Skip to content

Drucksache: PHP Magazin 3.19 - PHP 5.x und PHP 7.x - Sicherheit im Fokus!

Im PHP Magazin 3.2019 ist ein Artikel über die Sicherheit von 5.x und 7.x erschienen - als Titelthema!

Eine Leseprobe des Artikels gibt es auf entwickler.de.

Seit dem 31.12.2018 wird PHP 5.x nicht mehr unterstützt. Das heißt insbesondere: Jede seit dem 1.1.2019 entdeckte Schwachstelle ist und bleibt eine 0-Day-Schwachstelle - es wird keinen Patch dafür geben. Aber wir sieht es sonst noch so mit der Sicherheit von PHP 7.x im Vergleich zu PHP 5.x aus?

"Drucksache: PHP Magazin 3.19 - PHP 5.x und PHP 7.x - Sicherheit im Fokus!" vollständig lesen

Drucksache: Windows Developer 4.19 - Single Sign-on und die Sicherheit

Im Windows Developer 4.19 ist ein Artikel über die Sicherheit des Single Sign-on (SSO) erschienen.

Eine Leseprobe des Artikels gibt es auf entwickler.de.

Update 7.6.2019:
Der Artikel ist jetzt auch online auf entwickler.de zu lesen.
Ende des Updates

Single Sign-On (kurz SSO), das bedeutet, man muss sich nur einmal einloggen und schon ist man überall drin. Das ist praktisch. Aber auch gefährlich. Denn das SSO erspart Ihnen das Merken von Zugangsdaten für etliche Dienste - und einem Angreifer das Knacken dieser vielen Zugangsdaten. Der muss auch nur den SSO-Zugang knacken und kommt in Ihrem Namen überall rein. Aber dafür muss er erst mal eine passende Schwachstelle in der SSO-Lösung finden.

"Drucksache: Windows Developer 4.19 - Single Sign-on und die Sicherheit" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 8

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt.

Dann haben ich Ihnen im Rahmen der dritten Phase (Design/Entwurf) erklärt, wie Sie theoretisch ein Bedrohungsmodell erstellen können und wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren.

Die Bedrohungsmodellierung ist ziemlich aufwendig und unübersichtlich, lässt sich aber zumindest für Webanwendungen vereinfachen. Und dafür gibt es sogar noch eine weitere Möglichkeit. Nachdem ich die kurz beschrieben hatte ging es um Phase 4: Die Implementierung. Und zu der gehört auch die

Sichere Default-Installation und -Konfiguration

"Der SDL am Beispiel eines Gästebuchs, Teil 8" vollständig lesen

TLS 1.3: Neuer Standard für mehr Sicherheit

Am 10. August 2018 wurde RFC 8446 mit der Beschreibung von TLS 1.3 offiziell veröffentlicht. Damit ist TLS 1.3 der offizielle Standard für die Transportverschlüsselung, und die neue Version bringt im Vergleich zum Vorgänger einige Neuerungen mit: Sie ist sowohl sicherer als auch performanter.

Alles Relevante dazu erfahren Sie in meinem Artikel auf entwickler.de.

Carsten Eilers

Der SDL am Beispiel eines Gästebuchs, Teil 7

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann kam die dritte Phase, in der ich Ihnen erklärt habe, wie Sie theoretisch ein Bedrohungsmodell erstellen können und wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren.

Die Bedrohungsmodellierung ist ziemlich aufwendig und unübersichtlich, lässt sich aber zumindest für Webanwendungen vereinfachen. Und dafür gibt es sogar noch eine weitere Möglichkeit.

Man kann es sich auch noch einfacher machen...

"Der SDL am Beispiel eines Gästebuchs, Teil 7" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 6

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht weiter. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann kam Phase 3, Design. Dazu haben ich Ihnen erklärt, wie Sie theoretisch ein Bedrohungsmodell erstellen können und gezeigt, wie das Bedrohungsmodell für das Beispiel entwickelt wird. Danach galt es, die dadurch identifizierten Bedrohungen zu minimieren. Das ist alles ziemlich aufwendig und unübersichtlich. In dieser Folge zeige ich Ihnen für Webanwendungen eine

Vereinfachung der Bedrohungsmodellierung

"Der SDL am Beispiel eines Gästebuchs, Teil 6" vollständig lesen

Der SDL am Beispiel eines Gästebuchs, Teil 5

Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs geht in die fünfte Runde. In der ersten Phase haben Sie sich über die nötigen Grundlagen wie mögliche Schwachstellen und Angriffe informiert, und in der zweiten die nötigen Anforderungen an die Webanwendung festgelegt. Dann haben ich Ihnen erklärt, wie Sie in der dritten Phase, Design, theoretisch ein Bedrohungsmodell erstellen können und gezeigt, wie das Bedrohungsmodell für das Beispiel entwickelt wird. Sie wissen ja: Gefahr erkannt, Gefahr gebannt. Jedenfalls fast. Denn als nächstes gilt es, die Bedrohungen zu minimieren.

Minimierung der Bedrohungen

"Der SDL am Beispiel eines Gästebuchs, Teil 5" vollständig lesen

Drucksache: Entwickler Magazin 2.19: Kryptowährungen - Wie funktionieren Bitcoins, Ethers und Co. eigentlich?

Im Entwickler Magazin 2.19 ist ein Artikel über Kryptowährungen erschienen.

Beim Stichwort "Kryptowährungen" fällt einem meist zuerst oder auch ausschließlich Bitcoin ein. Damit kann man sich meistens nichts im Laden um die Ecke kaufen, aber z.B. Lösegeld für seine von Ransomware verschlüsselten Daten zahlen. Und spekulieren kann man damit, einige Zeit mit viel Erfolg, in letzter Zeit aber eher erfolglos. Und dann verbraucht die Erzeugung der Bitcoins jede Menge Strom. Macht das die virtuellen Münzen etwa wertvoll? Zeit, mal einen Blick auf das Ganze zu werfen.

"Drucksache: Entwickler Magazin 2.19: Kryptowährungen - Wie funktionieren Bitcoins, Ethers und Co. eigentlich?" vollständig lesen

Drucksache: Windows Developer 3.19 - CPU-Schwachstellen im Überblick

Im Windows Developer 3.19 ist ein Artikel über CPU-Schwachstellen erschienen. Spectre und Meltdown sind zwar die bekanntesten, aber leider nicht die einzigen.

Nachtrag 10.5.2019:
Der Artikel wurde auch auf entwickler.de veröffentlicht.
Ende des Nachtrags

Worum geht es darin?

Die Anfang 2018 bekannt gewordenen CPU-Schwachstellen Spectre und Meltdown sind ein großes Problem. Und nachdem immer mehr Spectre-Varianten auftauchen sieht es fast so aus, als wäre das nicht nur die Spitze des sprichwörtlichen Eisbergs. Aber auch wenn es scheinen mag: Es gibt noch ein paar andere Schwachstellen in den CPUs.

"Drucksache: Windows Developer 3.19 - CPU-Schwachstellen im Überblick" vollständig lesen

Drucksache: Windows Developer 3.19 - Wie sicher sind die Mobilfunknetze?

Im Windows Developer 3.19 ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.

Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen. Das hat die New York Times im Oktober herausgefunden.

Na, da lege ich doch gleich mal einen drauf: Wenn der russische Präsident telefoniert, lauschen bestimmt die Amerikaner und Chinesen. Und beim chinesischen Präsidenten spitzen garantiert Russen und Amerikaner die Ohren. Oder jedenfalls tun die Geheimdienste ihre Bestes, um Lauschen zu können.

"Drucksache: Windows Developer 3.19 - Wie sicher sind die Mobilfunknetze?" vollständig lesen