Skip to content

Drucksache: Entwickler Magazin 2.2014 - Kryptografie im NSA-Zeitalter, Teil 2

Geschrieben von Carsten Eilers am um 14:29
Im Entwickler Magazin 2.2014 ist der zweite Artikel einer kleinen Serie über die Sicherheit kryptographischer Verfahren angesichts der NSA-Enthüllungen erschienen.

Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA überall die Finger im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch vertrauen? Ich werde versuchen, diese Fragen in einer kleinen Artikelserie zu beantworten. In dieser Folge geht es um asymmetrischer Verschlüsselung, bei der zum Ver- und Entschlüsseln verschiedene Schlüssel verwendet werden, und die aus symmetrischen und asymmetrischen Systemen kombinierten hybriden Systeme.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: Entwickler Magazin 2.2014 - Kryptografie im NSA-Zeitalter, Teil 2" vollständig lesen

Drucksache: Entwickler Magazin 2.2014 - Die OWASP Top 10, Teil 1

Geschrieben von Carsten Eilers am um 14:28

Im Entwickler Magazin 2.2014 ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10, die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen.

Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren:

  1. Die Wahrscheinlichkeit dafür, dass eine Webanwendung die Schwachstelle enthält ("Prevalence").
  2. Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle entdeckt ("Detectability").
  3. Die Wahrscheinlichkeit dafür, dass ein Angreifer die Schwachstelle erfolgreich ausnutzt ("Exploitability").
  4. Die typischen Folgen eines Angriffs ("Impact").

Los geht es mit den Plätzen 1 bis 5:

  • A1 - Injection
  • A2 - Broken Authentication and Session Management
  • A3 - Cross-Site Scripting (XSS)
  • A4 - Insecure Direct Object References
  • A5 - Security Misconfiguration

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: Entwickler Magazin 2.2014 - Die OWASP Top 10, Teil 1" vollständig lesen

Drucksache: windows.developer Magazin 3.2014 - JavaScript in Angreiferhand

Geschrieben von Carsten Eilers am um 10:13

Im windows.developer 3.2014 ist ein Artikel über Angriffe über JavaScript erschienen.

JavaScript-Code kann so wie jedes andere Computerprogramm auch Schwachstellen enthalten, und so wie in jeder anderer Programmiersprache können auch in JavaScript Schadprogramme geschrieben werden. Beide Möglichkeiten werden natürlich von Angreifern ausgenutzt - warum sollten sie auch darauf verzichten?

Und den Angreifern bieten sich viele Mäglichkeiten, angefangen bei den klassischen XSS-Angriffen, denen in Zeiten von Web 2.0 und HTML5 viel mehr Möglichkeiten offen stehen, über Angriffe auf die immer stärker in den Client ausgelagerte Anwendungslogik bis zu Browser-basierten Botnets, die sich kaum entdecken lassen und nach dem Beenden des JavaScript-Schadcodes keinerlei Spuren auf dem Rechner hinterlassen.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: windows.developer Magazin 3.2014 - JavaScript in Angreiferhand" vollständig lesen