Wie der Name schon sagt geht es um die Sicherheit von JavaScript (und
HTML5, dass ja viele neue JavaScript-APIs mit bringt). Behandelt werden
XSS-Angriffe und deren Möglichkeiten, zum Beispiel der
Implementierung eines Rootkits für Webclients, der Kompromittierung
des lokalen SOHO-Routers oder dem Aufbau eines Broser-basierten Botnets.
Nicht zu vergessen die Möglichkeit, über XSS den Server zu
kompromittieren.
Angriffe über die Grafikfunktionen von HTML5, entweder um Daten
auszuspähen oder den Browser zu identifizieren.
Die Content Security Policy als gute Möglichkeit zur Abwehr von
Angriffen.
Vorgestellt werden verschiedene Angriffe rund um das UI und wie man sie
abwehrt. Die Themen im einzelnen sind
Logikfehler, durch die sich die Webanwendung anders verhält als
vom Entwickler gedacht.
Die Möglichkeiten zur sicheren Authentifizierung der Benutzer,
denn einfach nur Benutzername und Passwort abfragen reicht heute nicht mehr
aus. Zur wirklich sicheren Authentifizierung muss schon ein zweiter Faktor
hinzu gezogen werden, zum Beispiel der Google Authenticator.
Aktuelle Entwicklungen rund um das auch als UI-Redressing bezeichnete
Clickjacking.