Inhalte überspringen »
About Security Weihnachts-Special: Lesetips zur Web-Sicherheit
Auch in diesem Jahr gibt es das schon traditionelle Weihnachts-Special von
About Security. Diesmal mit einer bunten Sammlung an Artikeln,
Präsentationen und Tools …
About Security #235: Schwachstellen-Suche: Sichere Authentifizierung (4)
Mit Brute-Force-Angriffen lassen sich schwache Passwörter brechen (und
mit etwas Pech auch stärkere). Da man schwache Passwörter nicht
mit Sicherheit verhindern kann, muss …
About Security #234: Schwachstellen-Suche: Sichere Authentifizierung (3)
Die Entwicklung sicherer Authentifizierungssysteme bzw. die Behebung
gefundener Schwachstellen ist auch das Thema dieser Folge. Zur bereits in
About Security
#233
behandelten korrekten …
About Security #233: Schwachstellen-Suche: Sichere Authentifizierung (2)
Die Entwicklung sicherer Authentifizierungssysteme bzw. die Behebung
gefundener Schwachstellen ist auch das Thema dieser Folge.
Zur Vervollständigung der in About …
About Security #232: Schwachstellen-Suche: Sichere Authentifizierung
Nachdem es nun einige Folgen lang um die Suche nach Schwachstellen in der
Authentifizierung ging, geht es ab dieser Folge um deren …
About Security #231: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler (2)
Außer den in About Security
#230
beschriebenen Implementierungsfehlern in mehrstufigen
Authentifizierungssystemen gibt es weitere.
Falsche Frage
Um einmal z.B. …
About Security #230: Schwachstellen-Suche: Authentifizierung - Implementierungsfehler
Auch ein gut entworfenes, theoretisch absolut sicheres
Authentifizierungssystem kann durch Implementierungsfehler unsicher werden.
Das können z.B. Informationslecks sein, eine Möglichkeit zum
direkten Umgehen des …
About Security #229: Schwachstellen-Suche: Authentifizierung - Daten übertragen
Wie werden Zugangsdaten sicher übertragen? Für die Richtung vom
Benutzer zur Webanwendung nimmt man dafür SSL/TLS - aber was ist mit
der Übertragung …
About Security #228: Schwachstellen-Suche: Authentifizierung - Vorhersagbares
Manche Webanwendungen erzeugen bei der Registrierung vorhersagbare
Benutzernamen und/oder Passwörter. Während die Gefahr eines
vorhersagbaren Passworts offensichtlich ist, ist ein vorhersagbarer
Benutzername zumindest auf …
About Security #227: Schwachstellen-Suche: Authentifizierung - "Doppelte Benutzer"
Wie jedem klar sein dürfte und es auch schon in About Security
#226
beschrieben wurde, können mehrfach vergebene Benutzernamen zu
unerwarteten Reaktionen …
About Security #226: Schwachstellen-Suche: Authentifizierung - "Halbe Passwörter"
Schwachstellen im Bereich der Authentifizierung müssen nicht
automatisch sofort dazu führen, dass ein Angreifer sich ohne
Zugangsdaten zu kennen, anmelden kann. Viele Schwachstellen …
About Security #225: Schwachstellen-Suche: Authentifizierung - "User Impersonation"
Manche Webanwendungen stellen privilegierten Benutzern eine "User
Impersonation"-Funktion zur Verfügung, mit der sie die Identität
eines anderen Benutzers annehmen können, um dann Aktionen …
About Security #224: Schwachstellen-Suche: Authentifizierung - "Remember me"
Manchmal muss ein Angreifer gar nicht die Login-Funktion angreifen, um sich
Zugriff zu einer Webanwendung zu verschaffen. Stattdessen nutzt er die
"Remember me"-Option …
About Security #223: Schwachstellen-Suche: Authentifizierung - Passwort-Reset (2)
In About Security
#222
wurden unsichere Möglichkeiten beschrieben, um dem Benutzer ein neues
Passwort zukommen zu lassen oder ihm ohne Passwort Zugriff …
About Security #222: Schwachstellen-Suche: Authentifizierung - Passwort-Reset
Eine Webanwendung bietet ihren Benutzern mindestens zwei Möglichkeiten,
ihr Passwort zu ändern (oder sollte sie zumindest bieten): Zum einen
die in About Security …
About Security #221: Schwachstellen-Suche: Authentifizierung – Passwort ändern
Die in About Security
#218,
#219
und
#220
beschriebenen Schwachstellen erfordern entweder eine weitere Schwachstelle,
über die der Angreifer in ein lokales Netz …
About Security #220: Schwachstellen-Suche: Authentifizierung - Unsichere Kryptographie
Der unsichere Einsatz eigentlich sicherer Kryptographie-Algorithmen ist das Thema
dieser Folge.
Verschlüsseln, nicht kodieren!
Kodierung und Verschlüsselung werden …
About Security #219: Schwachstellen-Suche: Authentifizierung - Verschlüsselung
In About Security
#218
wurden beschrieben, wie die bei der Authentifizierung übertragenen
Daten ermittelt werden. Werden dabei keine Zugangsdaten als Klartext
beobachtet, müssen …
About Security #218: Schwachstellen-Suche: Authentifizierung - Die Übertragung
In About Security
#217
wurden die Stellen aufgeführt, an denen ungeschützt
übertragene Zugangsdaten von einem Dritten beobachtet werden
können. Selbst wenn man davon …
About Security #217: Schwachstellen-Suche: Authentifizierung - Ein Angriff
In About Security
#216
wurde u.a. beschrieben, wie ein Angreifer an eine Liste gültiger
Benutzernamen gelangt. Auf diese Namen kann dann ein …