Einschränkung der Auswahl
Alle Artikel aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2008/2009
oder nur Artikel des
• Entwickler Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2008-2010
alle (lang!)
• Mobile Technology aus
2019
2016
2015
2014
2012/2013
alle (lang!)
• PHP Magazin / PHP User aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2009/2010
alle (lang!)
• windows.developer / dot.Net Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2008-2011
alle (lang!)
• oder der anderen Magazine
Der Blick ins Wohnzimmer
Was es zur Sicherheit der Kinect zu sagen gibt
Im
windows.developer 11.2013
ist ein Artikel über die Sicherheit der Kinect erschienen.
Vorgestellt werden theoretische und praktische Angriffe, außerdem der
Einsatz der Kinect im Dienste der Sicherheit. Wobei die Angriffe kaum eine
wirkliche Gefahr darstellen, die Anwendungen der Kinect als
Sicherheitssystem sind dagegen recht interessant.
Links
- [1] T.C. Sottek, The Verge: "The Xbox One will always be listening to you, in your own home (update)"
- [2] Nicole Perlroth, Jeff Larson, Scott Shane; New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
- [3] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
- [4] Glenn Greenwald, Ewen MacAskill, Laura Poitras, Spencer Ackerman, Dominic Rushe; The Guardian: "Microsoft handed the NSA access to encrypted messages"
- [5] Brad Smith, General Counsel & Executive Vice President, Legal & Corporate Affairs, Microsoft; Microsoft on the Issues Blog: "Responding to government legal demands for customer data"
- [6] Sean Hollister; The Verge: "Could the NSA use Microsoft's Xbox One to spy on you?"
- [7] Nate Anderson, Ars Technica: "CSI: Xbox—how cops perform Xbox Live stakeouts and console searches"
- [8] Lachlan Urquhart, Sophos Naked Security: "US Police use games consoles in crime investigations"
- [9] Lisa Vaas, Sophos Naked Security: "US government learning how to hack video game consoles"
- [10] Spiegel online: "Datenschützer: Schaar nennt Xbox One "Überwachungsgerät""
- [11] Häufig gestellt Fragen zu Datenschutz und Onlinesicherheit bei Kinect
- [12] United States Patent Application: 0120278904: "Content distribution regulation by viewing user"
- [13] United States Patent Application: 0130125161: "Awards and achievements across tv ecosystem"
- [14] Jeremy Bailenson, Slate Magazine: "Your Kinect Is Watching You"
- [15] Carsten Eilers: "Flame? - Kein Grund zur Panik!"
- [16] Carsten Eilers: "Gap of War", windows.developer 7.2013
- [17] AlexP: "Windows Kinect Driver/SDK - Xbox NUI Audio, NUI Camera, NUI Motor and Accelerometer"
- [18] YouTube: MalCon 2011, Shantanu Gawde - Malware utilizing Xbox Kinect
- [19] Mohit Kumar, The Hacker News: "Malware for xbox Kinect created by 15 years old Indian researchers"
- [20] KinectASploit
- [21] KinectASploitv2
- [22] Jennifer Steele, Microsoft in Public Safety & National Security Blog: "Catching criminals with Kinect"
- [23] Joan Liu, Information Systems Officer, Ministry of Home Affairs, Singapore: "Leveraging Kinect For Homeland Security Applications"
(PDF)
- [24] Christoph Konetschny, Materialsgate: "Sicherheit: Kinect-Sensor entschärft gefährliche Arbeitsabläufe"
- [25] Etronika NUI Banking
- [26] Kinectonitor
- [27] Abhijit Jana: "Home Security System Using Kinect, Azure, Windows Phone and Windows 8"
Passwörter speichern, aber richtig!
Warum man Passwörter hashen muss und wie man das richtig macht
Im
PHP Magazin 6.2013
ist ein Artikel über die sichere Speicherung von Passwörtern
erschienen. Vorgestellt werden die verschiedenen Möglichkeiten,
Passwörter zu speichern, sowie Angriffe darauf. Das Fazit des
Artikels: Für PHP ist das mit PHP 5.5 eingeführte
Passwort-Hashing-API die sicherste Lösung.
Links
Embedded (In)security
Wie sieht es mit der Sicherheit von Embedded Devices aus?
Im
windows.developer 10.2013
ist ein Artikel über die Sicherheit von Embedded Devices erschienen.
Vorgestellt werden theoretische und praktische Angriffe auf verschiedene
Embedded Devices wie zum Beispiel
- die Steuerrechner von Druckern und Multifunktionsgeräten,
- allgemein die Webserver in Embedded Devices sowie
- Insulinpumpen und andere Medizintechnik im und am Menschen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Naturally Secure UIs
Neue Oberfläche, neue Angriffe - oder doch nicht?
Im
windows.developer Magazin 9.2013
ist ein Artikel über die Sicherheit von Natural User Interfaces
erschienen. Vorgestellt werden theoretische und praktische Angriffe,
außerdem werden zwei Gerüchte auf ihren Wahrheitsgehalt untersucht.
Links
- [1] Wikiquote:
Blaise Pascal
- [2] Yang Zhang, Peng Xia, Junzhou Luo, Zhen Ling, Benyuan Liu,
Xinwen Fu; SPSM '12 – 2nd ACM workshop on Security and privacy in
smartphones and mobile devices, Oktober 2012, Raleigh, NC, USA:
"Fingerprint attack against touch-enabled devices"
(PDF)
- [3] Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze,
Jonathan M. Smith; WOOT '10 - 4th USENIX Workshop on Offensive
Technologies, August 2010, Washington, DC, USA: "Smudge Attacks on
Smartphone Touch Screens"
(PDF)
- [4] Federico Maggi, Stefano Zanero, Alberto Volpatto; Black Hat Abu Dhabi 2011, Dezember 2011, Abu Dhabi:
"iSnoop: How to Steal Secrets From Touchscreen Devices"
- [5] Federico Maggi, Alberto Volpatto, Simone Gasparini, Giacomo
Boracchi, Stefano Zanero; 7th International Conference Information
Assurance and Security (IEEE IAS), Dezember 2011, Malacca, Malaysia: "A Fast Eavesdropping Attack Against Touchscreens"
(PDF)
- [6] Haroon Meer, thinkst:
"On-screen Keyboards Considered Harmful"
- [7] Carsten Eilers:
"Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [8] Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein, Dan Boneh;
WOOT '10 - 4th USENIX Workshop on Offensive Technologies, August 2010,
Washington, DC, USA: "Framing Attacks on Smart Phones and Dumb
Routers: Tap-jacking and Geo-localization Attacks"
(PDF)
- [9] Yinfeng Qiu, Trend Micro:
"Tapjacking: An Untapped Threat in Android"
- [10] ESET Security:
"More than 90% of passwords are vulnerable to hacks, warns Deloitte – even "strong” ones"
Sichere Entwicklung für iOS
So schützen Sie Ihre App und Ihre Daten
Im Magazin
Mobile Technology 3.2013
ist ein Artikel über die sichere Entwicklung für iOS erschienen.
Im Grunde dreht sich der Artikel um zwei Fragestellungen: Wie können Sie
verhindern, dass Ihre App zum Einfallstor ins iOS-Gerät wird, und wie
können Sie die Daten Ihrer App vor unbefugten Zugriffen schützen?
Links
PHP-Sicherheit von PHP 4.x bis PHP 5.5
Wie hat sich die Sicherheit von PHP im Laufe der Zeit verbessert?
Im
PHP Magazin 5.2013
ist ein Artikel über die Sicherheit von PHP im Laufe der Zeit
erschienen. Zwei herausragende Entwicklungen: In PHP 5.5 wurde ein API zum
Berechnen von Passwort-Hashes eingeführt und das klassische MySQL-API
wurde als "veraltet" erklärt. Was bisher immer dazu führte, dass
die veraltete Technologie in der nächsten Version entfernt wurde. Was
ich sehr begrüße, da das API den besten Schutz vor
SQL-Injection-Angriffen, die Verwendung von Prepared Statements mit
parametriesierten Aufrufen, nicht unterstützt.
Links
Google Hacking
Wie man mit Suchmaschinen Dinge findet, die nicht gefunden werden sollen
Im
Entwickler Magazin 4.2013
ist ein Artikel über das "Google Hacking" erschienen: Die Nutzung von
Google und anderen Suchmaschinen zur Suche nach allem Möglichen, das
eigentlich nicht gefunden werden sollte: Webanwendungen mit
Schwachstellen, Schwachstellen in Webanwendungen, Hardware, Software, ...
Links
Git und die Sicherheit
Was gibt es zum Thema Sicherheit bei GitHub zu beachten?
Im
windows.developer Magazin 7.2013
ist ein Artikel über die Sicherheit von Git und insbesondere GitHub
erschienen. Es handelt sich um eine erweiterte und aktualisierte Version
des Artikels aus dem PHP Magazin 4.2013. An einer Stelle wurde der
gedruckte Artikel aber bereits vom Internet überholt: Die Quelle [4] ist
nicht mehr online. Dabei handelt es sich um Egor Homakovs eigenes als
Proof of Concept genutztes Projekt.
Links
- [1] Tom Preston-Werner (mojombo), GitHub-Blog: "Public Key Security Vulnerability and Mitigation"
- [2] Michael Hartl's Tech Blog: "Mass assignment in Rails applications"
- [3] Tom Preston-Werner (mojombo), GitHub-Blog: "Responsible Disclosure Policy"
- [4] Egor Homakov:
"Commit that changed my life."
(Projekt ist nicht mehr online)
- [5] rails/rails Issue #5228: "Mass assignment vulnerability - how to force dev. define attr_accesible?"
- [6] Ruby On Rails Security Guide - 6 Mass Assignment
- [7] rails/rails Commit 06a3a8a: "Whitelist all attribute assignment by default."
- [8] Egor Homakov: "How-To"
- [9] homakov/ClientSit Issue #3: "Hello, I m Bender"
- [10] rails/rails Issue #5239: "I’m Bender from Future. [TITLE FOR SALE]"
- [11] rails/rails Commit b839657: "wow how come I commit in master? O_o"
- [12] Kommentar unter [11]
- [13] GitHub Help: "Responsible Disclosure of Security Vulnerabilities"
- [14] Tim Pease (TwP), GitHub-Blog: "A Whole New Code Search"
- [15] Paul Ducklin, Sophos: "Do programmers understand the meaning of PRIVATE?"
- [16] Michael Mimoso, threatpost: "GitHub Search Down After Some Credentials and Crypto Keys Exposed"
- [17] RaiderSec: "Automatically Enumerating Google API Keys from Github Search"
- [18] Melissa Elliott, @0xabad1dea: "Oh geez just found an ssh password to a production server ..."
- [19] Brian Doll (briandoll), GitHub-Blog: "Secrets in the code"
- [20] GitHub Help: "Remove sensitive data"
- [21] Dan Palmer: "GitHub's Security Vulnerabilities"
- [22] Carsten Eilers: "Websecurity: Cookie Tossing"
- [23] Egor Homakov: "Hacking Github with Webkit"
- [24] Ryan Tomayko (rtomayko), GitHub Blog: "New GitHub Pages domain: github.io"
- [25] Chris Roussel: "[Full-disclosure] GitHub Login Cookie Failure" ff
- [26] Secunia Advisories für Git 1.x
- [27] GitHub Help: "GitHub Security"
- [28] Wynn Netherland (pengwynn), GitHub Blog: "Easier builds and deployments using Git over HTTPS and OAuth"
- [29] Joshua Peek (josh), GutHub Blog: "Content Security Policy"
- [30] W3C: "Content Securityy Policy 1.0"
- [31] W3C: "Content Securityy Policy 1.1"
Gap of War
Stuxnet, Duqu, Flame, Gauss und miniFlame im Überblick
Im
windows.developer Magazin 7.2013
ist ein Artikel zu Stuxnet und Co. erschienen - den ersten Waffen im
Cyberwar der USA und Israels gegen den Irak und andere Länder.
Update 27. Dezember 2013
Der Artikel ist jetzt auch online
auf entwickler.de
verfügbar!
Ende des Updates
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Git und die Sicherheit
Was gibt es zum Thema Sicherheit bei GitHub zu beachten?
Im
PHP Magazin 4.2013
ist ein Artikel über die Sicherheit von Git und insbesondere GitHub erschienen.
Links
- [1] Tom Preston-Werner (mojombo), GitHub-Blog: "Public Key Security Vulnerability and Mitigation"
- [2] Michael Hartl's Tech Blog: "Mass assignment in Rails applications"
- [3] Tom Preston-Werner (mojombo), GitHub-Blog: "Responsible Disclosure Policy"
- [4] Egor Homakov: "Commit that changed my life."
- [5] rails/rails Issue #5228: "Mass assignment vulnerability - how to force dev. define attr_accesible?"
- [6] Ruby On Rails Security Guide - 6 Mass Assignment
- [7] rails/rails Commit 06a3a8a: "Whitelist all attribute assignment by default."
- [8] Egor Homakov: "How-To"
- [9] homakov/ClientSit Issue #3: "Hello, I m Bender"
- [10] rails/rails Issue #5239: "I’m Bender from Future. [TITLE FOR SALE]"
- [11] rails/rails Commit b839657: "wow how come I commit in master? O_o"
- [12] Kommentar unter [11]
- [13] GitHub Help: "Responsible Disclosure of Security Vulnerabilities"
- [14] Tim Pease (TwP), GitHub-Blog: "A Whole New Code Search"
- [15] Paul Ducklin, Sophos: "Do programmers understand the meaning of PRIVATE?"
- [16] Michael Mimoso, threatpost: "GitHub Search Down After Some Credentials and Crypto Keys Exposed"
- [17] RaiderSec: "Automatically Enumerating Google API Keys from Github Search"
- [18] Melissa Elliott, @0xabad1dea: "Oh geez just found an ssh password to a production server ..."
- [19] Brian Doll (briandoll), GitHub-Blog: "Secrets in the code"
- [20] GitHub Help: "Remove sensitive data"
- [21] Dan Palmer: "GitHub's Security Vulnerabilities"
- [22] Carsten Eilers: "Websecurity: Cookie Tossing"
- [23] Egor Homakov: "Hacking Github with Webkit"
- [24] Ryan Tomayko (rtomayko), GitHub Blog: "New GitHub Pages domain: github.io"
- [25] Chris Roussel: "[Full-disclosure] GitHub Login Cookie Failure" ff
- [26] Secunia Advisories für Git 1.x
- [27] GitHub Help: "GitHub Security"
- [28] Wynn Netherland (pengwynn), GitHub Blog: "Easier builds and deployments using Git over HTTPS and OAuth"
Web-API-Entwickler sind Webentwickler
Sichere Authentifizierung und Autorisierung – und da war doch noch was?
Im
windows.developer Magazin 5.2013
ist ein Artikel über die Sicherheit von Web-APIs erschienen.
Vorgestellt werden die sichere Authentifizierung und Autorisierung,
außerdem gibt es ein paar Hinweise darauf, was sonst noch zu beachten
ist.
Links
Unsicherer Serial Bus
Angriffe über USB
Im
Entwickler Magazin 3.2013
ist ein Artikel über Angriffe über den USB-Port erschienen.
Vorgestellt werden unter anderem Angriffe über getarnte USB Human Device
Interfaces wie USB Rubber Ducky und dem Social Engineering Toolkit.
Links
- [1] Carsten Eilers: "Würmer - Schadsoftware, die sich selbst verbreitet"
- [2] Carsten Eilers: "Conficker, Stuxnet, "Here you have" - die aktuellen Würmer"
- [3] Carsten Eilers: "Anatomie eines Cyberwars", Entwickler Magazin 5.2012
- [4] Damian Hasse, Microsoft Security Research and Defense Blog: "AutoRun changes in Windows 7"
- [5] Joanna Rutkowska: "Why do I miss Microsoft BitLocker?"
- [6] Joanna Rutkowska: "Evil Maid goes after TrueCrypt!"
- [7] Carsten Eilers: "Flames Sammelwut, C&C-Server, Selbstmord-Modus und Verbindung zu Stuxnet"
- [8] Carsten Eilers: "Gauss - Ein staatlicher Onlinebanking-Trojaner?"
- [9] USB Human Interface Device
- [10] USB Rubber Ducky Wiki
- [11] USB Switchblade
- [12] USB Hacksaw
- [13] Ducky Script
- [14] USB Rubber Ducky Payloads
- [15] USB Rubber Ducky Payload "hello world"
- [16] Duck Script Encode online
- [17] USB Rubber Ducky Payload "Payload powershell wget + execute"
- [18] Social Engineering Framework
- [19] Social Engineering Toolkit:
1,
2,
3
- [20] Teensy USB HID Attack Vector
- [21] Teensy
- [22] Teensyduino: Using USB Keyboard with Teensy on the Arduino IDE
- [23] Metasploit
- [24] Nikhil Mittal, Black Hat Abu Dhabi 2011: "Kautilya: Teensy Beyond Shell"
- [25] Netragard's SNOsoft Research Team: "Netragard's Hacker Interface Device (HID)"
- [26] Adrian Crenshaw: "Plug and Prey: Malicious USB Devices"
Sicherheitslücken in HTML5
In der Weave 2.2013
(auf archive.org)
ist ein Artikel über die Sicherheit von HTML5 erschienen.
Vorgestellt werden einige ausgewählte Angriffe sowie die zugehörigen
Schutz- und Gegenmaßnahmen.
Links
Eine offizielle Linkliste gibt es auf der Website des Magazins
(auf archive.org).
Hier meine durchnummerierte Version:
Wie sicher ist das Tablet?
Angriffe auf Tablets in Theorie und Praxis
Im
windows.developer Magazin 4.2013
ist ein Artikel über die Sicherheit von Tablets erschienen.
Vorgestellt werden die bisher bekannten theoretischen und praktischen
Angriffe.
Links
- [1] Carsten Eilers: "Sicher, sicherer, iOS?"; Mobile Technology 4.2012
- [2] Windows 8 app certification requirements (Windows)
- [3] Carsten Eilers: "Kritische Schwachstellen, Schadsoftware - und Apple steckt den Kopf in den Sand"
- [4] Chester Wisniewski, Sophos: "Windows RT "jailbroken", shows its Windows 8 roots"
- [5] clrokr (@clrokr): "Circumventing Windows RT’s Code Integrity Mechanism"
- [6] Netham45: RT Jailbreak Tool
- [7] Paul Ducklin, Sophos: "Windows tablets - easy, one-stop jailbreak now available for everyone. What should Microsoft do? [POLL]"
- [8] Prashant Gupta, McAfee: "Stronger Windows 8 Still Vulnerable Through Apps, Users"
- [9] Prashant Gupta, McAfee: "Windows 8 Metro Brings New Security Risks"
- [10] Federico Maggi, Stefano Zanero und Alberto Volpatto, Black Hat Abu Dhabi 2011: "iSnoop: How to Steal Secrets From Touchscreen Devices"
- [11] Carsten Eilers: "Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [12] Yinfeng Qiu, Trend Micro: "Tapjacking: An Untapped Threat in Android"
- [13] Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein, Dan Boneh; Usenix Workshop on Offensive Technologies (woot) 2010: "Framing Attacks on Smart Phones and Dumb Routers: Tap-jacking and Geo-localization Attacks"
- [14] Marcus Niemietz, German OWASP Day 2012: "UI-Redressing-Angriffe auf Android"
(PDF)
- [15] Marcus Niemietz, Black Hat Abu Dhabi 2012: "UI Redressing Attacks on Android Devices"
Paper dazu: Marcus Niemietz, Jörg Schwenk: "UI Redressing Attacks on Android Devices"
(PDF)
- [16] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
Mac Security – Ein Satz mit X?
Ist Mac OS X wirklich so sicher, wie oft angenommen wird?
Im
Entwickler Magazin 2.2013
ist ein Artikel über die Sicherheit von Mac OS X erschienen.
Der Artikel wurde auch im Rahmen der
Mac Security Week
auf der Website des WebMagazin veröffentlicht:
Links
Die Quellen sind diesmal im Magazin nicht angegeben, stattdessen sind sie
in der Online-Version direkt verlinkt. Eine Linkliste wäre angesichts von
114 Einträgen auch extrem unpraktisch, wovon Sie sich
hier
gerne überzeugen können.
Authentifizierung und Autorisierung
Claims-basierte Authentifizierung und OAuth für externe Apps im Überblick
Im
windows.developer Magazin 3.2013
ist ein Artikel über die Authentifizierung und Autorisierung in
SharePoint 2013 erschienen. Beschrieben werden der Einsatz der
Claims-basierten Authentifizierung und OAuth für externe Apps.
Links
Gefährliche Counter und mehr
Drive-by-Infektionen gefährden Server und Clients
Im
PHP Magazin 2.2013
ist ein Artikel über Drive-by-Infektionen erschienen.
Links
Die Datenbank gehorcht dem Angreifer
Mit ASP.NET führt SQL Injection oft auch zu Drive-by-Infektionen
Im
windows.developer Magazin 2.2013
ist ein Artikel über SQL-Injection-Angriffe auf ASP.NET-Webanwendungen
erschienen.
Links
HTML5 Security, reloaded
Wie sieht es aktuell mit der Sicherheit von HTML5 aus?
Im
Entwickler Magazin 1.2013
ist ein Artikel über aktuelle Entwicklungen im Bereich der Sicherheit
von HTML5 erschienen.
Sehr viel ausführlicher wird das Thema in meinem auf
deutsch
und
englisch
erhältlichen eBook "HTML5 Security" behandelt.
Links