Skip to content

Shims unter Windows (3) - Für Entwickler nötig oder nicht? Und wirklich sicher?

Was Shims sind haben sie im ersten Teil erfahren, und im zweiten habe ich die Shim-Infrastruktur und ihre Sicherheit vorgestellt. In dieser Folge geht es zunächst um die Frage, ob die Shims für Entwickler überhaupt nötigt sind oder nicht. Vielleicht brauchen die sie ja gar nicht, dann hätte Microsoft sie gar nicht für die Allgemeinheit zur Verfügung stellen müssen.

Und dann gibt es die erste von ein paar schlechte Nachrichten, denn die Sicherheitsforscher haben sich die Shims natürlich auch angesehen, und wie nicht anders zu erwarten gab es auch darin ein paar Probleme zu entdecken

Shims sind für die Entwickler oft überflüssig...

"Shims unter Windows (3) - Für Entwickler nötig oder nicht? Und wirklich sicher?" vollständig lesen

Ein bisschen Geschichte: Shims unter Windows (1)

Das kommt jetzt etwas spät, weil die Shims unter Windows 10 nicht mehr unterstützt werden, aber ich brauche das Material als Linkziel. Und ich finde das Thema auch generell interessant.

Shims erlauben es, die API-Aufrufe eines Programms zu manipulieren. Microsoft hat das zum Beispiel genutzt, um als sog. "FixIt-Patches" bzw. "FixIt-Tools" Workarounds für bereits ausgenutzte Schwachstellen bereit zu stellen. Ein Angreifer kann die Shims aber auch nutzen, um seinem Schadcode neue Fähigkeiten zu verschaffen.

Shims allgemein und unter Windows

"Ein bisschen Geschichte: Shims unter Windows (1)" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 9

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs hat die letzten beiden Phasen erreicht. Los ging es in der ersten Phase mit der Schaffung der nötigen Grundlagen für die sichere Entwicklung. In der zweiten Phase wurden die nötigen Anforderungen an die Webanwendung festgelegt.

In der dritten Phase (Design/Entwurf) musst ein Bedrohungsmodell für die Anwendung entwickelt werden. Theoretisch sah das ziemlich schwierig aus, praktisch was es aber durchaus zu schaffen. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren. Die Bedrohungsmodellierung ist ziemlich aufwendig, lässt sich aber zumindest für Webanwendungen vereinfachen.

In der vierten Phase kommt dann endlich die Implementierung sowie die Vorbereitung der sicheren Default-Installation und -Konfiguration an die Reihe. In Phase 5 muss das alles dann noch mal kontrolliert werden, und dann ist die Anwendung endlich bereit für

Phase 6: Die Auslieferung

"Der SDL am Beispiel eines Gästebuchs, Teil 9" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 8

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt.

Dann haben ich Ihnen im Rahmen der dritten Phase (Design/Entwurf) erklärt, wie Sie theoretisch ein Bedrohungsmodell erstellen können und wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren.

Die Bedrohungsmodellierung ist ziemlich aufwendig und unübersichtlich, lässt sich aber zumindest für Webanwendungen vereinfachen. Und dafür gibt es sogar noch eine weitere Möglichkeit. Nachdem ich die kurz beschrieben hatte ging es um Phase 4: Die Implementierung. Und zu der gehört auch die

Sichere Default-Installation und -Konfiguration

"Der SDL am Beispiel eines Gästebuchs, Teil 8" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 7

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann kam die dritte Phase, in der ich Ihnen erklärt habe, wie Sie theoretisch ein Bedrohungsmodell erstellen können und wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren.

Die Bedrohungsmodellierung ist ziemlich aufwendig und unübersichtlich, lässt sich aber zumindest für Webanwendungen vereinfachen. Und dafür gibt es sogar noch eine weitere Möglichkeit.

Man kann es sich auch noch einfacher machen...

"Der SDL am Beispiel eines Gästebuchs, Teil 7" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 6

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann kam Phase 3, Design. Dazu haben ich Ihnen erklärt, wie Sie theoretisch ein Bedrohungsmodell erstellen können und gezeigt, wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren. Das ist alles ziemlich aufwendig und unübersichtlich. In dieser Folge zeige ich Ihnen für Webanwendungen eine

Vereinfachung der Bedrohungsmodellierung

"Der SDL am Beispiel eines Gästebuchs, Teil 6" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 5

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die fünfte Runde. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann haben ich Ihnen erklärt, wie Sie in der dritten Phase, Design, theoretisch ein Bedrohungsmodell erstellen können und gezeigt, wie das Bedrohungsmodell für das Beispiel entwickelt wird. Sie wissen ja: Gefahr erkannt, Gefahr gebannt. Jedenfalls fast. Denn als nächstes gilt es, die Bedrohungen zu minimieren.

Minimierung der Bedrohungen

"Der SDL am Beispiel eines Gästebuchs, Teil 5" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 4

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die vierte Runde. In der ersten Phase müssen Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informieren, und in der zweiten die nötigen Anforderungen an die Webanwendung festlegen. Darauf aufbauend können Sie in der dritten Phase ein Bedrohungsmodell erstellen. Und damit machen wir jetzt weiter.

Die möglichen Bedrohungen für das Gästebuch

"Der SDL am Beispiel eines Gästebuchs, Teil 4" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 3

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die dritte Runde. Nachdem Sie sich in der ersten Phase über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert und in der zweiten Phase die nötigen Anforderungen an die Webanwendung festgelegt haben kommen sie nun zur Phase 3, Design. Und in der können Sie nun ein Bedrohungsmodell für die Anwendung erstellen.

Phase 3: Design - Bedrohungsmodell erstellen

"Der SDL am Beispiel eines Gästebuchs, Teil 3" vollständig lesen