Inhalte überspringen »
Alle Topthemen
Mittwoch, 3. Februar 2010
PHP goes C++
Diese Nachricht könnte die PHP-Welt verändern. Nachdem die Gerüchte, Facebook hätte die PHP-Runtime from the scratch neu geschrieben, bereits wild
wucherten, wurde gestern das große Geheimnis gelüftet: HipHop for PHP lautet die Parole der Stunde.
Der gestrige Tag könnte zu einem großen Tag für PHP werden. Haiping Zhao lies auf facebook Developers …
Donnerstag, 28. Januar 2010
About Security #240: Schwachstellen-Suche: Denial of Service (2)
Mögliche DoS-Schwachstellen in der Webanwendung wurden bereits in
About Security
#239
beschrieben: Immer, wenn ein Benutzer mit wenig Aufwand eine hohe
Auslastung der Webanwendung verursachen kann, besteht Gefahr. Die muss
verringert und am besten ganz beseitigt werden.
DoS-Schwachstellen in der Webanwendung verhindern
Die in About Security
#239
beschriebenen Beispiele gehen …
Mittwoch, 27. Januar 2010
Kommentar: SourceForge und die Schurkenstaaten
Die USA sind gerne ganz vorne mit dabei, wenn es darum geht, den Frieden in die Welt zu tragen. Jetzt scheint festzustehen: Auch Open Source
kann böse sein. Und das kurz nach der Rede der US-Außenministerin Hillary Clinton, die einen weltweiten, unzensierten Zugang zum Internet gefordert
hatte. Da kommt man doch …
Donnerstag, 21. Januar 2010
About Security #239: Schwachstellen-Suche: Denial of Service
Die Suche nach DoS-Schwachstellen ist etwas komplizierter als die nach
allen anderen. Zum einen kann man sie nicht mit dem Produktivsystem
durchführen, da jeder Erfolg gleichzeitig zum echten DoS der Anwendung
wird, zum anderen gibt es extrem viele Möglichkeiten, eine
Webanwendung für die Benutzer unbrauchbar zu machen.
Viele Wege führen zum Ziel
Die …
Donnerstag, 14. Januar 2010
About Security #238: Schwachstellen-Suche: Sichere Authentifizierung (7)
Eine Sicherheitsfrage vor der Funktion zum Zurücksetzen des Passworts
führt möglicherweise zur Preisgabe gültiger Benutzernamen.
Die kann der Angreifer gut für weitere Angriffe auf die
Authentifizierung gebrauchen.
Frage da, Benutzername gültig
Können die Benutzer die Sicherheitsfrage selbst wählen, werden
gültige Benutzernamen allein schon am Vorhandensein der Frage erkannt:
Gibt es eine Sicherheitsfrage, existiert …
Donnerstag, 7. Januar 2010
About Security #237: Schwachstellen-Suche: Sichere Authentifizierung (6)
Wie er Zugriff auf die Webanwendung erlangt, ist einem Angreifer im
Allgemeinen egal. Kann er die Authentifizierung nicht bei der normalen
Anmeldung überwinden, sucht er nach anderen Möglichkeiten,
Zugangsdaten auszuspähen oder zu manipulieren. Auch jede Funktion,
die nur indirekt den Zugriff auf die Anwendung erlaubt, ist daher ein
mögliches Angriffsziel. So auch die Funktion zum Zurücksetzen
des …
Donnerstag, 31. Dezember 2009
About Security #236: Schwachstellen-Suche: Sichere Authentifizierung (5)
Gegen Brute-Force-Angriffe, bei denen eine Liste mit einer große
Anzahl ermittelter oder erratener Benutzernamen der Reihe nach mit einem
einzelnen Passwort durchprobiert wird, helfen die üblichen
Gegenmaßnahmen nicht. Wie in About Security
#235
erwähnt, sind die Erfolgsaussichten eines solchen Angriffs gar nicht
mal schlecht, vor allem dann nicht, wenn die Webanwendung sehr viele
Benutzer hat und …
Donnerstag, 24. Dezember 2009
About Security Weihnachts-Special: Lesetips zur Web-Sicherheit
Auch in diesem Jahr gibt es das schon traditionelle Weihnachts-Special von
About Security. Diesmal mit einer bunten Sammlung an Artikeln,
Präsentationen und Tools rund ums Thema "Web-Sicherheit".
Browser-Sicherheit
Zentraler Anlaufpunkt, wenn es um Fragen der Sicherheit des Webbrowsers
geht, ist das
Browser Security Handbook (BSH)
von Michal Zalewski, das als …
Donnerstag, 17. Dezember 2009
About Security #235: Schwachstellen-Suche: Sichere Authentifizierung (4)
Mit Brute-Force-Angriffen lassen sich schwache Passwörter brechen (und
mit etwas Pech auch stärkere). Da man schwache Passwörter nicht
mit Sicherheit verhindern kann, muss man Brute-Force-Angriffe verhindern
oder zumindest erschweren.
5. Brute-Force-Angriffe verhindern
Sämtliche zur Authentifizierung gehörenden Funktionen müssen
vor automatisierten Angriffen geschützt werden. Außer der
Login-Funktion selbst betrifft das z.B. auch die Funktionen …
Donnerstag, 10. Dezember 2009
About Security #234: Schwachstellen-Suche: Sichere Authentifizierung (3)
Die Entwicklung sicherer Authentifizierungssysteme bzw. die Behebung
gefundener Schwachstellen ist auch das Thema dieser Folge. Zur bereits in
About Security
#233
behandelten korrekten Prüfung der Zugangsdaten gehört auch die
richtige Reaktion auf Fehler bzw. mögliche Angriffe.
Die Anwendung sollte auf alle unerwarteten Eingaben oder Ereignisse
während der Authentifizierung sehr restriktiv reagieren. Wenn ein
Fehler …
Mittwoch, 9. Dezember 2009
Patchday - Microsoft stopft 12 Schwachstellen, Adobe mindestens 7
Am Dezember-Patchday hat Microsoft wie
angekündigt
3 als kritisch und 3 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 12 Schwachstellen behoben werden, darunter die Ende
November veröffentlichte
0-Day-Schwachstelle
im Internet Explorer. Von den restlichen 11 Schwachstellen war nur eine
weitere vor der Veröffentlichung der Security Bulletins
öffentlich
bekannt, alle anderen wurden …
Donnerstag, 3. Dezember 2009
About Security #233: Schwachstellen-Suche: Sichere Authentifizierung (2)
Die Entwicklung sicherer Authentifizierungssysteme bzw. die Behebung
gefundener Schwachstellen ist auch das Thema dieser Folge.
Zur Vervollständigung der in About Security
#232
aufgeführten Regeln zur sicheren Verwendung bzw. Verarbeitung der
Zugangsdaten fehlt noch ein Punkt: Wenn möglich, sollte ein Teil der
Zugangsinformationen über ein Drop-Down-Menü statt über ein
Textfeld abgefragt werden, um einen …
Entwickler am Abgrund: Hohe psychische Gefährdung in der IT-Branche
In der IT-Branche herrscht eine besonders hohe psychische Gesundheitsbelastung vor, die zu einer zunehmenden Anzahl von Burnout-Syndromen, Depressionen, Panikattacken bis hin zu Suiziden geführt hat. Zu diesem Ergebnis kommt eine Studie des Forschungsprojekts DIWA-IT vom Münchner Institut für Sozialwissenschaftliche Forschung (ISF). Demnach seien hochqualifizierte Angestellte in IT-Unternehmen einem System permanenter Bewährung …
Donnerstag, 26. November 2009
About Security #232: Schwachstellen-Suche: Sichere Authentifizierung
Nachdem es nun einige Folgen lang um die Suche nach Schwachstellen in der
Authentifizierung ging, geht es ab dieser Folge um deren Behebung bzw. die
Entwicklung sicherer Authentifizierungssysteme.
Viele Wünsche auf einmal
Ein sicheres Authentifizierungssystem muss viele Wünsche bzw.
Anforderungen auf einmal erfüllen, denn es muss sowohl sicher als auch
einfach zu …
Montag, 23. November 2009
WebTech-Retrospektive: Der iPhone Dev Day
Das iPhone hat, so scheint es, den Markt revolutioniert. Seine Möglichkeiten das Internet immer und überall zu nutzen haben es ebenso zum
Kassenschlager werden lassen wie die Applikationen, die es zuhauf im App Store zu kaufen gibt. Um diese Entwicklung zu würdigen, gab es auf
der WebTech Conference den
iPhone Dev …
Donnerstag, 19. November 2009
"Konsistent UTF-8 immer und überall benutzen."
Der Umgang mit Zeichensätzen und Kodierungen wird für viele Entwickler immer mal wieder zum Problem, ein wird da schnell mal zum – nicht schön. Worauf PHP-Developer bei der Arbeit mit Charsets & Encodings nun genauer zu achten haben, das stellten Kore Nordmann und Manuel Pichler auf ihrer gleichnamigen Session auf der …
CTO, studiVZ: "Wir haben im Moment 2 Bugs."
Das Programm der jüngsten International PHP Conference war ausgesprochen abwechslungsreich, nicht zuletzt auch Dank Unterstützung vielfältigster Themen der WebTech Conference. Entsprechend bunt bot sich auch das Themensprektrum der diesjährigen Keynotes, auf denen sich neben Patrick Lauke (Evangelist im Developer Relations Team bei Opera Software) und Ralph Schindler (Software Engineer im Zend …
About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
Außer den in About Security
#230
beschriebenen Implementierungsfehlern in mehrstufigen
Authentifizierungssystemen gibt es weitere.
Falsche Frage
Um einmal z.B. über Phishing ausgespähte Zugangsdaten für
den Angreifer wertlos zu machen, erfordern manche mehrstufigen
Authentifizierungssysteme nach der Eingabe von Benutzername und Passwort
z.B. die Beantwortung einer von mehreren geheimen Fragen oder die Eingabe
bestimmter Zeichen …
Mittwoch, 18. November 2009
WebTech-Retrospektive: Der Web Standards Day
Jens Grochtdreis, Initiator der Webkrauts, lud am 2. Webtech-Tag zum "Web Standards Day". Als Vortragende waren bekannte Webkrauts eingeladen, die Eröffnung geschah durch Nils Pooker, der auf unterhaltende Weise zeigte wo die Diskrepanzen in der Kommunikation zwischen Webdesigner und Kunde sind und wie man sie am besten umschifft. Wichtig vor allem: …
Dienstag, 17. November 2009
Vorgeschmack auf den HTML5-Videosupport
Bisher werden Videos üblicherweise dadurch auf einer Website eingebunden, dass man einen knappen Codeblock von YouTube, Vimeo, oder einem Anbieter seiner Wahl per Copy&Paste in sein HTML-Gerüst einbettet. Anschließend kümmert sich ein Plugin um die korrekte Darstellung der Inhalte. Mit so einem Vorgehen handelt man sich jedoch auch verschiedene Schwierigkeiten mit …
