Im
PHP Magazin 3.2019
ist ein Artikel über die Sicherheit von 5.x und 7.x erschienen - als Titelthema!
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
Seit dem 31.12.2018 wird PHP 5.x nicht mehr unterstützt. Das heißt
insbesondere: Jede seit dem 1.1.2019 entdeckte Schwachstelle ist und
bleibt eine 0-Day-Schwachstelle - es wird keinen Patch dafür geben. Aber
wir sieht es sonst noch so mit der Sicherheit von PHP 7.x im Vergleich zu
PHP 5.x aus?
Im
Windows Developer 4.19
ist ein Artikel über die Sicherheit des Single Sign-on (SSO)
erschienen.
Eine
Leseprobe
des Artikels gibt es auf entwickler.de.
Update 7.6.2019:
Der Artikel ist jetzt auch online
auf entwickler.de
zu lesen. Ende des Updates
Single Sign-On (kurz SSO), das bedeutet, man muss sich nur einmal einloggen
und schon ist man überall drin. Das ist praktisch. Aber auch
gefährlich. Denn das SSO erspart Ihnen das Merken von Zugangsdaten
für etliche Dienste - und einem Angreifer das Knacken dieser vielen
Zugangsdaten. Der muss auch nur den SSO-Zugang knacken und kommt in Ihrem
Namen überall rein. Aber dafür muss er erst mal eine passende
Schwachstelle in der SSO-Lösung finden.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht weiter. In der
ersten Phase
haben Sie sich über die nötigen Grundlagen wie mögliche
Schwachstellen und Angriffe informiert, und in der zweiten die nötigen
Anforderungen an die Webanwendung
festgelegt.
Die Bedrohungsmodellierung ist ziemlich aufwendig und
unübersichtlich, lässt sich aber zumindest für Webanwendungen
vereinfachen.
Und dafür gibt es sogar noch
eine weitere Möglichkeit.
Nachdem ich die kurz beschrieben hatte ging es um Phase 4: Die Implementierung.
Und zu der gehört auch die
Am 10. August 2018 wurde RFC 8446 mit der Beschreibung von TLS 1.3
offiziell veröffentlicht. Damit ist TLS 1.3 der offizielle Standard für die
Transportverschlüsselung, und die neue Version bringt im Vergleich zum
Vorgänger einige Neuerungen mit: Sie ist sowohl sicherer als auch
performanter.
Alles Relevante dazu erfahren Sie in meinem Artikel
auf entwickler.de.
Die Bedrohungsmodellierung ist ziemlich aufwendig und
unübersichtlich, lässt sich aber zumindest für
Webanwendungen
vereinfachen.
Und dafür gibt es sogar noch eine weitere Möglichkeit.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht weiter. In der
ersten Phase
haben Sie sich über die nötigen Grundlagen wie mögliche
Schwachstellen und Angriffe informiert, und in der zweiten die nötigen
Anforderungen an die Webanwendung
festgelegt. Dann kam Phase 3, Design. Dazu haben ich Ihnen erklärt, wie Sie theoretisch
ein Bedrohungsmodell erstellen
können und gezeigt, wie das
Bedrohungsmodell für das Beispiel
entwickelt wird. Danach galt es, die dadurch identifizierten
Bedrohungen zu minimieren.
Das ist alles ziemlich aufwendig und unübersichtlich. In dieser Folge
zeige ich Ihnen für Webanwendungen eine
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht in die fünfte Runde. In der
ersten Phase
haben Sie sich über die nötigen Grundlagen wie mögliche
Schwachstellen und Angriffe informiert, und in der zweiten die nötigen
Anforderungen an die Webanwendung
festgelegt. Dann haben ich Ihnen erklärt, wie Sie in der dritten Phase, Design, theoretisch
ein Bedrohungsmodell erstellen
können und gezeigt, wie das
Bedrohungsmodell für das Beispiel
entwickelt wird. Sie wissen ja: Gefahr erkannt, Gefahr gebannt. Jedenfalls
fast. Denn als nächstes gilt es, die Bedrohungen zu minimieren.
Beim Stichwort "Kryptowährungen" fällt einem meist
zuerst oder auch ausschließlich Bitcoin ein. Damit kann man sich
meistens nichts im Laden um die Ecke kaufen, aber z.B. Lösegeld
für seine von Ransomware verschlüsselten Daten zahlen. Und
spekulieren kann man damit, einige Zeit mit viel Erfolg, in letzter Zeit
aber eher erfolglos. Und dann verbraucht die Erzeugung der Bitcoins jede
Menge Strom. Macht das die virtuellen Münzen etwa wertvoll? Zeit, mal
einen Blick auf das Ganze zu werfen.
Im
Windows Developer 3.19
ist ein Artikel über CPU-Schwachstellen erschienen. Spectre und
Meltdown sind zwar die bekanntesten, aber leider nicht die einzigen.
Nachtrag 10.5.2019:
Der Artikel wurde auch
auf entwickler.de
veröffentlicht.
Ende des Nachtrags
Worum geht es darin?
Die Anfang 2018 bekannt gewordenen CPU-Schwachstellen Spectre und Meltdown
sind ein großes Problem. Und nachdem immer mehr Spectre-Varianten
auftauchen sieht es fast so aus, als wäre das nicht nur die Spitze des
sprichwörtlichen Eisbergs. Aber auch wenn es scheinen mag: Es gibt
noch ein paar andere Schwachstellen in den CPUs.
Im
Windows Developer 3.19
ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.
Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen. Das
hat die New York Times
im Oktober herausgefunden.
Na, da lege ich doch gleich mal einen drauf: Wenn der russische
Präsident telefoniert, lauschen bestimmt die Amerikaner und Chinesen.
Und beim chinesischen Präsidenten spitzen garantiert Russen und
Amerikaner die Ohren. Oder jedenfalls tun die Geheimdienste ihre Bestes, um
Lauschen zu können.