Die Bedrohungsmodellierung ist ziemlich aufwendig und
unübersichtlich, lässt sich aber zumindest für
Webanwendungen
vereinfachen.
Und dafür gibt es sogar noch eine weitere Möglichkeit.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht weiter. In der
ersten Phase
haben Sie sich über die nötigen Grundlagen wie mögliche
Schwachstellen und Angriffe informiert, und in der zweiten die nötigen
Anforderungen an die Webanwendung
festgelegt. Dann kam Phase 3, Design. Dazu haben ich Ihnen erklärt, wie Sie theoretisch
ein Bedrohungsmodell erstellen
können und gezeigt, wie das
Bedrohungsmodell für das Beispiel
entwickelt wird. Danach galt es, die dadurch identifizierten
Bedrohungen zu minimieren.
Das ist alles ziemlich aufwendig und unübersichtlich. In dieser Folge
zeige ich Ihnen für Webanwendungen eine
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht in die fünfte Runde. In der
ersten Phase
haben Sie sich über die nötigen Grundlagen wie mögliche
Schwachstellen und Angriffe informiert, und in der zweiten die nötigen
Anforderungen an die Webanwendung
festgelegt. Dann haben ich Ihnen erklärt, wie Sie in der dritten Phase, Design, theoretisch
ein Bedrohungsmodell erstellen
können und gezeigt, wie das
Bedrohungsmodell für das Beispiel
entwickelt wird. Sie wissen ja: Gefahr erkannt, Gefahr gebannt. Jedenfalls
fast. Denn als nächstes gilt es, die Bedrohungen zu minimieren.
Beim Stichwort "Kryptowährungen" fällt einem meist
zuerst oder auch ausschließlich Bitcoin ein. Damit kann man sich
meistens nichts im Laden um die Ecke kaufen, aber z.B. Lösegeld
für seine von Ransomware verschlüsselten Daten zahlen. Und
spekulieren kann man damit, einige Zeit mit viel Erfolg, in letzter Zeit
aber eher erfolglos. Und dann verbraucht die Erzeugung der Bitcoins jede
Menge Strom. Macht das die virtuellen Münzen etwa wertvoll? Zeit, mal
einen Blick auf das Ganze zu werfen.
Im
Windows Developer 3.19
ist ein Artikel über CPU-Schwachstellen erschienen. Spectre und
Meltdown sind zwar die bekanntesten, aber leider nicht die einzigen.
Nachtrag 10.5.2019:
Der Artikel wurde auch
auf entwickler.de
veröffentlicht.
Ende des Nachtrags
Worum geht es darin?
Die Anfang 2018 bekannt gewordenen CPU-Schwachstellen Spectre und Meltdown
sind ein großes Problem. Und nachdem immer mehr Spectre-Varianten
auftauchen sieht es fast so aus, als wäre das nicht nur die Spitze des
sprichwörtlichen Eisbergs. Aber auch wenn es scheinen mag: Es gibt
noch ein paar andere Schwachstellen in den CPUs.
Im
Windows Developer 3.19
ist ein Artikel über die Sicherheit der Mobilfunknetze erschienen.
Wenn der US-Präsident telefoniert, lauschen die Chinesen und Russen. Das
hat die New York Times
im Oktober herausgefunden.
Na, da lege ich doch gleich mal einen drauf: Wenn der russische
Präsident telefoniert, lauschen bestimmt die Amerikaner und Chinesen.
Und beim chinesischen Präsidenten spitzen garantiert Russen und
Amerikaner die Ohren. Oder jedenfalls tun die Geheimdienste ihre Bestes, um
Lauschen zu können.
Die Demonstration von Microsofts SDL am Beispiel eines PHP-Gästebuchs
geht in die vierte Runde. In der
ersten Phase
müssen Sie sich über die nötigen Grundlagen wie mögliche
Schwachstellen und Angriffe informieren, und in der zweiten die nötigen
Anforderungen an die Webanwendung
festlegen. Darauf aufbauend können Sie in der dritten Phase
ein Bedrohungsmodell erstellen.
Und damit machen wir jetzt weiter.