Skip to content

Code Signing - Auch Schadsoftware kann signiert sein

Oracles Antwort auf Javas ständige Sicherheitsprobleme: Der Einsatz von Code Signing. Vorerst gibt es nur mehr oder weniger ausführliche Warnungen vor nicht oder falsch signierten Applets, irgendwann sollen dann nur noch signierte Applets ausgeführt werden. Die damit erreichte Sicherheit ist aber trügerisch. Wieso, erfahren Sie hier.

Code Signing im Überblick

"Code Signing - Auch Schadsoftware kann signiert sein" vollständig lesen

Websecurity: Cookie Tossing

Github hat alle Github Pages auf eigene github.io-Domains verlagert. Auslöser dafür war unter anderem die Gefahr von "Cookie Tossing", einem Angriff, der nicht nur Github gefährlich werden kann. Was es damit auf sich hat, erfahren Sie hier.

Als Beispiel-Webanwendung dient ein Portal, dass passenderweise auf portal.example läuft und das es seinen Benutzern unter anderem erlaubt, unter [benutzername].portal.example eigene Websites zu speichern. Die Angriffe wären aber genauso über XSS-Schwachstellen auf portal.example möglich.

Schritt 1: Wir setzen einen Session-Cookie

"Websecurity: Cookie Tossing" vollständig lesen

DDoS durch DNS Amplification Attacks

Haben Sie in der dritten Märzwoche etwas vom größten DDoS-Angriff aller Zeiten bemerkt? Die beinahe das Internet zerstörte? Nicht? Nun, dann liegt das wohl vor allem daran, dass die Berichte über das Ende des Internets, gelinde gesagt, etwas übertrieben sind. Es war der bisher größte Angriff auf das Opfer des Angriffs, Spamhaus. Mehr aber auch nicht. Es gab nur lokale Auswirkungen, und zwar in Großbritannien, den Niederlanden und Deutschland. Und selbst da haben die meisten Internetnutzer nichts davon bemerkt, sofern sie nicht gerade einen der angegriffenen Server besuchten.

Trotzdem ist der Angriff recht interessant, zeigt er doch, wie einfach DDoS-Angriffe heutzutage sind. Aber bevor ich zur Beschreibung des Angriffs komme gibt es erst mal einen kurzen Überblick über das Domain Name System.

Das Domain Name System

"DDoS durch DNS Amplification Attacks" vollständig lesen