Skip to content

WebAssembly - Ist das sicher oder kann das weg?

Schon wieder eine neue Technologie für aktive Inhalte – muss das denn wirklich sein? Als hätten wir mit Flash und Java nicht schon genug Ärger gehabt.

Beides wurde wahrscheinlich öfter für Angriffe als für wirklich nützliche Anwendungen verwendet. Jedenfalls wenn man mal von Spielen und in der Websteinzeit dem Wiedergeben von Videos durch Flash absieht. HTML5 und die dazugehörenden JavaScript-APIs decken doch schon alle möglichen und unmöglichen Anwendungsfälle ab. Wieso also noch was Neues erfinden? Vor allem, wo doch jede neue Funktionalität immer auch die Angriffsfläche erhöht, die man doch eigentlich möglichst klein halten möchte.

Die Antwort ist ganz einfach: Wieso nicht? Vielleicht ist das Neue ja besser als alles Alte. Ob das so ist erfahren Sie in meinem Artikel auf entwickler.de.

Carsten Eilers

Single Sign-on und die Sicherheit

Single Sign-on (kurz SSO), das bedeutet, man muss sich nur einmal einloggen und schon ist man überall drin. Das ist praktisch. Aber auch gefährlich. Denn das SSO erspart Ihnen das Merken von Zugangsdaten für etliche Dienste – und einem Angreifer das Knacken dieser vielen Zugangsdaten. Der muss auch nur den SSO-Zugang knacken und kommt in Ihrem Namen überall rein.

Wie es mit der Sicherheit von Single Sign-on aussieht erfahren Sie in meinem Artikel auf entwickler.de.

Carsten Eilers

Drucksache: Windows Developer 7.19 - Soziales Problem mit technischer Lösung

Im Windows Developer 7.19 ist der zweite von zwei Artikeln über Social Engineering erschienen, in dem die Gegenmaßnahmen sowie aktuelle Forschungsergebnisse vorgestellt werden.

Worum geht es darin?

Bekanntlich gilt ja, dass sich soziale Probleme nicht zufriedenstellend mit technischen Ansätzen lösen lassen. Das trifft auch auf das Social Engineering zu. Aber es gibt dabei ja meist auch eine technische oder organisatorische Komponente, und auf der Ebene lässt sich was gegen die Angriffe machen.

"Drucksache: Windows Developer 7.19 - Soziales Problem mit technischer Lösung" vollständig lesen

CPU-Schwachstellen im Überblick

Die Anfang 2018 bekannt gewordenen CPU-Schwachstellen Spectre und Meltdown sind ein großes Problem. Und da immer mehr Spectre-Varianten auftauchen, sieht es fast so aus, als wäre das nur die Spitze des sprichwörtlichen Eisbergs. Aber auch wenn über sie momentan kaum gesprochen wird: Es gibt noch ein paar andere Schwachstellen in den CPUs.

Ich wage mal eine Prognose: Es werden noch viele weitere entdeckt werden. Die Sicherheitsforscher fangen gerade erst an, sich mit den CPUs zu beschäftigen. Sie werden also mit ziemlicher Sicherheit noch weitere Schwachstellen finden und wahrscheinlich auch neue, bisher unbekannte Angriffe entwickeln. Aber das ist Zukunftsmusik.

Auf entwickler.de werfe ich einen Blick auf die aktuelle Lage.

Carsten Eilers

Drucksache: PHP Magazin 4.19 - WASM - Ist das sicher oder kann das weg?

Im PHP Magazin 4.2019 ist ein Artikel über die Sicherheit von WebAssembly (WASM) erschienen.

Worum geht es darin?

Schon wieder eine neue Technologie für aktive Inhalte, muss das denn wirklich sein? Als hätten wir mit Flash und Java nicht schon genug Ärger gehabt. Beides wurde wahrscheinlich öfter für Angriffe als für wirklich nützliche Anwendungen verwendet.

"Drucksache: PHP Magazin 4.19 - WASM - Ist das sicher oder kann das weg?" vollständig lesen

Drucksache: Windows Developer 6.19 - Cyberkriminelle lieben Social Engineering

Im Windows Developer 6.19 ist der erste von zwei Artikeln über Social Engineering erschienen, in dem die typischen Angriffe vorgestellt werden.

Worum geht es darin?

Eigentlich gilt beim Social Engineering "Business as usual". Es sind immer noch die altbekannten Angriffe, nur werden die teilweise verfeinert. Und dadurch erfolgreicher, da schwerer erkennbar. Aber auch weniger geschickte Angriffe finden immer noch Opfer, die auf sie hereinfallen.

"Drucksache: Windows Developer 6.19 - Cyberkriminelle lieben Social Engineering" vollständig lesen

Kryptowährungen erklärt: Wie funktionieren Bitcoins?

Beim Stichwort "Kryptowährungen" fällt einem meist zuerst oder auch ausschließlich Bitcoin ein. Damit kann man sich meist nichts im Laden um die Ecke kaufen, aber z. B. Lösegeld für seine von Ransomware verschlüsselten Daten zahlen. Und spekulieren kann man damit, einige Zeit konnte man das mit viel Erfolg tun, in letzter Zeit allerdings eher erfolglos. Und dann verbraucht die Erzeugung der Bitcoins jede Menge Strom. Macht das die virtuellen Münzen etwa wertvoll? Zeit, mal einen Blick auf das Ganze zu werfen.

Das mache ich auf entwickler.de.

Carsten Eilers

Wie sicher ist SOAP? Und wie kann man es absichern?

SOAP war früher die Abkürzung für Simple Object Access Protocol; heutzutage wird diese aber nicht mehr verwendet, denn SOAP ist gar nicht so „Simple“ und auf keinen Fall nur auf Objektzugriffe beschränkt. Wenn etwas nicht einfach ist, wird es schnell zur Gefahrenquelle: Entweder weil die Implementierungen Schwachstellen aufweisen oder eine sichere Nutzung unnötig erschwert wird. Wie sieht es denn da bei SOAP aus?

Alles Relevante dazu erfahren Sie in meinem Artikel auf entwickler.de.

Carsten Eilers

Drucksache: Entwickler Magazin 3.19: DDoS-Angriffe und wer davon profitiert

Im Entwickler Magazin 3.19 ist ein Artikel über DDoS-Angriffe (Distributed Denial-of-Service) erschienen.

Worum geht es darin?

Eine Leseprobe des Artikels gibt es auf entwickler.de.

Update 27.5.2019:
Den Artikel gibt es jetzt auch vollständig auf entwickler.de zu lesen.
Ende des Update

Die DDoS-Angriffe werden immer stärker, weil die Botnets dahinter immer größer werden und neue Angriffe ihre Schlagkraft vervielfachen. Wie lange das wohl so weitergeht? Und was kann man dagegen tun?

"Drucksache: Entwickler Magazin 3.19: DDoS-Angriffe und wer davon profitiert" vollständig lesen