Shims unter Windows (2) - Die Shim-Infrastruktur und ihre Sicherheit
Was Shims sind haben sie im ersten Teil erfahren. In dieser Folge gibt es einen Überblick über die Shim-Infrastruktur und ihre Sicherheit.
Was Shims sind haben sie im ersten Teil erfahren. In dieser Folge gibt es einen Überblick über die Shim-Infrastruktur und ihre Sicherheit.
Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen – das schreibt die New York Times. Na, da lege ich doch gleich mal einen drauf: Wenn der russische Präsident telefoniert, lauschen bestimmt die Amerikaner und Chinesen. Und beim chinesischen Präsidenten spitzen vermutlich Russen und Amerikaner die Ohren. Oder sie tun wahrscheinlich zumindest ihr Bestes, um Lauschen zu können. Einige Schwachstellen in der Mobilfunksicherheit könnten ihnen dabei in die Hände spielen.
Alles Relevante dazu erfahren Sie in meinem Artikel auf entwickler.de.
Das kommt jetzt etwas spät, weil die Shims unter Windows 10 nicht mehr unterstützt werden, aber ich brauche das Material als Linkziel. Und ich finde das Thema auch generell interessant.
Shims erlauben es, die API-Aufrufe eines Programms zu manipulieren. Microsoft hat das zum Beispiel genutzt, um als sog. "FixIt-Patches" bzw. "FixIt-Tools" Workarounds für bereits ausgenutzte Schwachstellen bereit zu stellen. Ein Angreifer kann die Shims aber auch nutzen, um seinem Schadcode neue Fähigkeiten zu verschaffen.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs hat die letzten beiden Phasen erreicht. Los ging es in der ersten Phase mit der Schaffung der nötigen Grundlagen für die sichere Entwicklung. In der zweiten Phase wurden die nötigen Anforderungen an die Webanwendung festgelegt.
In der dritten Phase (Design/Entwurf) musst ein Bedrohungsmodell für die Anwendung entwickelt werden. Theoretisch sah das ziemlich schwierig aus, praktisch was es aber durchaus zu schaffen. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren. Die Bedrohungsmodellierung ist ziemlich aufwendig, lässt sich aber zumindest für Webanwendungen vereinfachen.
In der vierten Phase kommt dann endlich die Implementierung sowie die Vorbereitung der sicheren Default-Installation und -Konfiguration an die Reihe. In Phase 5 muss das alles dann noch mal kontrolliert werden, und dann ist die Anwendung endlich bereit für
Im PHP Magazin 3.2019 ist ein Artikel über die Sicherheit von 5.x und 7.x erschienen - als Titelthema!
Eine Leseprobe des Artikels gibt es auf entwickler.de.
Seit dem 31.12.2018 wird PHP 5.x nicht mehr unterstützt. Das heißt insbesondere: Jede seit dem 1.1.2019 entdeckte Schwachstelle ist und bleibt eine 0-Day-Schwachstelle - es wird keinen Patch dafür geben. Aber wir sieht es sonst noch so mit der Sicherheit von PHP 7.x im Vergleich zu PHP 5.x aus?
"Drucksache: PHP Magazin 3.19 - PHP 5.x und PHP 7.x - Sicherheit im Fokus!" vollständig lesenIm Windows Developer 4.19 ist ein Artikel über die Sicherheit des Single Sign-on (SSO) erschienen.
Eine Leseprobe des Artikels gibt es auf entwickler.de.
Update 7.6.2019:
Der Artikel ist jetzt auch online
auf entwickler.de
zu lesen.
Ende des Updates
Single Sign-On (kurz SSO), das bedeutet, man muss sich nur einmal einloggen und schon ist man überall drin. Das ist praktisch. Aber auch gefährlich. Denn das SSO erspart Ihnen das Merken von Zugangsdaten für etliche Dienste - und einem Angreifer das Knacken dieser vielen Zugangsdaten. Der muss auch nur den SSO-Zugang knacken und kommt in Ihrem Namen überall rein. Aber dafür muss er erst mal eine passende Schwachstelle in der SSO-Lösung finden.
"Drucksache: Windows Developer 4.19 - Single Sign-on und die Sicherheit" vollständig lesenDie Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt.
Dann haben ich Ihnen im Rahmen der dritten Phase (Design/Entwurf) erklärt, wie Sie theoretisch ein Bedrohungsmodell erstellen können und wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren.
Die Bedrohungsmodellierung ist ziemlich aufwendig und unübersichtlich, lässt sich aber zumindest für Webanwendungen vereinfachen. Und dafür gibt es sogar noch eine weitere Möglichkeit. Nachdem ich die kurz beschrieben hatte ging es um Phase 4: Die Implementierung. Und zu der gehört auch die
Am 10. August 2018 wurde RFC 8446 mit der Beschreibung von TLS 1.3 offiziell veröffentlicht. Damit ist TLS 1.3 der offizielle Standard für die Transportverschlüsselung, und die neue Version bringt im Vergleich zum Vorgänger einige Neuerungen mit: Sie ist sowohl sicherer als auch performanter.
Alles Relevante dazu erfahren Sie in meinem Artikel auf entwickler.de.