Einschränkung der Auswahl
Alle Artikel aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2008/2009
oder nur Artikel des
• Entwickler Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2008-2010
alle (lang!)
• Mobile Technology aus
2019
2016
2015
2014
2012/2013
alle (lang!)
• PHP Magazin / PHP User aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2009/2010
alle (lang!)
• windows.developer / dot.Net Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2008-2011
alle (lang!)
• oder der anderen Magazine
Pixel Perfect
Wie die Grafikfunktionen von HTML5 Ihre Sicherheit und Privatsphäre gefährden
Im
PHP Magazin 6.2014
ist ein Artikel über die Sicherheit der Grafikfunktionen von HTML5
erschienen. Mit denen lässt sich die Same Origin Policy unterlaufen, und
durch Canvas Fingerprinting wird die Privatsphäre gefährdet.
Links
- [1] Carsten Eilers: "Die dunkle Seite des neuen Webstandards"; PHP Magazin 3.2012
- [2] Carsten Eilers: "HTML5, aber sicher!"; PHP Magazin 4.2012
- [3] Paul Stone, Black Hat USA 2013: "Pixel Perfect Timing Attacks with HTML5"
- [4] W3C: "Timing control for script-based animations", W3C Candidate Recommendation 31 October 2013
- [5] W3C: "Web Style Sheets - CSS tips & tricks: Text shadows"
- [6] W3C: "Filter Effects Module Level 1"
- [7] W3C: "Scalable Vector Graphics (SVG) 1.1 (Second Edition)" - "15 Filter Effects"
- [8] Context Information Security: "WebGL - A New Dimension for Browser Exploitation"
- [9] Robert Kotcher, Yutong Pei, Pranjal Jumde: "Cross-Origin Pixel Stealing: Timing Attacks Using CSS Filters"
- [10] Carsten Eilers: "Clickjacking-Angriffe verhindern - der aktuelle Stand der Dinge"
- [11] Keaton Mowery, Hovav Shacham: "Pixel Perfect: Fingerprinting Canvas in HTML5"
- [12] Gunes Acar, Christian Eubank, Steven Englehardt, Marc Juarez, Arvind Narayanan, Claudia Diaz: "The Web never forgets: Persistent tracking mechanisms in the wild"
- [13] Valentin Vasilyev: Valve/fingerprintjs
- [14] Valentin Vasilyev: "Anonymous Browser Fingerprinting"
- [15] Valentin Vasilyev: Valve/fingerprintjs / fingerprint.js
Heute aufgezeichnet – morgen entschlüsselt?
Wie Perfect Forward Secrecy vor der Entschlüsselung gehorteter Daten schützt
Im
PHP Magazin 5.2014
ist ein Artikel über SSL/TLS und die Sicherung der Kommunikation vor
nachträglicher Entschlüsselung durch Perfect Forward Secrecy
erschienen. Neben den NSA-Enthüllungen hat auch die
Heartbleed-Schwachstelle gezeigt, wie wichtig dieser Schutz ist. Perfect
Forward Secrecy verhindert, dass eine heute aufgezeichnete
SSL-Kommunikation in der Zukunft entschlüsselt werden kann, weil das
SSL-Zertifikat und damit der verwendete private Schlüssel
ausgespäht wurde.
Links
- [1] OpenSSL Security Advisory [07 Apr 2014] - TLS heartbeat read overrun (CVE-2014-0160)
- [2] The Heartbleed Bug
- [3] NCSC-FI Advisory on OpenSSL
- [4] RFC 6520 - Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension
- [5] xkcd: Heartbleed Explanation
- [6] Theo de Raadt, Newsgroup gmane.os.openbsd.misc: "Re: FYA: http://heartbleed.com/"
- [7] "tedu": "heartbleed vs malloc.conf"
- [8] Tomas Rzepka, @1njected, auf Twitter: "We can extract the private key successfully on FreeBSD after restarting apache and making the first request with ssltest.py"
- [9] Nick Sullivan, CloudFlare Blog: "The Results of the CloudFlare Challenge"
- [10] Nick Sullivan, CloudFlare Blog: "Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?"
- [11] The Heartbleed Challenge
(Achtung: Das Zertifikat dieser Seite wurde nach dem erfolgreichen
Ausspähen des privaten Schlüssels zurück gezogen, so dass die Browser
nun einen Fehler melden oder den Aufruf der Seite komplett
blockieren)
- [12] Fedor Indutny: "Cracking Cloudflare's heartbleed challenge"
- [13] indutny/heartbleed auf GitHub: "Extracting server private key using Heartbleed OpenSSL vulnerability."
- [14] Willem Pinckaers, Lekkertech: Analyse eines Patches von Akamai
- [15] Andy Ellis, Akamai: "Heartbleed Update (v3)"
- [16] Dan Goodin, Ars Technica: "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style"
- [17] Robert Graham, Errata Security: "What the heartbleed bug looks like on the wire"
- [18] Daniel Wesemann, InfoSec Handlers Diary Blog: "Finding the bleeders"
- [19] Nicole Perlroth, New York Times Bits: "Study Finds No Evidence of Heartbleed Attacks Before the Bug Was Exposed"
- [20] Peter Eckersley, Electronic Frontier Foundation: "Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?"
- [21] Carsten Eilers: "Neues zum Heartbleed Bug in OpenSSL"
- [22] Carsten Eilers: "Neues rund um die Heartbleed-Schwachstelle"
- [23] Michael Riley, Blomberg: "NSA Said to Exploit Heartbleed Bug for Intelligence for Years"
- [24] ODNI Public Affairs Office, IC ON THE RECORD: "Statement on Bloomberg News story that NSA knew about the "Heartbleed bug" flaw and regularly used it to gather critical intelligence"
- [25] Carsten Eilers: "Nutzt die NSA den Heartbleed Bug seit 2 Jahren?"
- [26] Carsten Eilers: "Quo vadis, SSL? - Wie sicher sind HTTPS-Verbindungen noch?"; Entwickler Magazin 4.2012
- [27] Carsten Eilers: "Man-in-the-Middle-Angriffe auf HTTPS"
- [28] Whitfield Diffie, Martin E. Hellman: "New Directions in Cryptography"
(PDF)
- [29] CNRS (Centre national de la recherche scientique): "New algorithm shakes up cryptography"
- [30] Razvan Barbulescu, Pierrick Gaudry, Antoine Joux, Emmanuel Thomé: "A quasi-polynomial algorithm for discrete logarithm in finite fields of small characteristic"
(PDF)
- [31] RFC 6101 - The Secure Sockets Layer (SSL) Protocol Version 3.0
- [32] RFC 5246 - The Transport Layer Security (TLS) Protocol Version 1.2
- [33] Vincent Bernat: "SSL/TLS & Perfect Forward Secrecy"
- [34] Ivan Ristic, Qualys Blog: "Configuring Apache, Nginx, and OpenSSL for Forward Secrecy"
- [35] Ivan Ristic, Qualys Blog: "SSL Labs: Deploying Forward Secrecy"
- [36] Robert Duncan, Netcraft: "SSL: Intercepted today, decrypted tomorrow"
- [37] SSL Server Test
- [38] Adam Langley, Google Online Security Blog: "Protecting data for the long term with forward secrecy"
- [39] Adam Langley, ImperialViolet: "Forward secrecy for Google HTTPS"
Angriffsziel UI
UI-Redressing aka Clickjacking
Im
PHP Magazin 4.2014
ist ein Artikel über das auch als UI-Redressing bezeichnete
Clickjacking erschienen. Seit dessen Entdeckung hat sich da einiges getan.
Links
- [1] Carsten Eilers: "Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [2] Carsten Eilers: "Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking""
- [3] RFC 7034 - HTTP Header Field X-Frame-Options
- [4] Bugzilla@Mozilla Bug 725490:X-Frame-Options: SAMEORIGIN largely useless as implemented
- [5] W3C: Content Security Policy 1.0
- [6] W3C: Content Security Policy 1.1
- [7] W3C: User Interface Security Directives for Content Security Policy
- [8] Mozilla Security Blog: "Content Security Policy 1.0 Lands In Firefox"
- [9] Robert Hansen, Jeremiah Grossman: "Clickjacking"
- [10] Guy Aharonovsky: "Malicious camera spying using ClickJacking"
- [11] Feross Aboukhadijeh: "HOW TO: Spy on the Webcams of Your Website Visitors"
- [12] Ahamed Nafeez: "Adobe Flash Webcam clickjacking - The security fix that wasn't."
- [13] Jitendra Jaiswal, Hacking Concepts: "Click-jacking or UI Redressing"
- [14] Paul Stone, Black Hat Europe 2010: "Next Generation Clickjacking"
- [15] Paul Stone, Context Security: "Clickjacking - Black Hat 2010"
- [16] Paul Stone, Context Security: Clickjacking Tool
- [17] Rosario Valotta, Hack in the Box Amsterdam 2011: "CookieJacking"
(Paper dazu als PDF)
- [18] Rosario Valotta: Cookiejacking FAQ
- [19] Jim Finkle, Reuters: "Microsoft latest security risk: "Cookiejacking""
- [20] Eric Y. Chen, Sergey Gorbaty, Astha Singhal, Collin Jackson; IEEE Symposium on Security and Privacy 2012: "Self-Exfiltration: The Dangers of Browser-Enforced Information Flow Control"
(PDF auf archive.org)
- [21] Luca De Fulgentis, Nibble Security: "UI Redressing Mayhem: Identification Attacks and UI Redressing on Google Chrome"
- [22] Devdatta Akhawe, Black Hat USA 2013: "Clickjacking revisited: A perceptual View of UI Security"
- [23] YouTube-Video: Black Hat USA 2013 - Clickjacking Revisited: A Perceptual View of UI Security
- [24] Carsten Eilers: "Zeus - Trojaner, Botnet, Schädlingsbaukasten, ..."
- [25] Jennifer Gumban, Trend Micro Security Intelligence Blog: "Sunsets and Cats Can Be Hazardous to Your Online Bank Account"
Doppelt hält besser
Einloggen mit zwei Faktoren ist deutlich sicherer
Im
PHP Magazin 3.2014
ist ein Artikel über die Zwei-Faktor-Authentifizierung erschienen.
Die Kombination aus Benutzername und Passwort reichte lange aus, um einen
Benutzer sicher zu identifizieren. Inzwischen gelangen diese Zugangsdaten
immer öfter in falsche Hände. Also muss ein zusätzlicher Faktor die
Authentifizierung absichern, wenn man wirklich auf Nummer Sicher gehen
will.
Links
Angriffsziel Webbrowser
Wie sieht es derzeit mit der Sicherheit von HTML5 und JavaScript aus?
Im
PHP Magazin 2.2014
ist ein Artikel über den aktuellen Stand der Sicherheit von HTML5 und
JavaScript erschienen. Im PHP Magazin 3 und 4/2012 wurden zuletzt Artikel
über die Sicherheit von HTML5 veröffentlicht. Da drängt
sich doch die Frage auf, wie es denn aktuell um die Sicherheit von HTML5
und JavaScript bestellt ist. Gibt es neue Angriffe? "In the wild" zum
Glück nicht, in der Theorie dafür schon.
Links
- [1] Carsten Eilers: "HTML5 - Die dunkle Seite des neuen Webstandards", PHP Magazin 3.2012
- [2] Carsten Eilers: "HTML5, aber sicher!", PHP Magazin 4.2012
- [3] Carsten Eilers: "Likejacking - Facebook im Visier der Cyberkriminellen"
- [4] Robert McArdle, TrendLabs Security Intelligence Blog: "HTML5 – The Ugly"
- [5] Jeremiah Grossman, Matt Johansen; Black Hat USA 2013: "Million Browser Botnet"
- [6] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
- [7] Marc Blanchou, Black Hat Europe 2013: "Harnessing GP2Us Building Better Browser Based Botnets"
- [8] Chema Alonso, Manu "The Sur"; Black Hat USA 2012: "Owning Bad Guys {& Mafia} with JavaScript Botnets"
- [9] BeEF - The Browser Exploitation Framework Project
- [10] Paul Stone, Black Hat USA 2013: "Pixel Perfect Timing Attacks with HTML5"
- [11] Shreeraj Shah, Black Hat Abu Dhabi 2012: "HTML5 Top 10 Threats - Stealth Attacks and Silent Exploits"
- [12] HTML5 Security Cheatsheet
- [13] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 1"
- [14] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 2"
- [15] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 3"
- [16] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 4"
- [17] Amit Klein: "DOM Based Cross Site Scripting or XSS of the Third Kind"
- [18] Carsten Eilers: "HTML5 Security - Gefährliche WebSockets"
- [19] Carsten Eilers: "Clickjacking - The next Generation"
- [20] Carsten Eilers: "Clickjacking - Drag&Drop-Angriffe und weitere Neuigkeiten"
- [21] Carsten Eilers: "Cookiejacking - Keksdiebe im Internet Explorer"
- [22] Sergey Shekyan, Vaagn Toukharian; Black Hat USA 2012: "Hacking with WebSockets"
- [23] Sergey Shekyan, Qualys Security Labs Blog: "The Tiny Mighty Waldo"
- [24] Rich Lundeen, Black Hat Europe 2013: "The Deputies are Still Confused"
- [25] Norm Hardy: "The Confused Deputy"
- [26] Steve Ocepek, Ryan Linn; Black Hat USA 2012: "Hookin’ Ain’t Easy - BeEF Injection with MITM"
- [27] Artur Janc, 28C3: "Rootkits in your Web application"
- [28] Carsten Eilers: "HTML5 Security - SVG und Resident XSS"
- [29] Phil Purviance, Joshua Brashars; Black Hat USA 2012: "Blended Threats and JavaScript: A Plan for Permanent Network Compromise"
- [30] Nishant Das Patnaik, Sarathi Sabyasachi Sahoo, Black Hat USA 2013: "JavaScript static security analysis made easy with JSPrime"
- [31] JSPrime
- [32] Paul Royal, Black Hat Abu Dhabi 2012: "Quantifying Maliciousness in Alexa Top-Ranked Domains"
Angriffe über Logikfehler
Logikfehler sind mitunter nur schwer zu entdecken, besser ist, sie gleich zu vermeiden
Im
PHP Magazin 1.2014
ist ein Artikel über Logikfehler in Webanwendungen erschienen.
Vorgestellt werden einige typische Logikfehler sowie Möglichkeiten, deren
Entstehung zu verhindern.
Links