Einschränkung der Auswahl
Alle Artikel aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2008/2009
oder nur Artikel des
• Entwickler Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2008-2010
alle (lang!)
• Mobile Technology aus
2019
2016
2015
2014
2012/2013
alle (lang!)
• PHP Magazin / PHP User aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2009/2010
alle (lang!)
• windows.developer / dot.Net Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2008-2011
alle (lang!)
• oder der anderen Magazine
WebGL – harmful, harmlos oder von beidem etwas?
Microsoft hält WebGL für gefährlich. Stimmt das?
Im
windows.developer Magazin 12.2012
ist ein Artikel über die Sicherheit von WebGL erschienen.
Online-Version
Der Artikel ist inzwischen auch online verfügbar: Auf
entwickler.de.
Erratum
Leider hat sich in der Tabelle auf Seite 91 ein Druckfehler eingeschlichen.
Eine PDF-Datei mit der korrekten Tabelle finden Sie hier als
PDF.
Links
Sicher, sicherer, iOS?
Schutzmaßnahmen und Angriffe
Im Magazin
Mobile Technology 4.2012
ist ein Artikel über die Sicherheit von iOS erschienen.
Ich habe auch eine Timeline der Angriffe erstellt, die Sie
hier
finden.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Die Sandbox und ihre Sicherheit
Sicher wie eine Festung oder unsicher wie eine Sandburg?
Im
windows.developer Magazin 11.2012
ist ein Artikel über die Sicherheit von Sandboxen, insbesondere in
Hinsicht auf den in Windows 8 für Windows-8-Apps eingeführten AppContainer,
erschienen.
Links
- [1] EricLaw's IEInternals: "Understanding Enhanced Protected Mode"
- [2] Research, Develop, Assess, Consult & Educate; Recx Blog: "Windows 8 App Container Security Notes, Part 1"
- [3] Sébastien Renaud, Kevin Szkudlapski; Hack in the Box Amsterdam 2012: "WinRT: The Metro-politan Museum of Security"
(Präsentation als
PDF)
- [4] Ming-chieh Pan, Sung-ting Tsai; BlackHat USA 2012: "The Line 8 Subway - Exploitation of Windows 8 Metro Style Apps"
- [5] Carsten Eilers: ""Binary Planting" - Unsichere Suchpfade führen ins Verderben"
- [6] Carsten Eilers: "Angreifern ein Schnippchen schlagen"; dot.Net Magazin 3.2012
- [7] Carsten Eilers: "Sind Schutzfunktionen wie DEP und ASLR überflüssig?"
- [8] Wendy Poland; Adobe Product Security Incident Response Team (PSIRT) Blog: "Security Advisory for Adobe Reader and Acrobat (APSA11-04)"
- [9] Peleus Uhley; Adobe Secure Software Engineering Team (ASSET) Blog: "Flash Player Sandboxing is Coming to Firefox"
- [10] Tom Keetch; BlackHat Europe 2011: "Escaping From Microsoft Windows Sandboxes"
- [11] Paul Sabanal, Mark Yason; BlackHat USA 2011: "Playing In The Reader X Sandbox"
- [12] Guillaume Lovet, Zhenhua Liu; BlackHat Europe 2012: "Breeding Sandworms: How To Fuzz Your Way Out of Adobe Reader's Sandbox"
- [13] Guillaume Delugré: "Bypassing ASLR and DEP on Adobe Reader X"
- [14] Chris Evans, Justin Schuh; Chromium Blog: "Pwnium: rewards for exploits"
- [15] Ryan Naraine: "CanSecWest Pwnium: Google Chrome hacked with sandbox bypass"
- [16] Ryan Naraine: "Pwn2Own 2012: Google Chrome browser sandbox first to fall"
- [17] Ryan Naraine: "Teenager hacks Google Chrome with three 0day vulnerabilities"
- [18] Dan Goodin: "At hacking contest, Google Chrome falls to third zero-day attack (Updated)"
- [19] Jorge Lucangeli Obes, Justin Schuh; Chromium Blog: "A Tale of Two Pwnies (Part 1)"
- [20] Ken Buchanan, Chris Evans, Charlie Reis, Tom Sepez; Chromium Blog: "A Tale Of Two Pwnies (Part 2)"
Konfigurierte (Un-)Sicherheit
Die Auswirkungen der Apache-Konfiguration auf die Sicherheit der Webanwendung
Im
PHP Magazin 6.2012
ist ein Artikel über die sichere Konfiguration des Apache Webservers
erschienen.
Den Artikel gibt es auch
online
auf der Website des PHP Magazins.
Links
Sicher durch Windows 8
AppContainer, Windows.Security-Namespace und Mitigations im Überblick
Im windows.developer Sonderheft
Windows 8 Spezial
ist ein Artikel über die Sicherheitsrelevanten Neuerungen von WinRT
erschienen.
Es handelt sich um eine aktualisierte und erweiterte Fassung des Artikels
aus dem windows.developer Magazin 7.2012, daher auch der identische Titel.
In der Zeit seit dem Schreiben des damaligen Artikels wurden sowohl von
Microsoft als auch von verschiedenen Sicherheitsforschern diverse neue
Informationen veröffentlicht.
Links
Sicher in der Microsoft Cloud
Verfügbarkeit, Vertraulichkeit und Integrität im Überblick
Im
windows.developer Magazin 10.2012
ist ein Artikel über die Sicherheit von Windows Azure erschienen.
Links
Hier gibt es weiterführende Informationen zur Entwicklung sicherer Anwendungen für Windows Azure bzw. zur Sicherheit von Windows Azure allgemein:
Anatomie eines Cyberwars
Stuxnet, Duqu und Flame – der virtuelle Krieg hat begonnen
Im
Entwickler Magazin 5.2012
ist ein Artikel zu Stuxnet und Co. erschienen - den ersten Waffen im
Cyberwar.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Windows Phone und die Sicherheit
Im
windows.developer Magazin 9.2012
ist ein Artikel über die sichere Entwicklung von Smartphone-Apps
erschienen.
Den Artikel gibt es auch
online
auf dotnet.de.
Links
Mobile Geräte im Visier
Mobile Security auf den Sicherheitskonferenzen
Im Magazin
Mobile Technology 3.2012
ist ein Artikel über mehr oder weniger aktuelle Forschungsergebnisse
im Bereich "Mobile Security" erschienen. Vorgestellt wird eine Auswahl
der auf den Sicherheitskonferenzen 2011 und 2012 gehaltenen Vorträge.
Links
- [1] Simon Roses Femerling: "Smartphone's Apps Are Not That Smart: Insecure Development Practices"
- [2] Microsoft Security Development Lifecycle
- [3] OWASP CLASP (Comprehensive, Lightweight Application Security Process)
- [4] Software Assurance Maturity Model (SAMM)
- [5] Chris Eng: "Top 10 Mobile Application Risks"
- [6] Anthony Lineberry, Tim Strazzere und Tim Wyatt: "Don't Hate the Player, Hate the Game: Inside the Android Security Patch Lifecycle"
- [7] Tim Wyatt: "Inside the Android Security Patch Lifecycle"
- [8] Mobile Threat Report
- [9] Tyrone Erasmus: "The Heavy Metal That Poisoned the Droid"
- [10] Mercury - Droid's first assessment framework of its kind
- [11] Dionysus Blazakis: "The Apple Sandbox"
- [12] Angelos Stavrou, Zhaohui Wang: "Exploiting Smart-Phone USB Connectivity For Fun And Profit"
- [13] Adam Meyers: "Emerging Threats in Mobile Computing"
- [14] Russell Spitler: "Software Security Goes Mobile"
- [15] Itzhak Avraham: "Popping Shell on A(ndroid)RM Devices"
- [16] Federico Maggi, Stefano Zanero, Alberto Volpatto: "iSnoop: How to Steal Secrets From Touchscreen Devices"
- [17] Nitesh Dhanjani: "New Age Attacks Against Apple's iOS (and Countermeasures)"
Paper (der Link auf obiger Seite ist falsch) als
PDF
- [18] Matt Johansen, Kyle Osborn: "Hacking Google Chrome OS"
- [19] Browser Exploitation Framework
- [20] Will Drewry, Sumit Gwalani: "Chrome OS - Practical Security"
- [21] Stefan Esser: "Exploiting the iOS Kernel"
- [22] Andrey Belenko, Dmitry Sklyarov: ""Secure Password Managers" and "Military-Grade Encryption" on Smartphones: Oh Really?"
- [23] Neil Daswani: "Mobile Malware Madness, and How To Cap the Mad Hatters"
- [24] Andrey Belenko: "Overcoming iOS Data Protection to Re-enable iPhone Forensic"
- [25] Andrey Belenko, Dmitry Sklyarov: "Evolution of iOS Data Protection and iPhone Forensics: from iPhoneOS to iOS 5"
- [26] Dino Dai Zovi: "Apple iOS Security Evaluation: Vulnerability Analysis and Data Encryption"
- [17] Marcia Hofmann, Seth Schoen: "Defending Privacy at the U.S. Border: A Guide for Travelers Carrying Digital Devices"
Zutritt für Spam verboten!
Drei gegen Spam in Gästebüchern, Kommentaren und Co.
Im
PHP Magazin 5.2012
ist ein Artikel über die Erkennung von Spam in Gästebüchern, Kommentaren
etc. erschienen. Vorgestellt werden unsichtbare Eingabefelder,
Bayes-Filter und CAPTCHAs.
Links
NoSQL, No Security?
Wie sieht es mit der Sicherheit von NoSQL aus?
Im
windows.developer Magazin 8.2012
ist ein Artikel über die Sicherheit von NoSQL-Datenbanken
erschienen.
Links
HTML5 Security
Im
Web & PHP Magazine Issue 4
ist ein englischsprachiger Artikel zur Sicherheit von HTML5 erschienen.
Vorgestellt werden Resident XSS und der Missbrauch von bestimmten
Formularelementen, die sich in HTML5 mit beliebigen Formularen verknüpfen
können.
Der Artikel ist ein kleiner Vorgeschmack auf die englische Ausgabe meines
deutschsprachigen eBooks
"HTML5 Security".
Das Web & PHP Magazine kann kostenlos als PDF heruntergeladen werden,
außerdem gibt es eine kostenpflichtige App-Ausgabe.
Links
Quo vadis, SSL?
Wie sicher sind HTTPS-Verbindungen noch?
Im
Entwickler Magazin 4.2012
ist ein Artikel zur Sicherheit von SSL und zur Unsicherheit des
verwendeten Zertifizierungssystems erschienen.
Links
- [1] ekoparty: BEAST: Surprising crypto attack against HTTPS
- [2] netifera research - BEAST: Chosen plaintext attack against SSL/TLS
- [3] Thai Duong: BEAST
- [4] Bodo Moeller: openssl-dev Mailingliste: Re: an attack against SSH2 protocol
- [5] Gregory V. Bard: The Vulnerability of SSL to Chosen-Plaintext Attack
- [6] Gregory V. Bard: A Challenging but Feasible Blockwise-Adaptive Chosen-Plaintext Attack on SSL
- [7] Bodo Möller: Security of CBC Ciphersuites in SSL/TLS: Problems and Countermeasures
- [8] Mozilla Bugzilla: Bug 665814 - (CVE-2011-3389) Rizzo/Duong chosen plaintext attack (BEAST) on SSL/TLS 1.0 (facilitated by websockets -76)
- [9] Sigbjørn Vik: The "BEAST" SSL/TLS issue
- [10] Tor and the BEAST SSL attack
- [11] Chrome and the BEAST
- [12] Carsten Eilers: About Security #72: Kryptographie — Betriebsarten für Blockchiffren
- [13] Dan Goodin: Hackers break SSL encryption used by millions of sites
- [14] RFC 4346 - The Transport Layer Security (TLS) Protocol Version 1.1; F.4. Security of Composite Cipher Modes
- [15] Issue 98202 - chromium - Server or script on server is intolerant to 1/n-1 record splitting.
- [16] CVE-2011-3389
- [17] SSL Pulse Project
- [18] Dennis Fisher: Survey Finds Secure Sites Not So Secure
- [19] Ivan Ristic: SSL Pulse - To Make SSL More Secure and Pervasive
- [20] Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger:
MD5 considered harmful today - Creating a rogue CA Certificate
- [21] Moxie Marlinspike: New Techniques for Defeating SSL/TLS
- [22] SSLStrip
- [23] Moxie Marlinspike: More Tricks For Defeating SSL
- [24] Jacob Appelbaum: [Noisebridge-discuss] Merry Certmas! CN=*\x00thoughtcrime.noisebridge.net
- [25] Tim Jones: [Full-disclosure] null-prefix certificate for paypal
- [26] Ben Laurie: Another Protocol Bites The Dust
- [27] Martin Rex: [TLS] MITM attack on delayed TLS-client auth through renegotiation
- [28] Thierry Zoller: TLS / SSLv3 renegotiation vulnerability explained
- [29] Anil Kurmus: TLS renegotiation vulnerability (CVE-2009-3555) - definitely not a full blown MITM, yet more than just a simple CSRF
- [30] RFC 5746 - Transport Layer Security (TLS) Renegotiation Indication Extension
- [31] Firesheep
- [32] Carsten Eilers: Firesheep fängt ungeschützte Cookies
- [33] Billy Bob Brumley, Nicola Tuveri: Remote Timing Attacks are Still Practical
- [34] US-CERT: Vulnerability Note VU#536044 - OpenSSL leaks ECDSA private key through a remote timing attack
- [35] THC-SSL-DOS
- [36] Eric Rescorla: SSL/TLS and Computational DoS
- [37] Vincent Bernat: SSL computational DoS mitigation
- [38] Carsten Eilers: RSA und die schwachen Schlüssel, Teil 2: Die Schlüssel
- [39] Carsten Eilers: RSA und die schwachen Schlüssel, Teil 3: Die Gefahren
- [40] Qualys SSL Labs SSL Server Test
- [41] SSL/TLS Deployment Best Practices (PDF)
- [42] Carsten Eilers: SSL-Angriff mit Folgen
- [43] Carsten Eilers: Falsche Zertifikate für Google und andere - ist SSL tot?
- [44] Carsten Eilers: Vertrauensfragen
- [45] VASCO Announces Bankruptcy Filing by DigiNotar B.V.
- [46] Carsten Eilers: SSL: Die CAs sägen am eigenen Ast
- [47] Carsten Eilers: Man-in-the-Middle-Angriffe auf HTTPS
- [48] Carsten Eilers: Alternativen zum SSL-CA-Zertifizierungssystem
- [49] Adam Langley, Ben Laurie: Certificate Authority Transparency and Auditability
- [50] Adam Langley: Certificate Transparency
- [51] draft-evans-palmer-key-pinning-00: Public Key Pinning Extension for HTTP
Sicher durch Windows 8
AppContainer, Windows.Security-Namespace und Mitigations im Überblick
Im
windows.developer Magazin 7.2012
ist ein Artikel über die Sicherheitsrelevanten Neuerungen von WinRT
erschienen.
Links
HTML5, aber sicher!
HTML5-Angriffe verhindern: Den neuen Webstandard sicher einsetzen
Im
PHP Magazin 4.2012
ist der zweite Teil eines zweiteiligen Artikels zur Sicherheit von HTML5
erschienen. In dieser Folge geht es um die Abwehr von Angriffen und
allgemein dem sicheren Einsatz von HTML5.
Links
CAINE, DEFT, REMnux, FSL & Co.
Teil 2: Linux-Live-CDs zur forensischen Untersuchung und Malware-Analyse
Im
Entwickler Magazin 3.2012
ist der zweite Teil des zweiteiligen Artikels über Linux-Live-CDs mit
Sicherheitsbezug erschienen. Vorgestellt werden CDs
- zur forensischen Untersuchung (CAINE (Computer Aided INvestigative
Environment) und DEFT Linux),
- zur Malware-Analyse (REMnux und Fedora Security Lab),
- als Testumgebung für mobile Geräte (MobiSec Live
Environment),
- als Tool-Sammlung (Network Security Toolkit (NST)),
- als Firewalls (Devil-Linux und Zeroshell) und
- zum Schutz der Privatsphäre (Ubuntu Privacy Remix und Tails).
Links
Die dunkle Seite des neuen Webstandards
HTML5 bringt neue Möglichkeiten – für Webentwickler und für Angreifer
Im
PHP Magazin 3.2012
ist der erste Teil eines zweiteiligen Artikels zur Sicherheit von HTML5
erschienen, in dem sich alles um mögliche Angriffe über und auf
HTML5-Features dreht.
Der Text wurde auch auf der Website des PHP Magazins
veröffentlicht.
Leider haben sich im Verlag ein paar Fehler in den Text eingeschlichen.
Korrekturen finden Sie
hier.
Links
- Gareth Heyes: HTML5 XSS
Gareth Heyes: HTML5 NEW XSS VECTORS
Gareth Heyes: HTML scriptless attacks
Thread im sla.ckers.org-Forum
- XSS (Cross Site Scripting) Cheat Sheet
- HTML5 Security Cheatsheet
auf Google Project Hosting
HTML5 Security Cheatsheet
- Carsten Eilers: Drive-by-Infektionen - Gefahren drohen überall
- Browser Exploitation Framework (BeEF)
- Artur Janc: Rootkits in your Web application
- About Security #133: XSS-Angriffe (3): JavaScript Ping & Co.
About Security #134: XSS-Angriffe (4): JavaScript Portscan
About Security #135: XSS-Angriffe (5): JavaScript Portscan vorbereiten
- Attack and Defense Labs: Port Scanning with HTML5 and JS-Recon
Attack and Defense Labs: JS-Recon
- Carsten Eilers: Clickjacking - Angriffe auf Seiten ohne Schwachstellen
- Carsten Eilers: Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
Carsten Eilers: Clickjacking - "Likejacking" unter die Haube geguckt
- Carsten Eilers: Clickjacking - Gute und Schlechte Nachrichten
- Paul Stone: Next Generation Clickjacking
(Whitepaper)
- Paul Stone: Clickjacking Tool
- Rosario Valotta: UI redressing attacks
Rosario Valotta: CookieJacking
Präsentation von der "Hack in the Box"-Konferenz (PDF)
Rosario Valotta: CookieJacking FAQ
Carsten Eilers: Cookiejacking - Keksdiebe im Internet Explorer
- Carsten Eilers: Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe
Microsoft Security Development Lifecycle
So sorgt Microsoft für sichere Programme
Im
windows.developer Magazin 4.2012
ist ein Artikel über Microsofts Security Development Lifecycle
erschienen.
Links
28C3: Eine Konferenz, viele neue Angriffe
Neues rund um die Web Security
Im
Entwickler Magazin 2.2012
ist ein Artikel über auf dem 28. Chaos Communication Congress (28C3)
gehaltene Vorträge zum Thema "Web Security" erschienen. Der Schwerpunkt
liegt auf den sog. "HASH-DOS"-Angriffen.
Der Artikel wurde auch auf der Website des PHP Magazins
veröffentlicht.
Links
Angreifern ein Schnippchen schlagen
Microsofts Störfeuer gegen die Ausnutzung von Schwachstellen
Im
dot.Net Magazin 3.2012
ist ein Artikel über die sog. "Mitigations" erschienen -
Maßnahmen, die die Ausnutzung von Schwachstellen, insbesondere
Pufferüberläufen, wenn schon nicht verhindern, so doch zumindest
erschweren.
Links
Sicherheit in sieben Schritten
Ein SDL für PHP-Anwendungen
Im
PHP Magazin 2.2012
ist ein Artikel zu sicheren Entwicklung in PHP erschienen, in dem ich einen
Security Development Lifecycle für PHP-Anwendungen vorschlage.
Der Artikel wurde auch auf der Website des PHP Magazins
veröffentlicht.
Links
OAuth in der Praxis
Wie Sie OAuth zur Autorisierung verwenden
Im
Entwickler Magazin 1.2012
ist der zweite Teil eines zweiteiligen Artikels zum OAuth-Protokoll
erschienen. Thema dieses Teils ist der praktische Einsatz des Protokolls
am Beispiel von PHP.
Der Artikel wurde auch auf der Website des Entwickler Magazins
veröffentlicht.
Links
Das Gästebuch, bitte!
Aber sicher!
Im
PHP Magazin 1.2012
ist ein Workshop zur sicheren Entwicklung einer Webanwendung am Beispiel
eines Gästebuch-Skripts erschienen.
Links