Skip to content

Websecurity - Logikfehler vermeiden

Das große Problem beim Vermeiden von Logikfehlern ist das gleiche wie bei der Suche danach: Es gibt so viele Möglichkeiten, einen Logikfehler in die Webanwendung ein zu bauen, dass es keine allgemeingültige Regel zu ihrer Vermeidung gibt. Oder vielleicht doch: Arbeiten Sie immer äußerst konzentriert und vorsichtig. Was das Problem mitunter aber auch nicht löst.

Einige Grundregeln

"Websecurity - Logikfehler vermeiden" vollständig lesen

Drucksache: Windows.Developer 4.2013 - Wie sicher ist das Tablet?

Im Windows.Developer 4.2013 ist ein Artikel über die Sicherheit von Tablets erschienen. Vorgestellt werden die bisher bekannten theoretischen und praktischen Angriffe. Bisher gibt es von beiden zwar erst wenige, aber da die Tablets immer mehr die Notebooks verdrängen, werden die Cyberkriminellen eher früher als später auch die Tablets und deren Eigenheiten bei ihren Angriffen berücksichtigen.

"Drucksache: Windows.Developer 4.2013 - Wie sicher ist das Tablet?" vollständig lesen

Drucksache: Weave 2.2013 - Sicherheitslücken in HTML5

In der Weave 2.2013 ist ein Artikel über Sicherheitslücken in HTML5 erschienen. Vorgestellt werden einige ausgewählte Angriffe sowie die zugehörigen Schutz- und Gegenmaßnahmen.

Eine offizielle Linkliste gibt es auf der Website des Magazins. Hier meine durchnummerierte Version:

"Drucksache: Weave 2.2013 - Sicherheitslücken in HTML5" vollständig lesen

Schwachstelle in Mac OS X erlaubte Java-Angriffe ohne Java-Plug-In

Java im Browser ist gefährlich. Darum sollte man es ausschalten, wenn man es nicht braucht. Denn was nicht aus dem Browser heraus erreichbar ist, kann auch nicht über eine Drive-by-Infektion angegriffen werden. Im Fall von Mac OS X 10.7 und 10.8 reichte das Ausschalten von Browser im Java aber nicht aus, um Angriffe zu verhindern, wie jetzt im Rahmen eines Updates heraus kam.

Apple meint(e): "Java ist vertrauenswürdig"

"Schwachstelle in Mac OS X erlaubte Java-Angriffe ohne Java-Plug-In" vollständig lesen

Pwn2Own: Safari ignoriert, alles andere gehackt

Beim diesjährigen Pwn2Own-Wettbewerb auf der Sicherheitskonferenz CanSecWest wurde mit Ausnahme von Apples Safari alles gehackt, was zur Verfügung stand. Und ob Safari nun allen Angriffen widerstanden hat oder ob niemand Lust hatte, sich damit zu befassen, werden wir nie erfahren, denn es gab nicht einen einzigen Angriffsversuch.

Die Ziele

"Pwn2Own: Safari ignoriert, alles andere gehackt" vollständig lesen

Oracle patcht 0-Day-Schwachstelle und provoziert Entdeckung weiterer Schwachstellen

Es geht weiter mit der Entwicklung rund um die aktuellen 0-Day-Schwachstellen. Oracle hat die am 28. Februar entdeckte 0-Day-Schwachstelle in Java behoben - und außerdem einen Sicherheitsforscher provoziert, der auf Oracles trotziges "Das da ist aber keine Schwachstelle!!!" noch mal genauer hin gesehen und dabei gleich fünf weitere Schwachstellen entdeckt hat. Zusammen erlauben sie den Ausbruch aus der Sandbox. Vielleicht sollte man besser mal die Java-Entwickler in einen Standkasten stecken?

1. März: Apple blockiert alte Flash Player in Safari

"Oracle patcht 0-Day-Schwachstelle und provoziert Entdeckung weiterer Schwachstellen" vollständig lesen