Im
Windows Developer 5.19
ist ein Artikel über die Sicherheit von WebAssembly (WASM) erschienen.
Update 18.6.2019:
Den Artikel gibt es jetzt auch online
auf entwickler.de
zu lesen.
Ende des Updates
Worum geht es darin?
Schon wieder eine neue Technologie für aktive Inhalte, muss das denn
wirklich sein? Als hätten wir mit Flash und Java nicht schon genug
Ärger gehabt. Beides wurde wahrscheinlich öfter für
Angriffe als für wirklich nützliche Anwendungen verwendet.
"Drucksache: Windows Developer 5.19 - WASM - Ist das sicher oder kann das weg?" vollständig lesen
Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen
– das schreibt die New York Times. Na, da lege ich doch gleich mal
einen drauf: Wenn der russische Präsident telefoniert, lauschen
bestimmt die Amerikaner und Chinesen. Und beim chinesischen
Präsidenten spitzen vermutlich Russen und Amerikaner die Ohren. Oder
sie tun wahrscheinlich zumindest ihr Bestes, um Lauschen zu können.
Einige Schwachstellen in der Mobilfunksicherheit könnten ihnen dabei
in die Hände spielen.
Alles Relevante dazu erfahren Sie in meinem Artikel
auf entwickler.de.
Carsten Eilers
Im
PHP Magazin 3.2019
ist ein Artikel über die Sicherheit von 5.x und 7.x erschienen - als Titelthema!
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
Seit dem 31.12.2018 wird PHP 5.x nicht mehr unterstützt. Das heißt
insbesondere: Jede seit dem 1.1.2019 entdeckte Schwachstelle ist und
bleibt eine 0-Day-Schwachstelle - es wird keinen Patch dafür geben. Aber
wir sieht es sonst noch so mit der Sicherheit von PHP 7.x im Vergleich zu
PHP 5.x aus?
"Drucksache: PHP Magazin 3.19 - PHP 5.x und PHP 7.x - Sicherheit im Fokus!" vollständig lesen
Im
Windows Developer 4.19
ist ein Artikel über die Sicherheit des Single Sign-on (SSO)
erschienen.
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
Update 7.6.2019:
Der Artikel ist jetzt auch online
auf entwickler.de
zu lesen.
Ende des Updates
Single Sign-On (kurz SSO), das bedeutet, man muss sich nur einmal einloggen
und schon ist man überall drin. Das ist praktisch. Aber auch
gefährlich. Denn das SSO erspart Ihnen das Merken von Zugangsdaten
für etliche Dienste - und einem Angreifer das Knacken dieser vielen
Zugangsdaten. Der muss auch nur den SSO-Zugang knacken und kommt in Ihrem
Namen überall rein. Aber dafür muss er erst mal eine passende
Schwachstelle in der SSO-Lösung finden.
"Drucksache: Windows Developer 4.19 - Single Sign-on und die Sicherheit" vollständig lesen
Am 10. August 2018 wurde RFC 8446 mit der Beschreibung von TLS 1.3
offiziell veröffentlicht. Damit ist TLS 1.3 der offizielle Standard für die
Transportverschlüsselung, und die neue Version bringt im Vergleich zum
Vorgänger einige Neuerungen mit: Sie ist sowohl sicherer als auch
performanter.
Alles Relevante dazu erfahren Sie in meinem Artikel
auf entwickler.de.
Carsten Eilers
Im
Entwickler Magazin 2.19
ist ein Artikel über Kryptowährungen erschienen.
Beim Stichwort "Kryptowährungen" fällt einem meist
zuerst oder auch ausschließlich Bitcoin ein. Damit kann man sich
meistens nichts im Laden um die Ecke kaufen, aber z.B. Lösegeld
für seine von Ransomware verschlüsselten Daten zahlen. Und
spekulieren kann man damit, einige Zeit mit viel Erfolg, in letzter Zeit
aber eher erfolglos. Und dann verbraucht die Erzeugung der Bitcoins jede
Menge Strom. Macht das die virtuellen Münzen etwa wertvoll? Zeit, mal
einen Blick auf das Ganze zu werfen.
"Drucksache: Entwickler Magazin 2.19: Kryptowährungen - Wie funktionieren Bitcoins, Ethers und Co. eigentlich?" vollständig lesen
Im
Windows Developer 3.19
ist ein Artikel über CPU-Schwachstellen erschienen. Spectre und
Meltdown sind zwar die bekanntesten, aber leider nicht die einzigen.
Nachtrag 10.5.2019:
Der Artikel wurde auch
auf entwickler.de
veröffentlicht.
Ende des Nachtrags
Worum geht es darin?
Die Anfang 2018 bekannt gewordenen CPU-Schwachstellen Spectre und Meltdown
sind ein großes Problem. Und nachdem immer mehr Spectre-Varianten
auftauchen sieht es fast so aus, als wäre das nicht nur die Spitze des
sprichwörtlichen Eisbergs. Aber auch wenn es scheinen mag: Es gibt
noch ein paar andere Schwachstellen in den CPUs.
"Drucksache: Windows Developer 3.19 - CPU-Schwachstellen im Überblick" vollständig lesen
Im
Windows Developer 3.19
ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.
Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen. Das
hat die New York Times
im Oktober herausgefunden.
Na, da lege ich doch gleich mal einen drauf: Wenn der russische
Präsident telefoniert, lauschen bestimmt die Amerikaner und Chinesen.
Und beim chinesischen Präsidenten spitzen garantiert Russen und
Amerikaner die Ohren. Oder jedenfalls tun die Geheimdienste ihre Bestes, um
Lauschen zu können.
"Drucksache: Windows Developer 3.19 - Wie sicher sind die Mobilfunknetze?" vollständig lesen
Die Entwickler von Bluetooth haben von Anfang an die Sicherheit ihres
Protokolls im Blick gehabt. Sowohl die Authentisierung der
Kommunikationsteilnehmer als auch die Verschlüsselung der
Kommunikation waren bereits zu Beginn vorgesehen.
Nachdem die Nutzung von Bluetooth einen solchen Umfang angenommen hatte,
dass sich sowohl Untersuchungen als auch Angriffe lohnten, wurden einige
Schwachstellen in den Bluetooth-Protokollen und teilweise auch in den
entsprechenden Implementierungen gefunden. Natürlich wurden diese
recht schnell auch ausgenutzt. Die Schwachstellen wurden in den
Implementierungen im Allgemeinen zeitnah behoben, für die Protokolle
brachte das 2007 veröffentliche Bluetooth 2.1 entsprechende Fixes.
Danach war dann erst einmal Ruhe. Im Herbst 2017 tauchte dann
plötzlich eine Bluetooth-Schwachstelle auf, die sogar einen Namen
hatte: BlueBorne.
Was es damit auf sich hat und wie es sonst mit der Sicherheit von
Bluetooth aussieht erfahren Sie in meinem Artikel
auf entwickler.de!
Carsten Eilers
Im
PHP Magazin 2.2019
ist ein Artikel über die Sicherheit von Docker erschienen - als Titelthema!
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
Eine Webanwendung in einen Docker-Container zu verpacken hat viele
Vorteile. Aber ist das auch sicher? Vielleicht sogar sicherer als bei
einer Ausführung direkt auf dem Server? Oder nicht vielleicht doch
sogar gefährlicher? Immerhin ist da ja mit Docker eine
zusätzliche Komponente im Spiel, mit eigenen Schwachstellen und
möglichen Problemen.
Und gab es nicht sogar Berichte über mit Schadsoftware infizierte
Container? Und Vorträge zu Docker auf den Sicherheitskonferenzen?
Das gab beides, und die waren auch der Grund für diesen Artikel.
"Drucksache: PHP Magazin 2.19 - Docker-Sicherheit" vollständig lesen