Skip to content

Drucksache: PHP Magazin 1.19 - OWASP Top 10, Platz 9 und 10 - "Components with Known Vulnerabilities" und "Insufficient Logging"

Im PHP Magazin 1.2019 ist der fünfte und letzte Artikel einer kleinen Serie zu den OWASP Top 10, den 10 gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und darin geht es um Platz 9 und 10 der Top 10: "Using Components with Known Vulnerabilities" und "Insufficient Logging".

Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel im PHP Magazin lernen Sie den neunten und zehnten Platz kennen.

"Drucksache: PHP Magazin 1.19 - OWASP Top 10, Platz 9 und 10 - "Components with Known Vulnerabilities" und "Insufficient Logging"" vollständig lesen

Grundlagen der E-Mail-Verschlüsselung

Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann sie lesen. Deshalb sollte man eigentlich nur verschlüsselte E-Mails verschicken, die das unbefugte Lesen verhindern. Zusätzlich (aber auch unabhängig davon) kann man seine Mails mit einer digitalen Signatur vor unerkannten Manipulationen schützen und seine Identität als Absender beweisen.

Wie die E-Mail-Verschlüsselung allgemein funktioniert erfahren Sie in meinem Artikel auf entwickler.de!

Carsten Eilers

Drucksache: Entwickler Magazin 6.18: EFAIL - Angriff auf verschlüsselte Mails

Im Entwickler Magazin 6.18 ist ein Artikel über die EFAIL-Angriffe auf die E-Mail-Verschlüsselung erschienen: Wie funktioniert EFAIL und wie schlimm ist das alles wirklich?

Der war auch der Auslöser für die drei Artikel zu den Mailformaten in den vergangenen drei Wochen.

Update 15.10.18:
Wie die E-Mail-Verschlüsselung allgemein funktioniert erfahren Sie im ersten Teil dieses zweiteiligen Artikels, und den gibt es jetzt online auf entwickler.de!
Ende des Updates

Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann sie lesen. Weshalb man eigentlich nur verschlüsselte Mails verschicken sollte, die dieses unbefugte Lesen verhindern. Über die EFAIL-Angriffe kann die Verschlüsselung ausgehebelt werden. Ist das wirklich die große Katastrophe, als die es dargestellt wird?

"Drucksache: Entwickler Magazin 6.18: EFAIL - Angriff auf verschlüsselte Mails" vollständig lesen

Drucksache: Windows Developer 11.18 - Alles zu TLS 1.3

Im Windows Developer 11.18 ist ein Artikel über die neue TLS-Version 1.3 erschienen.

Am 10. August wurde RFC 8446 mit der Beschreibung von TLS 1.3 offiziell veröffentlicht. Damit ist TLS 1.3 der offizielle Standard für die Transportverschlüsselung, und die neue Version bringt im Vergleich zum Vorgänger einige Neuerungen. Sie ist sowohl sicherer als auch performanter.

"Drucksache: Windows Developer 11.18 - Alles zu TLS 1.3" vollständig lesen

Drucksache: PHP Magazin 6.18 - OWASP Top 10, Platz 7 und 8 - "Cross-Site Scripting" und "Insecure Deserialization"

Im PHP Magazin 6.2018 ist der vierte Artikel einer kleinen Serie zu den OWASP Top 10, den 10 gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und darin geht es um Platz 7 und 8 der Top 10: "Cross-Site Scripting" und "Insecure Deserialization".

Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel lernen Sie den siebten und achten Platz kennen.

Auf Platz 7 der OWASP Top 10 2017 [1] steht das "Cross-Site Scripting (XSS)", das in den 2013er Top 10 [2] noch auf Platz 3 stand. Auf Platz 8 steht mit der "Insecure Deserialization" ein Neuzugang im Vergleich zur 2013er-Version.

"Drucksache: PHP Magazin 6.18 - OWASP Top 10, Platz 7 und 8 - "Cross-Site Scripting" und "Insecure Deserialization"" vollständig lesen

Drucksache: Windows Developer 10.18 - Alles nur (ge)Cloud?

Im Windows Developer 10.18 ist ein Artikel über die Sicherheit in der Cloud erschienen.

Eine Leseprobe gibt es auf entwickler.de.

Es ist schon wieder einige Zeit her, dass ich mich in einem Artikel mit der Sicherheit der Cloud beschäftigt habe [1]. Da wird es mal Zeit für ein Update. Auch, weil es einen aktuellen Anlass gibt: Spectre, Meltdown & Co., die auch die Cloud betreffen.

"Drucksache: Windows Developer 10.18 - Alles nur (ge)Cloud?" vollständig lesen

Drucksache: Entwickler Magazin 5.18: Grundlagen der E-Mail-Verschlüsselung

Im Entwickler Magazin 5.18 ist ein Artikel über die Grundlagen der E-Mail-Verschlüsselung erschienen.

Update 15.10.18:
Den Artikel gibt es jetzt auch online auf entwickler.de!
Ende des Updates

Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann sie lesen. Weshalb man eigentlich nur verschlüsselte Mails verschicken sollte, die dieses unbefugte Lesen verhindern. Zusätzlich (aber auch unabhängig davon) kann man seine Mails mit einer digitalen Signatur vor unerkannten Manipulationen schützen und seine Identität als Absender beweisen.

"Drucksache: Entwickler Magazin 5.18: Grundlagen der E-Mail-Verschlüsselung" vollständig lesen

Drucksache: Windows Developer 9.18 - OAuth und OpenID Connect im Überblick

Im Windows Developer 9.18 ist ein Übersichtsartikel über OAuth und OpenID Connect erschienen: Was ist das, und was kann das?

Schon seit einiger Zeit gibt es zwei Möglichkeiten zur Authentifizierung und Autorisierung von Benutzern: Entweder die Anwendung macht es selbst, oder sie überlässt es einem unabhängigen Dritten. Und dann kommen OAuth und OpenID Connect ins Spiel.

"Drucksache: Windows Developer 9.18 - OAuth und OpenID Connect im Überblick" vollständig lesen

Angriffsziel Firmware

Die Firmware – egal ob das klassische BIOS oder seine Nachfolger (U)EFI – stellt die Verbindung zwischen Hardware und Betriebssystem dar. Das bedeutet, dass derjenige, der die Firmware kontrolliert, auch das Betriebssystem kontrollieren kann. Eben das ist es, was sie für Angreifer interessant macht, denn bringen sie die Firmware unter ihre Kontrolle, sind alle danach geladenen Schutzmaßnahmen wirkungslos.

Wie sieht es also mit der Sicherheit der Firmware aus? Vermutlich ahnen Sie es schon: Nicht gut. Sonst würde es ja keinen Artikel darüber geben. Die Frage, die es zu stellen gilt, ist also: Wie schlimm genau ist es?

Die Antwort darauf finden Sie in meinem Artikel auf entwickler.de!

Carsten Eilers

Drucksache: PHP Magazin 5.18 - OWASP Top 10, Platz 4 - 6 - "XML External Entities (XXE)", "Broken Access Control" und "Security Misconfiguration"

Im PHP Magazin 5.2018 ist der dritte Artikel einer kleinen Serie zu den OWASP Top 10, den 10 gefährlichsten Bedrohungen für Webanwendungen, erschienen.

Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine Top 10 der größten Bedrohungen für Webanwendungen veröffentlicht. In diesem Artikel lernen Sie den vierten bis sechsten Platz kennen: "XML External Entities (XXE)", "Broken Access Control" und "Security Misconfiguration".

"Drucksache: PHP Magazin 5.18 - OWASP Top 10, Platz 4 - 6 - "XML External Entities (XXE)", "Broken Access Control" und "Security Misconfiguration"" vollständig lesen

Drucksache: Windows Developer 8.18 - Blockchain - Was ist das, was kann das, was soll das?

Im Windows Developer 8.18 ist ein Artikel über die Blockchain erschienen: Was ist das, was kann das, was soll das?

Die Blockchain - dabei fällt einem meist zuerst oder auch ausschließlich Bitcoin ein. Aber das ist nur eine von vielen möglichen Anwendungen. Denn eigentlich ist eine Blockchain nur eine dezentral gespeicherte, beliebig erweiterbare Liste von Datensätzen, die kryptographisch so gesichert sind, dass sie nach der Speicherung nicht verändert oder gelöscht werden können. Und die können aus allem möglichen bestehen, nicht nur Transaktionen einer Kryptowährung.

"Drucksache: Windows Developer 8.18 - Blockchain - Was ist das, was kann das, was soll das?" vollständig lesen

Kryptoverfahren: Welche sollte man verwenden bzw. meiden?

Die Auswahl an Kryptoverfahren ist, sofern man sich auf bekannte Algorithmen beschränkt, recht übersichtlich. Einige dieser Algorithmen sollte man allerdings mittlerweile nicht mehr verwenden, da sie inzwischen gebrochen wurden. Und dann gibt es da noch einige weitere Punkte zu beachten ...

Worauf Sie bei der Auswahl von Kryptoverfahren achten müssen erfahren Sie in meinem Artikel auf entwickler.de!

Carsten Eilers

Neues eBook: "Data Loss Prevention und Incident Response"

Bei entwickler.press ist ein neues eBook von Mathias Fuchs und mir erschienen: "Data Loss Prevention und Incident Response" (ISBN: 978-3-86802-841-6, Preis: 2,99 €, erhältlich in den üblichen eBook-Shops).

Zu diesen Shortcut habe ich zwei Artikel beigetragen, einen zur Data Loss Prevention (Kapitel 2) und einen zur Incident Response (Kapitel 3).

Kapitel 2: Daten mithilfe von Data Loss Prevention schützen

"Neues eBook: "Data Loss Prevention und Incident Response"" vollständig lesen