neuigkeiten?
Die gab es dieses Jahr zumindest in der Security-Halle kaum zu sehen. Neu
war vor allem, dass die Messeleitung den Finanzbereich, früher in
einer der 20er-Hallen untergebracht, nun in die Halle 11 …
Freitag, 5. März 2010
About Security #245: Schwachstellen-Suche: Session-Token
Von der Webanwendung gelieferte Werte wie Session-Tokens und
Passwörter sollten zufällig gewählt werden und nicht
vorhersagbar sein. Manchmal sieht das aber nur so aus. Diese Folge von
About Security dreht sich daher um die Analyse solcher Werte.
Im folgenden wird immer von Session-Tokens oder kürzer Tokens
ausgegangen, die entsprechenden Schritte gelten aber analog …
Dienstag, 2. März 2010
Die Allerleimesse CeBIT - Kommentar
Folgt man der medialen Berichterstattung, könnte man glauben, die CeBIT sei immer noch ein wichtiger Termin für die IT-Branche. Auch lassen die Fernsehbilder von Staats- und Regierungschefs, die alljährlich die Hannoveraner Computermesse eröffnen, das Publikum glauben, es handele sich um ein Ereignis von wahrem Weltrang. Wohl nur die Frankfurter Buchmesse und …
Freitag, 26. Februar 2010
IT an der Schwelle einer neuen Ära?
Wir stehen an der Schwelle einer neuen Ära: der Ära der "Sozialen Innovation" des Business!
Mit dieser pointierten These beginnt Nigel Fenwick, Analyst bei Forrester, seinen jüngsten Blogeintrag "The New Era Of Social Innovation", in dem er erläutert, warum soziale Innovationsnetzwerke in Zukunft entscheidend für den Erfolg oder Misserfolg eines Produkts/Projekts sein …
Donnerstag, 25. Februar 2010
About Security #244: Schwachstellen-Suche: DoS verhindern (3)
Schon beim Entwurf der Webanwendung kann man möglichen DoS-Angriffen
zuvor kommen. Beim sog. "Threat Modelling" wird zwar vor allem auf
Angriffe auf z.B. die Anwendungslogik oder die Authentifizierung geachtet,
aber auch DoS-Angriffe lassen sich zumindest teilweise schon beim Entwurf
verhindern oder zumindest abschwächen.
"Irgendwas irgendwie verbrauchen"
So könnte man eine große Anzahl …
Mittwoch, 24. Februar 2010
Happy Birthday, Apache!
Der Apache HTTP Web Server feiert Geburtstag - bescheiden stößt man im Apache-Blog auf 15 Jahre Webserver-Geschichte an. Dabei muss man es mit dem Understatement garnicht übertreiben, immerhin befeuert das Flagship Project der Foundation heute über 112 Millionen Websites weltweit.
Eigentlich hatte alles klein Angefangen. Zunächst als Fork des NCSA HTTPd Webservers …
Donnerstag, 18. Februar 2010
About Security #243: Schwachstellen-Suche: DoS verhindern (2)
Bei der Abwehr von DoS-Angriffen hat jeder Betreiber einer Webanwendung
einen natürlichen Verbündeten: Seinen ISP, der ggf. ebenso unter
dem DoS-Angriff zu leiden hat wie er selbst.
Mitgegangen, mitgefangen
Abgesehen von wenigen Sonderfällen kommt beim Betrieb einer
Webanwendung früher oder später ein Dritter ins Spiel, dessen
Dienstleistungen in Anspruch genommen werden. Z.B. …
Donnerstag, 11. Februar 2010
About Security #242: Schwachstellen-Suche: DoS verhindern
Bei der Abwehr von DoS-Angriffen muss man in drei Schritten vorgehen:
Erstens muss man Maßnahmen ergreifen, um einen Angriff zu verhindern
oder abzuschwächen, zweitens muss man feststellen können, wenn
ein Angriff erfolgt, und drittens muss man Maßnahmen vorbereiten, die
im Falle eines Angriffs ergriffen werden können, um ihn zu beenden
oder abzuschwächen.
Angriffe vorab verhindern oder abschwächen
DoS-Angriffe …
Mittwoch, 10. Februar 2010
Patchday - Microsoft stopft 26 Schwachstellen
Am Februar-Patchday hat Microsoft wie
angekündigt
13 Security Bulletins (5 kritische, 7 wichtige, 1 moderates)
veröffentlicht,
mit denen insgesamt 26 Schwachstellen behoben werden. Nur eine davon, die
im Januar bekannt gewordene
Schwachstelle im #GP Trap Handler,
war zuvor öffentlich bekannt.
Außer den Security Bulletins wurde auch ein
Security Advisory
veröffentlicht, mit dem Workarounds …
Donnerstag, 4. Februar 2010
HipHop-Karaoke: Stimmen aus der PHP-Welt
Facebook schlägt Wellen. Nicht nur wegen verdächtigem Datensammeln und Auswerten, sondern auch mit dem Release von HipHop, dem intern entwickelten und jetzt der Öffentlichkeit vorgestelltem PHP-zu-C++-Cross-Compiler. Wir haben einige Stimmen gesammelt, dabei reicht das Spektrum von vorsichtiger Zurückhaltung bis hin zu ehrlich gelebter Begeisterung.
For now I think this is mainly interesting …
About Security #241: Schwachstellen-Suche: Denial of Service (3)
DoS-Angriffe auf den Webserver sind zum einen über entsprechende
Schwachstellen, z.B. einem Pufferüberlauf beim Verarbeiten
überlanger Requests, zum anderen durch eine Überlastung
möglich.
DoS durch Schwachstellen im Webserver
Evtl. vorhandene Schwachstellen sollten im wesentlichen schon in den
vorhergehenden Schritten, insbesondere bei der Suche nach
Pufferüberlauf-Schwachstellen (siehe About Security
#196),
gefunden worden sein. Daher …
Mittwoch, 3. Februar 2010
PHP goes C++
Diese Nachricht könnte die PHP-Welt verändern. Nachdem die Gerüchte, Facebook hätte die PHP-Runtime from the scratch neu geschrieben, bereits wild
wucherten, wurde gestern das große Geheimnis gelüftet: HipHop for PHP lautet die Parole der Stunde.
Der gestrige Tag könnte zu einem großen Tag für PHP werden. Haiping Zhao lies auf facebook Developers …
Donnerstag, 28. Januar 2010
About Security #240: Schwachstellen-Suche: Denial of Service (2)
Mögliche DoS-Schwachstellen in der Webanwendung wurden bereits in
About Security
#239
beschrieben: Immer, wenn ein Benutzer mit wenig Aufwand eine hohe
Auslastung der Webanwendung verursachen kann, besteht Gefahr. Die muss
verringert und am besten ganz beseitigt werden.
DoS-Schwachstellen in der Webanwendung verhindern
Die in About Security
#239
beschriebenen Beispiele gehen …
Mittwoch, 27. Januar 2010
Kommentar: SourceForge und die Schurkenstaaten
Die USA sind gerne ganz vorne mit dabei, wenn es darum geht, den Frieden in die Welt zu tragen. Jetzt scheint festzustehen: Auch Open Source
kann böse sein. Und das kurz nach der Rede der US-Außenministerin Hillary Clinton, die einen weltweiten, unzensierten Zugang zum Internet gefordert
hatte. Da kommt man doch …
Donnerstag, 21. Januar 2010
About Security #239: Schwachstellen-Suche: Denial of Service
Die Suche nach DoS-Schwachstellen ist etwas komplizierter als die nach
allen anderen. Zum einen kann man sie nicht mit dem Produktivsystem
durchführen, da jeder Erfolg gleichzeitig zum echten DoS der Anwendung
wird, zum anderen gibt es extrem viele Möglichkeiten, eine
Webanwendung für die Benutzer unbrauchbar zu machen.
Viele Wege führen zum Ziel
Die …
Donnerstag, 14. Januar 2010
About Security #238: Schwachstellen-Suche: Sichere Authentifizierung (7)
Eine Sicherheitsfrage vor der Funktion zum Zurücksetzen des Passworts
führt möglicherweise zur Preisgabe gültiger Benutzernamen.
Die kann der Angreifer gut für weitere Angriffe auf die
Authentifizierung gebrauchen.
Frage da, Benutzername gültig
Können die Benutzer die Sicherheitsfrage selbst wählen, werden
gültige Benutzernamen allein schon am Vorhandensein der Frage erkannt:
Gibt es eine Sicherheitsfrage, existiert …
Donnerstag, 7. Januar 2010
About Security #237: Schwachstellen-Suche: Sichere Authentifizierung (6)
Wie er Zugriff auf die Webanwendung erlangt, ist einem Angreifer im
Allgemeinen egal. Kann er die Authentifizierung nicht bei der normalen
Anmeldung überwinden, sucht er nach anderen Möglichkeiten,
Zugangsdaten auszuspähen oder zu manipulieren. Auch jede Funktion,
die nur indirekt den Zugriff auf die Anwendung erlaubt, ist daher ein
mögliches Angriffsziel. So auch die Funktion zum Zurücksetzen
des …
Donnerstag, 31. Dezember 2009
About Security #236: Schwachstellen-Suche: Sichere Authentifizierung (5)
Gegen Brute-Force-Angriffe, bei denen eine Liste mit einer große
Anzahl ermittelter oder erratener Benutzernamen der Reihe nach mit einem
einzelnen Passwort durchprobiert wird, helfen die üblichen
Gegenmaßnahmen nicht. Wie in About Security
#235
erwähnt, sind die Erfolgsaussichten eines solchen Angriffs gar nicht
mal schlecht, vor allem dann nicht, wenn die Webanwendung sehr viele
Benutzer hat und …
Donnerstag, 24. Dezember 2009
About Security Weihnachts-Special: Lesetips zur Web-Sicherheit
Auch in diesem Jahr gibt es das schon traditionelle Weihnachts-Special von
About Security. Diesmal mit einer bunten Sammlung an Artikeln,
Präsentationen und Tools rund ums Thema "Web-Sicherheit".
Browser-Sicherheit
Zentraler Anlaufpunkt, wenn es um Fragen der Sicherheit des Webbrowsers
geht, ist das
Browser Security Handbook (BSH)
von Michal Zalewski, das als …
