Skip to content

Ein paar kommentierte Links zum Wochenanfang

Heute gibt mal wieder "nur" ein paar mehr oder weniger kommentierte Links statt eines "Standpunkts" zu einem Thema. Los geht es mit einem Text von Paul Ducklin von Sophos: "Anatomy of a brute force attack - how important is password complexity?". Das Ergebnis könnte man mit "Brute force ist relativ" umschreiben. Oder: Für die einen ist es unerreichbare Brute force, für andere nur ein Mausklick. Oder so.

"Ein paar kommentierte Links zum Wochenanfang" vollständig lesen

Schutzmaßnahmen: Der Pufferüberlauf im Überblick

Ab dieser Folge geht es um Schutzmaßnahmen, die Angriffe über Pufferüberlauf-Schwachstellen wenn schon nicht verhindern, dann doch zumindest erschweren sollen. Aber zuvor muss geklärt werden, was ein Pufferüberlauf (Buffer Overflow) überhaupt ist. Es handelt sich dabei um eine vor allem in C-Programmen schnell entstehende Schwachstelle, die für IT-Verhältnisse uralt ist. Die erste ausführliche Beschreibung wurde von Aleph One nach einer Reihe entsprechender Angriffe 1996 veröffentlicht: Smashing The Stack For Fun And Profit.

Der Pufferüberlauf im Schnelldurchlauf

"Schutzmaßnahmen: Der Pufferüberlauf im Überblick" vollständig lesen

Drucksache: windows.developer Magazin 9.2013 - Naturally Secure UIs

Im windows.developer Magazin 9.2013 ist ein Artikel über die Sicherheit von Natural User Interfaces erschienen. Vorgestellt werden theoretische und praktische Angriffe, außerdem werden zwei Gerüchte auf ihren Wahrheitsgehalt untersucht.

Es gibt erste Ansätze, Angriffe auf bzw. über NUIs zu entwickeln. Zumindest bisher erfordern die aber keine besonderen Gegenmaßnahmen, wenn man vom üblichen Clickjacking-Schutz gegen TapJacking-Angriffe absieht.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: windows.developer Magazin 9.2013 - Naturally Secure UIs" vollständig lesen

Anstand oder Shareholder Value?

Der sichere E-Mail-Anbieter Lavabit, der unter anderem von Edward Snowden genutzt wurde, hat seinen Betrieb eingestellt: Der Betreiber, Ladar Levison, hatte anscheinend die Wahl, den Betrieb einzustellen oder Abhöranweisungen der US-Behörden zu befolgen und darüber zu schweigen und hat sich für die Einstellung entschieden. Sein Fazit:

"Anstand oder Shareholder Value?" vollständig lesen

Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 4

Nach der allgemeinen Einführung in die Content Security Policy, dem Überblick über die Anweisungen und Schlüsselwörter sowie Inline-Code und -Styles geht es in dieser Folge zuerst um die Möglichkeit, mittels eval() und ähnlichen Funktionen harmlosen Text in im Falle eines Angriffs meist bösen Code umzuwandeln.

eval() ist bekanntlich evil!

"Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 4" vollständig lesen

Lesetipps und ein Kommentar zur De-Mail

Heute gibt es mal wieder eine bunte Mischung an Lesetipps. Und weil mich GMX und Co. gerade mit Info-Mails nerven, das "meine" De-Mail-Adresse demnächst anderweitig vergeben wird: Nur zu, ich will die nicht.

Erst mal grundsätzlich nicht, und seit dem Bekanntwerden von PRISM und Co. erst recht nicht. Da haben wohl ein paar Leute den sprichwörtlichen Schuss nicht gehört. Was soll ich mit einer "sicheren" E-Mail, die auf den Servern der Betreiber entschlüsselt wird? Wieso eigentlich? Damit die Schnüffler die Daten leichter abgreifen können? Und die Bundesregierung fördert das auch noch, indem sie das unsichere System für Behörden einfach als sicher definiert. Eine "sichere" E-Mail-Lösung, bei der auf den Servern der Betreiber Mails ausgespäht, manipuliert oder gar eingeschleust werden können? Ein Schelm, der böses dabei denkt? Sorry, aber De-Mail kommt mir nicht ins Haus.

Aber kommen wir zu den Lesetipps.

"Lesetipps und ein Kommentar zur De-Mail" vollständig lesen