Grundlagen

Im ersten Teil dieses zweiteiligen Artikels über Sinn und Zweck von Passwortregeln ging es um das Aufschreiben von Passwörtern. Als nächstes geht es um das Wechseln der Passwörter:

Passwörter regelmäßig wechseln

Sicherheitsrichtlinien wie Passwortregeln werden oft ignoriert, weil sie überflüssig erscheinen oder lästig sind. Wie gefährlich ist das? Welche Regeln sollte man auf jeden Fall beachten und welche kann man ignorieren?

Die üblichen Passwort-Regeln

Sichere Passwörter braucht man immer wieder. Wie Sie die erzeugen und sich merken können, erfahren Sie hier. Zuvor geht es aber um die Frage, warum Sie Passwörter nicht für mehrere Dienste nutzen sollten.

Kein Recycling für Passwörter!

Oracles Antwort auf Javas ständige Sicherheitsprobleme: Der Einsatz von Code Signing. Vorerst gibt es nur mehr oder weniger ausführliche Warnungen vor nicht oder falsch signierten Applets, irgendwann sollen dann nur noch signierte Applets ausgeführt werden. Die damit erreichte Sicherheit ist aber trügerisch. Wieso, erfahren Sie hier.

Code Signing im Überblick

Github hat alle Github Pages auf eigene github.io-Domains verlagert. Auslöser dafür war unter anderem die Gefahr von "Cookie Tossing", einem Angriff, der nicht nur Github gefährlich werden kann. Was es damit auf sich hat, erfahren Sie hier.

Als Beispiel-Webanwendung dient ein Portal, dass passenderweise auf portal.example läuft und das es seinen Benutzern unter anderem erlaubt, unter [benutzername].portal.example eigene Websites zu speichern. Die Angriffe wären aber genauso über XSS-Schwachstellen auf portal.example möglich.

Schritt 1: Wir setzen einen Session-Cookie

Haben Sie in der dritten Märzwoche etwas vom größten DDoS-Angriff aller Zeiten bemerkt? Die beinahe das Internet zerstörte? Nicht? Nun, dann liegt das wohl vor allem daran, dass die Berichte über das Ende des Internets, gelinde gesagt, etwas übertrieben sind. Es war der bisher größte Angriff auf das Opfer des Angriffs, Spamhaus. Mehr aber auch nicht. Es gab nur lokale Auswirkungen, und zwar in Großbritannien, den Niederlanden und Deutschland. Und selbst da haben die meisten Internetnutzer nichts davon bemerkt, sofern sie nicht gerade einen der angegriffenen Server besuchten.

Das Domain Name System

Wie sieht es aktuell eigentlich mit der Sicherheit von SSL/TLS aus? Seit dem letzten Artikel zum Thema ist einige Zeit vergangen, und es gibt ein paar neue Entwicklungen.

RC4-Algorithmus wird zum Problem

Die Themen dieses Standpunkts: Eine Java-Schwachstelle, die laut Oracle keine ist, und eine NetBSD-Schwachstelle, die zu unsicheren Krypto-Schlüsseln führt.

Details zur Java-Schwachstelle, die Oracle für keine hält

Das große Problem beim Vermeiden von Logikfehlern ist das gleiche wie bei der Suche danach: Es gibt so viele Möglichkeiten, einen Logikfehler in die Webanwendung ein zu bauen, dass es keine allgemeingültige Regel zu ihrer Vermeidung gibt. Oder vielleicht doch: Arbeiten Sie immer äußerst konzentriert und vorsichtig. Was das Problem mitunter aber auch nicht löst.

Einige Grundregeln

Logikfehler haben zwei unangenehme Eigenschaften: Zum einen haben sie oft sehr weit reichende Folge, wie die Beispiele in den vorherigen Folgen gezeigt haben. Und zum anderen lassen sie sich oft nur schwer finden. Einige Hinweise, wie Sie Logikfehler finden, gibt dieser Text.

Die Suche nach Logikfehlern

Wie angekündigt geht es heute um die aktuellen 0-Day-Exploits, die Angriffe auf Unternehmen wie Facebook, Apple und Microsoft und was sonst noch so alles damit zusammen hängt.

Das folgende basiert lose auf der "Timeline: Hacks Related to Apple" von Sean Sullivan von F-Secure, die ich teilweise korrigiert und um etliche zusätzliche Informationen erweitert habe.

10. Januar: Java-Exploit "in the wild" und vielen Exploit-Kits

Auch in dieser Folge geht es noch um Beispiele für Angriffe über Logikfehler in Webanwendungen, wie sie im Jahr 2012 zum Beispiel von Sumit Siddharth und Richard Dean, David Byrne und Charles Henderson (Paper als PDF) oder Marcus Pinto auf Sicherheitskonferenzen vorgestellt wurden.

Ein weiterer Fehler in der Authentifizierung

Auch in dieser Folge geht es weiter um Angriffe über Logikfehler in Webanwendungen. Im Jahr 2012 wurden die zum Beispiel von Sumit Siddharth und Richard Dean, David Byrne und Charles Henderson (Paper als PDF) oder Marcus Pinto auf Sicherheitskonferenzen vorgestellt wurden.

Logikfehler in der Authentifizierung

Auch in dieser Folge geht es um Angriffe über Logikfehler in Webanwendungen, wie sie zum Beispiel von Sumit Siddharth und Richard Dean, David Byrne und Charles Henderson (Paper als PDF) oder Marcus Pinto 2012 auf Sicherheitskonferenzen vorgestellt wurden.

Beispiel 2: Eine einfache Messaging-Anwendung

Millionen Geräte im Internet sind über UPnP angreifbar. Was ist da los?

Universal Plug and Play im Überblick