Inhalte überspringen »
Alle Topthemen
Donnerstag, 19. November 2009
About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
Außer den in About Security
#230
beschriebenen Implementierungsfehlern in mehrstufigen
Authentifizierungssystemen gibt es weitere.
Falsche Frage
Um einmal z.B. über Phishing ausgespähte Zugangsdaten für
den Angreifer wertlos zu machen, erfordern manche mehrstufigen
Authentifizierungssysteme nach der Eingabe von Benutzername und Passwort
z.B. die Beantwortung einer von mehreren geheimen Fragen oder die Eingabe
bestimmter Zeichen …
Donnerstag, 12. November 2009
About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
Auch ein gut entworfenes, theoretisch absolut sicheres
Authentifizierungssystem kann durch Implementierungsfehler unsicher werden.
Das können z.B. Informationslecks sein, eine Möglichkeit zum
direkten Umgehen des Authentifizierungssystems oder eine allgemeine
Schwächung des Systems.
Implementierungsfehler sind schwieriger zu finden als Designfehler wie ein
fehlender Schutz vor Brute-Force-Angriffen oder unsichere Regeln für
Passwörter. Daher ist eine allgemeine Beschreibung schwierig, …
Mittwoch, 11. November 2009
Patchday - Microsoft stopft 15 Schwachstellen, davon 8 in Excel
Am November-Patchday hat Microsoft wie
angekündigt
3 als kritisch und 3 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 15 Schwachstellen behoben werden, davon allein 8 in
Excel. Alle Schwachstellen wurden Microsoft vertraulich gemeldet,
lediglich eine davon wurde danach noch anderweitig veröffentlicht.
Die kritischen Bulletins
MS09-063 - …
Donnerstag, 5. November 2009
About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
Wie werden Zugangsdaten sicher übertragen? Für die Richtung vom
Benutzer zur Webanwendung nimmt man dafür SSL/TLS - aber was ist mit
der Übertragung der von der Webanwendung während der
Registrierung erzeugten Daten? Die müssen an den Benutzer
übermittelt werden, und das, ohne dass Unbefugte sie dabei zu sehen
bekommen.
In einem Intranet ist die sichere …
Donnerstag, 29. Oktober 2009
About Security #228: Schwachstellen-Suche: Authentifizierung - Vorhersagbares
Manche Webanwendungen erzeugen bei der Registrierung vorhersagbare
Benutzernamen und/oder Passwörter. Während die Gefahr eines
vorhersagbaren Passworts offensichtlich ist, ist ein vorhersagbarer
Benutzername zumindest auf den ersten Blick nicht gefährlich. Aber das
ist zumindest zum Teil ein Irrtum.
Vorhersagbare Benutzernamen
Manche Webanwendungen, bei denen die Benutzer ihren Benutzernamen nicht
selbst auswählen können, erzeugen …
Mittwoch, 28. Oktober 2009
SOA-Manifesto veröffentlicht
Am Freitag, den 23.10.2009 wurde in Rotterdam von einem internationalen Gremium aus 17 renommierten Experten der SOA-Community das SOA-Manifesto verabschiedet.
Das SOA-Manifesto ist nun unter www.soa-manifesto.org verfügbar und richtet sich an alle, die am Thema SOA interessiert sind. Absicht des Manifests und seiner Autoren ist es, auf Basis der Erfahrungen aus …
Donnerstag, 22. Oktober 2009
About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
Wie jedem klar sein dürfte und es auch schon in About Security
#226
beschrieben wurde, können mehrfach vergebene Benutzernamen zu
unerwarteten Reaktionen der Webanwendung führen. Darum müssen
Webanwendungen (sowie alle anderen Programme und Systeme, die Benutzernamen
verwenden) bei der Registrierung gewählte Benutzernamen daraufhin
prüfen, ob sie schon vorhanden sind oder nicht. Außer dem Fall
der absichtlich …
Donnerstag, 15. Oktober 2009
About Security #226: Schwachstellen-Suche: Authentifizierung - "Halbe Passwörter"
Schwachstellen im Bereich der Authentifizierung müssen nicht
automatisch sofort dazu führen, dass ein Angreifer sich ohne
Zugangsdaten zu kennen, anmelden kann. Viele Schwachstellen erleichtern
"nur" andere Angriffe, sollten aber trotzdem nicht auf die leichte Schulter
genommen werden. Wie z.B. die unvollständige Prüfung der
Zugangsdaten.
Gute Passwörter
Gute Passwörter sind mindestens 8 Zeichen lang, …
Mittwoch, 14. Oktober 2009
Patchday - Microsoft stopft 33 Schwachstellen, Adobe 29
Am Oktober-Patchday hat Microsoft wie
angekündigt
8 als kritisch und 5 als wichtig eingestufte Security Bulletins
veröffentlicht,
mit denen insgesamt 33 Schwachstellen behoben werden. Ursprünglich waren
34 Schwachstellen angekündigt worden, eine wurde jedoch doppelt gezählt,
da sie in zwei Security Bulletins vorkommt. Trotzdem ist dieser Patchday
einsame Spitze: Mehr Security Bulletins …
Donnerstag, 8. Oktober 2009
About Security #225: Schwachstellen-Suche: Authentifizierung - "User Impersonation"
Manche Webanwendungen stellen privilegierten Benutzern eine "User
Impersonation"-Funktion zur Verfügung, mit der sie die Identität
eines anderen Benutzers annehmen können, um dann Aktionen in dessen
Benutzerkontext auszuführen. Das kann z.B beim Nachvollziehen der
Benutzeraktionen durch den Helpdesk oder bei der Untersuchung aufgetretener
Probleme durch den Administrator hilfreich sein, kann aber, wenn die
Funktion ungeschickt implementiert ist oder …
Mittwoch, 7. Oktober 2009
Windows Mobile 6.5: Chance verpasst?!
Kaum hat Microsoft die neueste Version seines Handy-Betriebsystems veröffentlicht, hagelt es von allen Seiten Kritik. Windows Mobile 6.5, eine Interimsversion auf dem Weg zu Windows Mobile 7, sei nur oberflächlich verbessert worden und hinke der Konkurrenz weit hinterher, heißt es. Selbst Microsoft-Chef Steve Ballmer soll gesagt haben, er wäre mit Windows …
Dienstag, 6. Oktober 2009
Wir brauchen keine Entwickler mehr
Jährlich werden in den IT-Abteilungen weltweit über eine Trillion US-Dollar für schlechte, fehlerhafte und unvollständige Software aus dem Fenster geworfen. So lautet das Fazit von Michael Tiemann in seinem Blog "From Free to Recovery" auf den Seiten der Open Source Initiative. Die Zahlen sollen sich dabei auf eine Untersuchung der Standish …
Mittwoch, 30. September 2009
About Security #224: Schwachstellen-Suche: Authentifizierung - "Remember me"
Manchmal muss ein Angreifer gar nicht die Login-Funktion angreifen, um sich
Zugriff zu einer Webanwendung zu verschaffen. Stattdessen nutzt er die
"Remember me"-Option vieler Webanwendungen.
"Remember me"
Viele Webanwendungen bieten dem Benutzer die Möglichkeit, ohne Eingabe
von Benutzername und Passwort Zugriff auf die Webanwendung zu erlangen,
wenn er sie von einem bestimmten …
Donnerstag, 24. September 2009
About Security #223: Schwachstellen-Suche: Authentifizierung - Passwort-Reset (2)
In About Security
#222
wurden unsichere Möglichkeiten beschrieben, um dem Benutzer ein neues
Passwort zukommen zu lassen oder ihm ohne Passwort Zugriff auf die
Webanwendung zu gewähren.
Unsicherer geht immer
Diese Möglichkeiten, bei denen ein Benutzer nach dem Bestehen des
Challenge-Response-Verfahrens mehr oder weniger sofort Zugriff auf die
Webanwendung erhält, werden noch …
Dienstag, 22. September 2009
intelliBOOK: Alle Magazine digital verfügbar
Die Zirkulation von Zeitungen und Magazinen ist in den letzten Jahren dramatisch gesunken. Gleichzeitig lesen immer mehr Menschen Nachrichten online und mit ihnen wächst das Verlangen nach konvergenten Medienprodukten. Software & Support Media hat einen Weg gefunden, dem veränderten Leserverhalten gerecht zu werden. Auf der .NET-Konferenz BASTA! hat Verlagsleiter Masoud Kamali …
Donnerstag, 17. September 2009
About Security #222: Schwachstellen-Suche: Authentifizierung - Passwort-Reset
Eine Webanwendung bietet ihren Benutzern mindestens zwei Möglichkeiten,
ihr Passwort zu ändern (oder sollte sie zumindest bieten): Zum einen
die in About Security
#221
untersuchte Funktion zur Passwortänderung, zum anderen die Funktion,
mit der ein vergessenes Passwort zurück gesetzt, bzw. mit
der ein neues Passwort angefordert werden kann.
Vergessenes Passwort
Funktionen, mit …
Donnerstag, 10. September 2009
About Security #221: Schwachstellen-Suche: Authentifizierung – Passwort ändern
Die in About Security
#218,
#219
und
#220
beschriebenen Schwachstellen erfordern entweder eine weitere Schwachstelle,
über die der Angreifer in ein lokales Netz oder einen Server
eindringen kann, oder können nur von einem Angreifer ausgenutzt
werden, der sich zwischen Webanwendung und Benutzer befindet. Für den
Angreifer einfacher auszunutzen sind Schwachstellen, über die er die
Zugangsdaten anderer Benutzer …
Mittwoch, 9. September 2009
Microsofts Patchday: 8 Schwachstellen behoben, eine neu entdeckt
Am September-Patchday hat Microsoft wie angekündigt fünf jeweils als
kritisch eingestufte Security-Bulletins veröffentlicht, mit denen insgesamt 8
Schwachstellen behoben werden. Nur eine davon war zuvor bekannt.
Außerdem wurde das im August veröffentlichte Bulletin MS09-037 aktualisiert und eine neue Schwachstelle im
SMB2.0-Kerneltreiber veröffentlicht, die evtl. die Ausführung
beliebigen Codes erlaubt.
MS09-045 - Eine Schwachstelle in …
Montag, 7. September 2009
KW 37/09 - Standpunkt Sicherheit
Der Umgang mit E-Mails durch die CDU in Geldern liefert reichlich Stoff
für diesen Standpunkt Sicherheit.
Politiker auf der einen Seite, das Internet auf der anderen. Das kann man
drehen und wenden wie man will, fast immer kommt was merkwürdiges
dabei heraus. Was erwartet man, wenn irgendwo eine E-Mail-Adresse
angegeben wird? Also ich …
Donnerstag, 3. September 2009
About Security #220: Schwachstellen-Suche: Authentifizierung - Unsichere Kryptographie
Der unsichere Einsatz eigentlich sicherer Kryptographie-Algorithmen ist das Thema
dieser Folge.
Verschlüsseln, nicht kodieren!
Kodierung und Verschlüsselung werden manchmal als gleichwertig
angesehen - mit fatalen Folgen für die Sicherheit. Wird statt eines
erwiesenermaßen sicheren Kryptographie-Algorithmus nur ein gar nicht
für den Schutz der Daten vorgesehener Kodierungs-Algorithmus wie z.B.
die in About Security
#219 …