Es gibt mal wieder schlechte Nachrichten über SSL. Diesmal wurde mal keine
Zertifizierungsstelle gehackt, stattdessen haben Forscher festgestellt,
dass die Prüfung von Zertifikaten in anderer Software als Webbrowsern
ziemlich mangelhaft ist. Und das ist noch höflich formuliert.
Ab dieser Folge gibt es einen kleinen Überblick über das Thema
"HTML5 Sicherheit", angelehnt an meinen
Vortrag
auf der WebTech Conference 2012. Sehr viel mehr Informationen finden Sie
in meinem auf
deutsch
und
englisch
erhältlichen eBook "HTML5 Security".
Ich habe soeben die Präsentationen und weitere Informationen zu
meinen Vorträgen auf der
WebTech Conference
hochgeladen. Sie finden Sie auf
www.ceilers-it.de/konferenzen/
sowie auch hier. Wobei es hier weitere Kommentare gibt, die auf
www.ceilers-it.de fehlen.
Da ich in Mainz auf der
WebTech Conference 2012
bin, fällt der "Standpunkt" diese Woche aus. Falls Sie auf der
WebTech oder der parallel stattfindenden IPC sind, schauen Sie doch mal in
einen meiner Vorträge rein:
In diesem Shorttalk im Rahmen der "Night Sessions" von 18:45 Uhr bis 19:45
Uhr (in Mainz beginnen die Nächte wohl früh?) werde ich einen
kurzen Überblick über den laufenden Cyberwar der USA und Israels
gegen den Iran geben und erklären, warum wir mehr damit zu tun haben
was die meisten denken.
In diesem englischsprachigen Vortrag erfahren sie, welche der schönen
neuen Möglichkeiten von HTML5 ein Cyberkrimineller gegen die Benutzer
Ihrer Webanwendung einsetzen kann und was Sie dagegen tun können (oder
auch nicht).
Dienstag: "PHPopstars"
Am Dienstag Abend werde ich dann im Rahmen der Abendveranstaltung
"PHPopstars" einen kurzen Vortrag halten. Über was, wird noch nicht
verraten.
Lesestoff
Falls Sie nicht auf der WebTech oder IPC sind, sich aber für diese
Themen interessieren, finden Sie Informationen zu einigen der Probleme
bereits hier im Blog, die Präsentationen der Vorträge sowie Links
zu weiterführenden Informationen finden Sie ab Ende der Woche unter
www.ceilers-it.de/konferenzen/
sowie hier im Blog.
Und dann noch ein Hinweis: Die englische Ausgabe meines eBooks "HTML5
Security" ist seit Freitag bei Amazon und im iBook-Store erhältlich.
Ab dieser Folge werde ich mich dem Thema "Angriffen auf Webanwendungen
über ihren Client" widmen. Der Anlass sind die Vorbereitungen für
meinen Vortrag
"HTML5, the secure Way"
auf der
WebTech Conference 2012.
Es gibt außer Angriffen auf bzw. über HTML5 noch viele weitere
Möglichkeiten, einer Webanwendung über ihren Client Schaden
zuzufügen. Einige davon werde ich in dieser und den nächsten
Folgen vorstellen. Los geht es mit einigen von Rich Lundeen, Jesse Ou und
Travis Rhodes von Microsoft auf der Konferenz Black Hat Abu Dhabi 2011
unter dem Titel
"New Ways I'm Going to Hack Your Web App".
vorgestellten Angriffen.
Neue Clickjacking-Angriffe auf Facebook - Da erscheint
Likejacking
harmlos
Das US-amerikanische National Institute of Standards and Technology (NIST)
hat den
Gewinner
der
SHA-3 Cryptographic Hash Algorithm Competition
veröffentlicht. Der unter dem Namen
Keccak
eingereichte Algorithmus von Guido Bertoni, Joan Daemen (Belgium),
Michaël Peeters und Gilles Van Assche wird als SHA-3 die Nachfolge der
SHA-2-Familie antreten. Die Frage ist nur, ob das wirklich (schon)
nötig ist, und wer von dem neuen Algorithmus profitiert.
Wie kann man sich vor Google Hacking schützen? Bisher haben Sie
bereits erfahren, wie Sie
Verzeichnisse schützen
können, so dass die Suchmaschinen-Crawler sie ignorieren. In manchen
Fällen ist zwar das Crawlen erwünscht, aber die Seiten sollen nicht im
Cache der Suchmaschine landen. Auch das ist möglich.
Adobe hat mal wieder ein Problem. Und zwar ein ziemlich großes.
Diesmal ist es keine 0-Day-Schwachstelle in Flash Player oder Adobe Reader,
mit denen man ja reichlich Erfahrung hat. Stattdessen musste man zugeben,
dass ein Angreifer Schadsoftware mit einem Adobe-Schlüssel signieren
konnte. Mit dem Ergebnis, dass nun dem verwendeten Schlüssel nicht
mehr vertraut werden darf. Mindestens! Aber dazu komme ich später.
Erst mal werfen wir einen Blick auf das, was passiert bzw. bekannt ist.