Wie der Name schon sagt geht es um die Sicherheit von JavaScript (und
HTML5, dass ja viele neue JavaScript-APIs mit bringt). Behandelt werden
XSS-Angriffe und deren Möglichkeiten, zum Beispiel der
Implementierung eines Rootkits für Webclients, der Kompromittierung
des lokalen SOHO-Routers oder dem Aufbau eines Broser-basierten Botnets.
Nicht zu vergessen die Möglichkeit, über XSS den Server zu
kompromittieren.
Angriffe über die Grafikfunktionen von HTML5, entweder um Daten
auszuspähen oder den Browser zu identifizieren.
Die Content Security Policy als gute Möglichkeit zur Abwehr von
Angriffen.
Vorgestellt werden verschiedene Angriffe rund um das UI und wie man sie
abwehrt. Die Themen im einzelnen sind
Logikfehler, durch die sich die Webanwendung anders verhält als
vom Entwickler gedacht.
Die Möglichkeiten zur sicheren Authentifizierung der Benutzer,
denn einfach nur Benutzername und Passwort abfragen reicht heute nicht mehr
aus. Zur wirklich sicheren Authentifizierung muss schon ein zweiter Faktor
hinzu gezogen werden, zum Beispiel der Google Authenticator.
Aktuelle Entwicklungen rund um das auch als UI-Redressing bezeichnete
Clickjacking.
Apple hat mit Apple Pay ein neues Zahlungssystem vorgestellt, dass einige
Probleme lösen könnte. Vor allem die in den USA zu einem
großen Problem gewordenen Angriffe auf die Kreditkartendaten im Point
of Sale sind bei Apple Pay zwar nicht unmöglich, aber zwecklos.
Jedes Gerät, das mit dem Internet verbunden ist, kann nicht nur mit
allen anderen mit den Internet verbundenen Geräten kommunizieren,
sondern von dort aus auch angegriffen werden. Und für einen Angreifer
ist es erst mal völlig egal, ob am anderen Ende der Verbindung ein
Rechner, ein Kühlschrank, eine Heizung, ein Auto oder was auch immer
sitzt.