Das kommt jetzt etwas spät, weil die Shims unter Windows 10 nicht mehr
unterstützt werden, aber ich brauche das Material als Linkziel. Und
ich finde das Thema auch generell interessant.
Shims erlauben es, die API-Aufrufe eines Programms zu manipulieren.
Microsoft hat das zum Beispiel genutzt, um als sog.
"FixIt-Patches" bzw. "FixIt-Tools" Workarounds für
bereits ausgenutzte Schwachstellen bereit zu stellen. Ein Angreifer kann
die Shims aber auch nutzen, um seinem Schadcode neue Fähigkeiten zu
verschaffen.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
hat die letzten beiden Phasen erreicht. Los ging es in der
ersten Phase
mit der Schaffung der nötigen Grundlagen für die sichere Entwicklung. In
der
zweiten Phase
wurden die nötigen Anforderungen an die Webanwendung festgelegt.
In der dritten Phase (Design/Entwurf) musst ein Bedrohungsmodell für die
Anwendung entwickelt werden.
Theoretisch
sah das ziemlich schwierig aus,
praktisch
was es aber durchaus zu schaffen. Danach galt es, die dadurch
identifizierten
Bedrohungen zu minimieren.
Die Bedrohungsmodellierung ist ziemlich aufwendig, lässt sich aber
zumindest für Webanwendungen
vereinfachen.
In der
vierten Phase
kommt dann endlich die Implementierung sowie die Vorbereitung der sicheren
Default-Installation und -Konfiguration an die Reihe. In
Phase 5
muss das alles dann noch mal kontrolliert werden, und dann ist die
Anwendung endlich bereit für
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht weiter. In der
ersten Phase
haben Sie sich über die nötigen Grundlagen wie mögliche
Schwachstellen und Angriffe informiert, und in der zweiten die nötigen
Anforderungen an die Webanwendung
festgelegt.
Die Bedrohungsmodellierung ist ziemlich aufwendig und
unübersichtlich, lässt sich aber zumindest für Webanwendungen
vereinfachen.
Und dafür gibt es sogar noch
eine weitere Möglichkeit.
Nachdem ich die kurz beschrieben hatte ging es um Phase 4: Die Implementierung.
Und zu der gehört auch die
Die Bedrohungsmodellierung ist ziemlich aufwendig und
unübersichtlich, lässt sich aber zumindest für
Webanwendungen
vereinfachen.
Und dafür gibt es sogar noch eine weitere Möglichkeit.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht weiter. In der
ersten Phase
haben Sie sich über die nötigen Grundlagen wie mögliche
Schwachstellen und Angriffe informiert, und in der zweiten die nötigen
Anforderungen an die Webanwendung
festgelegt. Dann kam Phase 3, Design. Dazu haben ich Ihnen erklärt, wie Sie theoretisch
ein Bedrohungsmodell erstellen
können und gezeigt, wie das
Bedrohungsmodell für das Beispiel
entwickelt wird. Danach galt es, die dadurch identifizierten
Bedrohungen zu minimieren.
Das ist alles ziemlich aufwendig und unübersichtlich. In dieser Folge
zeige ich Ihnen für Webanwendungen eine
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht in die fünfte Runde. In der
ersten Phase
haben Sie sich über die nötigen Grundlagen wie mögliche
Schwachstellen und Angriffe informiert, und in der zweiten die nötigen
Anforderungen an die Webanwendung
festgelegt. Dann haben ich Ihnen erklärt, wie Sie in der dritten Phase, Design, theoretisch
ein Bedrohungsmodell erstellen
können und gezeigt, wie das
Bedrohungsmodell für das Beispiel
entwickelt wird. Sie wissen ja: Gefahr erkannt, Gefahr gebannt. Jedenfalls
fast. Denn als nächstes gilt es, die Bedrohungen zu minimieren.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht in die vierte Runde. In der
ersten Phase
müssen Sie sich über die nötigen Grundlagen wie mögliche
Schwachstellen und Angriffe informieren, und in der zweiten die nötigen
Anforderungen an die Webanwendung
festlegen. Darauf aufbauend können Sie in der dritten Phase
ein Bedrohungsmodell erstellen.
Und damit machen wir jetzt weiter.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht in die dritte Runde. Nachdem Sie sich
in der ersten Phase
über die nötigen Grundlagen wie mögliche Schwachstellen und
Angriffe informiert und
in der zweiten Phase
die nötigen Anforderungen an die Webanwendung festgelegt haben kommen
sie nun zur Phase 3, Design. Und in der können Sie nun ein Bedrohungsmodell
für die Anwendung erstellen.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht in die zweite Runde. Nachdem Sie sich
in der ersten Phase
über die nötigen Grundlagen wie mögliche Schwachstellen und
Angriffe informiert haben, können Sie nun die nötigen
Anforderungen an die Webanwendung festlegen.
Die Entwickler von Bluetooth haben von Anfang an die Sicherheit ihres
Protokolls im Blick gehabt. Sowohl die Authentisierung der
Kommunikationsteilnehmer als auch die Verschlüsselung der
Kommunikation waren bereits zu Beginn vorgesehen.
Nachdem die Nutzung von Bluetooth einen solchen Umfang angenommen hatte,
dass sich sowohl Untersuchungen als auch Angriffe lohnten, wurden einige
Schwachstellen in den Bluetooth-Protokollen und teilweise auch in den
entsprechenden Implementierungen gefunden. Natürlich wurden diese
recht schnell auch ausgenutzt. Die Schwachstellen wurden in den
Implementierungen im Allgemeinen zeitnah behoben, für die Protokolle
brachte das 2007 veröffentliche Bluetooth 2.1 entsprechende Fixes.
Danach war dann erst einmal Ruhe. Im Herbst 2017 tauchte dann
plötzlich eine Bluetooth-Schwachstelle auf, die sogar einen Namen
hatte: BlueBorne.
Was es damit auf sich hat und wie es sonst mit der Sicherheit von
Bluetooth aussieht erfahren Sie in meinem Artikel
auf entwickler.de!