Skip to content

Der SDL am Beispiel eines Gästebuchs, Teil 1

In den vorherigen Folgen haben Sie Microsofts Security Development Lifecycle kennen gelernt. Vielleicht hat Sie ja dessen Umfang erschreckt: Sieben Phasen (1 & 2, 3 & 4, 5 & 6 und 7), von denen fünf jeweils drei Schritte umfassen, und das alles "nur", damit ein Programm sicherer wird? Muss dass denn sein?

Alles halb so wild!

"Der SDL am Beispiel eines Gästebuchs, Teil 1" vollständig lesen

Die Blockchain im Überblick: Was ist das, was kann das, was soll das?

Die Blockchain - meist fällt einem dabei zuerst oder auch ausschließlich Bitcoin ein. Aber eigentlich ist eine Blockchain zunächst einmal nur eine dezentral gespeicherte, beliebig erweiterbare Liste von Datensätzen, die kryptographisch so gesichert sind, dass sie nach der Speicherung nicht verändert oder gelöscht werden können.

Wie eine Blockchain funktioniert und was man außer der Nutzung für Krypto-Währungen noch damit machen kann erfahren Sie in meinem Artikel auf entwickler.de!

Carsten Eilers

Drucksache: Windows Developer 2.19 - Was Facebook alles über Sie weiß, und woher es das weiß

Im Windows Developer 2.19 ist ein Artikel über die Datensammlung durch Facebook erschienen.

Eine Leseprobe des Artikels gibt es auf entwickler.de.

Sie denken, Facebook erkennt Sie an einem Cookie und verfolgt über den Like-Button, welche Webseiten Sie besuchen und welche davon Sie liken? Da haben Sie Recht, genau das macht Facebook. Aber noch viel mehr. So leicht lässt Mark Zuckerberg Sie nicht von der Angel!

"Drucksache: Windows Developer 2.19 - Was Facebook alles über Sie weiß, und woher es das weiß" vollständig lesen

Wie funktioniert EFAIL und wie schlimm ist das alles wirklich?

Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann sie lesen. Deshalb sollte man eigentlich nur verschlüsselte Mails verschicken, die dieses unbefugte Lesen verhindern. Über die EFAIL-Angriffe kann die Verschlüsselung aber ausgehebelt werden. Ist das wirklich die große Katastrophe, als die es dargestellt wird?

Wie EFAIL funktioniert und wie schlimm die Angriffe sind erfahren Sie in meinem Artikel auf entwickler.de!

Carsten Eilers

Drucksache: You’ve been hacked! - Alles über Exploits gegen Webanwendungen

Heute ist im Rheinwerk Verlag mein Buch "You’ve been hacked! - Alles über Exploits gegen Webanwendungen" erschienen.

Darin erfahren Sie

  • welche Schwachstellen es in Webanwendungen gibt,
  • wie die Cyberkriminellen diese ausnutzen können und in einigen Fällen auch "in the wild" ausgenutzt haben,
  • wie Sie die Schwachstellen selbst finden können und
  • wie Sie sie entweder beheben oder zumindest die Angriffe darauf abwehren können.
"Drucksache: You’ve been hacked! - Alles über Exploits gegen Webanwendungen" vollständig lesen

Drucksache: Entwickler Magazin 1.19: Wie sicher sind die Mobilfunknetze?

Im Entwickler Magazin 1.19 ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.

Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen. Das hat die New York Times im Oktober herausgefunden.

Na, da lege ich doch gleich mal einen drauf: Wenn der russische Präsident telefoniert, lauschen bestimmt die Amerikaner und Chinesen. Und beim chinesischen Präsidenten spitzen garantiert Russen und Amerikaner die Ohren. Oder jedenfalls tun die Geheimdienste ihre Bestes, um Lauschen zu können.

"Drucksache: Entwickler Magazin 1.19: Wie sicher sind die Mobilfunknetze?" vollständig lesen

Drucksache: Windows Developer 1.19 - Wie sicher ist SOAP?

Im Windows Developer 1.19 ist ein Artikel über die Sicherheit von SOAP erschienen.

Eine Leseprobe des Artikels gibt es auf entwickler.de.

SOAP war ursprünglich die Abkürzung für "Simple Object Access Protocol", aber seit der Version 1.2 wird diese Erklärung nicht mehr verwendet. Denn SOAP ist nicht unbedingt "Simple", und auf keinen Fall nur auf den Zugriff auf "Objects" beschränkt. Nun sagt uns die Erfahrung aber ganz eindeutig: Wenn etwas nicht einfach ist wird es schnell zur Gefahrenquelle. Entweder weil die Implementierungen Schwachstellen aufweisen oder eine sichere Nutzung unnötig erschwert wird. Wie sieht es denn in der Hinsicht bei SOAP aus?

"Drucksache: Windows Developer 1.19 - Wie sicher ist SOAP?" vollständig lesen

Admin-Tools - Verwaltungswerkzeuge und Sicherheitslücken

Alles, was ein Admin zur Verwaltung eines Rechners oder Netzes verwendet, ist für einen Angreifer von besonderem Interesse. Zum einen, weil diese Tools im Allgemeinen mit erhöhten Rechten laufen – und die möchten die Angreifer natürlich auch haben. Zum anderen, weil sie für genau die Aufgaben zuständig sind, die die Angreifer benötigen, um die vollständige Kontrolle über System und/oder Netzwerk zu erlangen.

Dass diese Tools von besonderem Interesse für Angreifer sind, wissen natürlich auch die Sicherheitsforscher, weshalb sie immer wieder prüfende Blicke auf diese Tools werfen.

Was sie dabei herausgefunden haben erfahren Sie in meinem Artikel auf entwickler.de!

Carsten Eilers

Microsofts Security Development Lifecycle - Eine Einführung

Dank des Security Development Lifecycle, kurz SDL, konnte Microsoft die Anzahl an nach der Veröffentlichung einer Software entdeckten Schwachstellen drastisch reduzieren. Und das ist eigentlich gar nicht so schwer, wie es auf den ersten Blick scheint.

Startschuss am 15. Januar 2002

"Microsofts Security Development Lifecycle - Eine Einführung" vollständig lesen

Security Policy - Ein einfaches Beispiel, Teil 3

In dieser Folge geht es mit der Entwicklung der Sicherheitsrichtline (Security Policy) für das Beispielunternehmen "Bratkartoffel KG" weiter.

Die technischen Schutzmaßnahmen für Web-, Application- und Datenbankserver haben wir bereits festgelegt, ebenso die dazu gehörenden organisatorischen Schutzmaßnahmen sowie der Schutz der internen Server. Jetzt ist der Schutz des restlichen Netzes an der Reihe.

Der Rest vom Netz

"Security Policy - Ein einfaches Beispiel, Teil 3" vollständig lesen

Security Policy - Ein einfaches Beispiel, Teil 2

In dieser Folge geht es mit der Entwicklung der Sicherheitsrichtline (Security Policy) für das in der vorherigen Folge vorgestellte Beispielunternehmen weiter.

Die technischen Schutzmaßnahmen für Web-, Application- und Datenbankserver haben wir bereits festgelegt, jetzt sind die dazu gehörenden organisatorischen und administrativen Schutzmaßnahmen an der Reihe.

Die organisatorischen Schutzmaßnahmen

"Security Policy - Ein einfaches Beispiel, Teil 2" vollständig lesen