Am 10. August 2018 wurde RFC 8446 mit der Beschreibung von TLS 1.3 offiziell veröffentlicht. Damit ist TLS 1.3 der offizielle Standard für die Transportverschlüsselung, und die neue Version bringt im Vergleich zum Vorgänger einige Neuerungen mit: Sie ist sowohl sicherer als auch performanter.
Alles Relevante dazu erfahren Sie in meinem Artikel auf entwickler.de.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann kam die dritte Phase, in der ich Ihnen erklärt habe, wie Sie theoretisch ein Bedrohungsmodell erstellen können und wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren.
Die Bedrohungsmodellierung ist ziemlich aufwendig und unübersichtlich, lässt sich aber zumindest für Webanwendungen vereinfachen. Und dafür gibt es sogar noch eine weitere Möglichkeit.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann kam Phase 3, Design. Dazu haben ich Ihnen erklärt, wie Sie theoretisch ein Bedrohungsmodell erstellen können und gezeigt, wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren. Das ist alles ziemlich aufwendig und unübersichtlich. In dieser Folge zeige ich Ihnen für Webanwendungen eine
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die fünfte Runde. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann haben ich Ihnen erklärt, wie Sie in der dritten Phase, Design, theoretisch ein Bedrohungsmodell erstellen können und gezeigt, wie das Bedrohungsmodell für das Beispiel entwickelt wird. Sie wissen ja: Gefahr erkannt, Gefahr gebannt. Jedenfalls fast. Denn als nächstes gilt es, die Bedrohungen zu minimieren.
Im Entwickler Magazin 2.19 ist ein Artikel über Kryptowährungen erschienen.
Beim Stichwort "Kryptowährungen" fällt einem meist zuerst oder auch ausschließlich Bitcoin ein. Damit kann man sich meistens nichts im Laden um die Ecke kaufen, aber z.B. Lösegeld für seine von Ransomware verschlüsselten Daten zahlen. Und spekulieren kann man damit, einige Zeit mit viel Erfolg, in letzter Zeit aber eher erfolglos. Und dann verbraucht die Erzeugung der Bitcoins jede Menge Strom. Macht das die virtuellen Münzen etwa wertvoll? Zeit, mal einen Blick auf das Ganze zu werfen.
"Drucksache: Entwickler Magazin 2.19: Kryptowährungen - Wie funktionieren Bitcoins, Ethers und Co. eigentlich?" vollständig lesenIm Windows Developer 3.19 ist ein Artikel über CPU-Schwachstellen erschienen. Spectre und Meltdown sind zwar die bekanntesten, aber leider nicht die einzigen.
Die Anfang 2018 bekannt gewordenen CPU-Schwachstellen Spectre und Meltdown sind ein großes Problem. Und nachdem immer mehr Spectre-Varianten auftauchen sieht es fast so aus, als wäre das nicht nur die Spitze des sprichwörtlichen Eisbergs. Aber auch wenn es scheinen mag: Es gibt noch ein paar andere Schwachstellen in den CPUs.
"Drucksache: Windows Developer 3.19 - CPU-Schwachstellen im Überblick" vollständig lesenIm Windows Developer 3.19 ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.
Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen. Das hat die New York Times im Oktober herausgefunden.
Na, da lege ich doch gleich mal einen drauf: Wenn der russische Präsident telefoniert, lauschen bestimmt die Amerikaner und Chinesen. Und beim chinesischen Präsidenten spitzen garantiert Russen und Amerikaner die Ohren. Oder jedenfalls tun die Geheimdienste ihre Bestes, um Lauschen zu können.
"Drucksache: Windows Developer 3.19 - Wie sicher sind die Mobilfunknetze?" vollständig lesenDie Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die vierte Runde. In der ersten Phase müssen Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informieren, und in der zweiten die nötigen Anforderungen an die Webanwendung festlegen. Darauf aufbauend können Sie in der dritten Phase ein Bedrohungsmodell erstellen. Und damit machen wir jetzt weiter.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die dritte Runde. Nachdem Sie sich in der ersten Phase über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert und in der zweiten Phase die nötigen Anforderungen an die Webanwendung festgelegt haben kommen sie nun zur Phase 3, Design. Und in der können Sie nun ein Bedrohungsmodell für die Anwendung erstellen.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die zweite Runde. Nachdem Sie sich in der ersten Phase über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert haben, können Sie nun die nötigen Anforderungen an die Webanwendung festlegen.
Die Entwickler von Bluetooth haben von Anfang an die Sicherheit ihres Protokolls im Blick gehabt. Sowohl die Authentisierung der Kommunikationsteilnehmer als auch die Verschlüsselung der Kommunikation waren bereits zu Beginn vorgesehen.
Nachdem die Nutzung von Bluetooth einen solchen Umfang angenommen hatte, dass sich sowohl Untersuchungen als auch Angriffe lohnten, wurden einige Schwachstellen in den Bluetooth-Protokollen und teilweise auch in den entsprechenden Implementierungen gefunden. Natürlich wurden diese recht schnell auch ausgenutzt. Die Schwachstellen wurden in den Implementierungen im Allgemeinen zeitnah behoben, für die Protokolle brachte das 2007 veröffentliche Bluetooth 2.1 entsprechende Fixes. Danach war dann erst einmal Ruhe. Im Herbst 2017 tauchte dann plötzlich eine Bluetooth-Schwachstelle auf, die sogar einen Namen hatte: BlueBorne.
Was es damit auf sich hat und wie es sonst mit der Sicherheit von Bluetooth aussieht erfahren Sie in meinem Artikel auf entwickler.de!
Im PHP Magazin 2.2019 ist ein Artikel über die Sicherheit von Docker erschienen - als Titelthema!
Eine Leseprobe des Artikels gibt es auf entwickler.de.
Eine Webanwendung in einen Docker-Container zu verpacken hat viele Vorteile. Aber ist das auch sicher? Vielleicht sogar sicherer als bei einer Ausführung direkt auf dem Server? Oder nicht vielleicht doch sogar gefährlicher? Immerhin ist da ja mit Docker eine zusätzliche Komponente im Spiel, mit eigenen Schwachstellen und möglichen Problemen.
Und gab es nicht sogar Berichte über mit Schadsoftware infizierte Container? Und Vorträge zu Docker auf den Sicherheitskonferenzen? Das gab beides, und die waren auch der Grund für diesen Artikel.
"Drucksache: PHP Magazin 2.19 - Docker-Sicherheit" vollständig lesenIn den vorherigen Folgen haben Sie Microsofts Security Development Lifecycle kennen gelernt. Vielleicht hat Sie ja dessen Umfang erschreckt: Sieben Phasen (1 & 2, 3 & 4, 5 & 6 und 7), von denen fünf jeweils drei Schritte umfassen, und das alles "nur", damit ein Programm sicherer wird? Muss dass denn sein?
Im Mobile Technology Digital Volume 34 ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.
Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen. Das hat die New York Times im Oktober herausgefunden.
Na, da lege ich doch gleich mal einen drauf: Wenn der russische Präsident telefoniert, lauschen bestimmt die Amerikaner und Chinesen. Und beim chinesischen Präsidenten spitzen garantiert Russen und Amerikaner die Ohren. Oder jedenfalls tun die Geheimdienste ihre Bestes, um Lauschen zu können.
"Drucksache: Mobile Technology Digital Volume 34 - Mobile Security - Wie sicher sind die Mobilfunknetze?" vollständig lesenDie Blockchain - meist fällt einem dabei zuerst oder auch ausschließlich Bitcoin ein. Aber eigentlich ist eine Blockchain zunächst einmal nur eine dezentral gespeicherte, beliebig erweiterbare Liste von Datensätzen, die kryptographisch so gesichert sind, dass sie nach der Speicherung nicht verändert oder gelöscht werden können.
Wie eine Blockchain funktioniert und was man außer der Nutzung für Krypto-Währungen noch damit machen kann erfahren Sie in meinem Artikel auf entwickler.de!