Im
Entwickler Magazin 2.2014
ist der zweite Artikel einer kleinen Serie über die Sicherheit
kryptographischer Verfahren angesichts der NSA-Enthüllungen
erschienen.
Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten
ist die Verunsicherung groß: Wo hat die NSA überall die Finger
im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch
vertrauen? Ich werde versuchen, diese Fragen in einer kleinen Artikelserie
zu beantworten. In dieser Folge geht es um asymmetrischer
Verschlüsselung, bei der zum Ver- und Entschlüsseln verschiedene
Schlüssel verwendet werden, und die aus symmetrischen und
asymmetrischen Systemen kombinierten hybriden Systeme.
Und hier noch die Links und Literaturverweise aus dem Artikel:
Im
Entwickler Magazin 2.2014
ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10,
die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen.
Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren:
Die Wahrscheinlichkeit dafür, dass eine Webanwendung die
Schwachstelle enthält ("Prevalence").
Die Wahrscheinlichkeit dafür, dass ein Angreifer die
Schwachstelle entdeckt ("Detectability").
Die Wahrscheinlichkeit dafür, dass ein Angreifer die
Schwachstelle erfolgreich ausnutzt ("Exploitability").
Die typischen Folgen eines Angriffs ("Impact").
Los geht es mit den Plätzen 1 bis 5:
A1 - Injection
A2 - Broken Authentication and Session Management
A3 - Cross-Site Scripting (XSS)
A4 - Insecure Direct Object References
A5 - Security Misconfiguration
Und hier noch die Links und Literaturverweise aus dem Artikel:
JavaScript-Code kann so wie jedes andere Computerprogramm auch
Schwachstellen enthalten, und so wie in jeder anderer Programmiersprache
können auch in JavaScript Schadprogramme geschrieben werden. Beide
Möglichkeiten werden natürlich von Angreifern ausgenutzt - warum
sollten sie auch darauf verzichten?
Und den Angreifern bieten sich viele Mäglichkeiten, angefangen bei den
klassischen XSS-Angriffen, denen in Zeiten von Web 2.0 und HTML5 viel mehr
Möglichkeiten offen stehen, über Angriffe auf die immer stärker in den
Client ausgelagerte Anwendungslogik bis zu Browser-basierten Botnets, die
sich kaum entdecken lassen und nach dem Beenden des JavaScript-Schadcodes
keinerlei Spuren auf dem Rechner hinterlassen.
Und hier noch die Links und Literaturverweise aus dem Artikel: