Einschränkung der Auswahl
Alle Artikel aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2008/2009
oder nur Artikel des
• Entwickler Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2008-2010
alle (lang!)
• Mobile Technology aus
2019
2016
2015
2014
2012/2013
alle (lang!)
• PHP Magazin / PHP User aus
2019
2018
2017
2016
2015
2014
2013
2012
2011
2009/2010
alle (lang!)
• windows.developer / dot.Net Magazin aus
2019
2018
2017
2016
2015
2014
2013
2012
2008-2011
alle (lang!)
• oder der anderen Magazine
Der Blick ins Wohnzimmer
Was es zur Sicherheit der Kinect zu sagen gibt
Im
windows.developer 11.2013
ist ein Artikel über die Sicherheit der Kinect erschienen.
Vorgestellt werden theoretische und praktische Angriffe, außerdem der
Einsatz der Kinect im Dienste der Sicherheit. Wobei die Angriffe kaum eine
wirkliche Gefahr darstellen, die Anwendungen der Kinect als
Sicherheitssystem sind dagegen recht interessant.
Links
- [1] T.C. Sottek, The Verge: "The Xbox One will always be listening to you, in your own home (update)"
- [2] Nicole Perlroth, Jeff Larson, Scott Shane; New York Times: "N.S.A. Able to Foil Basic Safeguards of Privacy on Web"
- [3] James Ball, Julian Borger, Glenn Greenwald; The Guardian: "Revealed: how US and UK spy agencies defeat internet privacy and security"
- [4] Glenn Greenwald, Ewen MacAskill, Laura Poitras, Spencer Ackerman, Dominic Rushe; The Guardian: "Microsoft handed the NSA access to encrypted messages"
- [5] Brad Smith, General Counsel & Executive Vice President, Legal & Corporate Affairs, Microsoft; Microsoft on the Issues Blog: "Responding to government legal demands for customer data"
- [6] Sean Hollister; The Verge: "Could the NSA use Microsoft's Xbox One to spy on you?"
- [7] Nate Anderson, Ars Technica: "CSI: Xbox—how cops perform Xbox Live stakeouts and console searches"
- [8] Lachlan Urquhart, Sophos Naked Security: "US Police use games consoles in crime investigations"
- [9] Lisa Vaas, Sophos Naked Security: "US government learning how to hack video game consoles"
- [10] Spiegel online: "Datenschützer: Schaar nennt Xbox One "Überwachungsgerät""
- [11] Häufig gestellt Fragen zu Datenschutz und Onlinesicherheit bei Kinect
- [12] United States Patent Application: 0120278904: "Content distribution regulation by viewing user"
- [13] United States Patent Application: 0130125161: "Awards and achievements across tv ecosystem"
- [14] Jeremy Bailenson, Slate Magazine: "Your Kinect Is Watching You"
- [15] Carsten Eilers: "Flame? - Kein Grund zur Panik!"
- [16] Carsten Eilers: "Gap of War", windows.developer 7.2013
- [17] AlexP: "Windows Kinect Driver/SDK - Xbox NUI Audio, NUI Camera, NUI Motor and Accelerometer"
- [18] YouTube: MalCon 2011, Shantanu Gawde - Malware utilizing Xbox Kinect
- [19] Mohit Kumar, The Hacker News: "Malware for xbox Kinect created by 15 years old Indian researchers"
- [20] KinectASploit
- [21] KinectASploitv2
- [22] Jennifer Steele, Microsoft in Public Safety & National Security Blog: "Catching criminals with Kinect"
- [23] Joan Liu, Information Systems Officer, Ministry of Home Affairs, Singapore: "Leveraging Kinect For Homeland Security Applications"
(PDF)
- [24] Christoph Konetschny, Materialsgate: "Sicherheit: Kinect-Sensor entschärft gefährliche Arbeitsabläufe"
- [25] Etronika NUI Banking
- [26] Kinectonitor
- [27] Abhijit Jana: "Home Security System Using Kinect, Azure, Windows Phone and Windows 8"
Embedded (In)security
Wie sieht es mit der Sicherheit von Embedded Devices aus?
Im
windows.developer 10.2013
ist ein Artikel über die Sicherheit von Embedded Devices erschienen.
Vorgestellt werden theoretische und praktische Angriffe auf verschiedene
Embedded Devices wie zum Beispiel
- die Steuerrechner von Druckern und Multifunktionsgeräten,
- allgemein die Webserver in Embedded Devices sowie
- Insulinpumpen und andere Medizintechnik im und am Menschen.
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Naturally Secure UIs
Neue Oberfläche, neue Angriffe - oder doch nicht?
Im
windows.developer Magazin 9.2013
ist ein Artikel über die Sicherheit von Natural User Interfaces
erschienen. Vorgestellt werden theoretische und praktische Angriffe,
außerdem werden zwei Gerüchte auf ihren Wahrheitsgehalt untersucht.
Links
- [1] Wikiquote:
Blaise Pascal
- [2] Yang Zhang, Peng Xia, Junzhou Luo, Zhen Ling, Benyuan Liu,
Xinwen Fu; SPSM '12 – 2nd ACM workshop on Security and privacy in
smartphones and mobile devices, Oktober 2012, Raleigh, NC, USA:
"Fingerprint attack against touch-enabled devices"
(PDF)
- [3] Adam J. Aviv, Katherine Gibson, Evan Mossop, Matt Blaze,
Jonathan M. Smith; WOOT '10 - 4th USENIX Workshop on Offensive
Technologies, August 2010, Washington, DC, USA: "Smudge Attacks on
Smartphone Touch Screens"
(PDF)
- [4] Federico Maggi, Stefano Zanero, Alberto Volpatto; Black Hat Abu Dhabi 2011, Dezember 2011, Abu Dhabi:
"iSnoop: How to Steal Secrets From Touchscreen Devices"
- [5] Federico Maggi, Alberto Volpatto, Simone Gasparini, Giacomo
Boracchi, Stefano Zanero; 7th International Conference Information
Assurance and Security (IEEE IAS), Dezember 2011, Malacca, Malaysia: "A Fast Eavesdropping Attack Against Touchscreens"
(PDF)
- [6] Haroon Meer, thinkst:
"On-screen Keyboards Considered Harmful"
- [7] Carsten Eilers:
"Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [8] Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein, Dan Boneh;
WOOT '10 - 4th USENIX Workshop on Offensive Technologies, August 2010,
Washington, DC, USA: "Framing Attacks on Smart Phones and Dumb
Routers: Tap-jacking and Geo-localization Attacks"
(PDF)
- [9] Yinfeng Qiu, Trend Micro:
"Tapjacking: An Untapped Threat in Android"
- [10] ESET Security:
"More than 90% of passwords are vulnerable to hacks, warns Deloitte – even "strong” ones"
Git und die Sicherheit
Was gibt es zum Thema Sicherheit bei GitHub zu beachten?
Im
windows.developer Magazin 7.2013
ist ein Artikel über die Sicherheit von Git und insbesondere GitHub
erschienen. Es handelt sich um eine erweiterte und aktualisierte Version
des Artikels aus dem PHP Magazin 4.2013. An einer Stelle wurde der
gedruckte Artikel aber bereits vom Internet überholt: Die Quelle [4] ist
nicht mehr online. Dabei handelt es sich um Egor Homakovs eigenes als
Proof of Concept genutztes Projekt.
Links
- [1] Tom Preston-Werner (mojombo), GitHub-Blog: "Public Key Security Vulnerability and Mitigation"
- [2] Michael Hartl's Tech Blog: "Mass assignment in Rails applications"
- [3] Tom Preston-Werner (mojombo), GitHub-Blog: "Responsible Disclosure Policy"
- [4] Egor Homakov:
"Commit that changed my life."
(Projekt ist nicht mehr online)
- [5] rails/rails Issue #5228: "Mass assignment vulnerability - how to force dev. define attr_accesible?"
- [6] Ruby On Rails Security Guide - 6 Mass Assignment
- [7] rails/rails Commit 06a3a8a: "Whitelist all attribute assignment by default."
- [8] Egor Homakov: "How-To"
- [9] homakov/ClientSit Issue #3: "Hello, I m Bender"
- [10] rails/rails Issue #5239: "I’m Bender from Future. [TITLE FOR SALE]"
- [11] rails/rails Commit b839657: "wow how come I commit in master? O_o"
- [12] Kommentar unter [11]
- [13] GitHub Help: "Responsible Disclosure of Security Vulnerabilities"
- [14] Tim Pease (TwP), GitHub-Blog: "A Whole New Code Search"
- [15] Paul Ducklin, Sophos: "Do programmers understand the meaning of PRIVATE?"
- [16] Michael Mimoso, threatpost: "GitHub Search Down After Some Credentials and Crypto Keys Exposed"
- [17] RaiderSec: "Automatically Enumerating Google API Keys from Github Search"
- [18] Melissa Elliott, @0xabad1dea: "Oh geez just found an ssh password to a production server ..."
- [19] Brian Doll (briandoll), GitHub-Blog: "Secrets in the code"
- [20] GitHub Help: "Remove sensitive data"
- [21] Dan Palmer: "GitHub's Security Vulnerabilities"
- [22] Carsten Eilers: "Websecurity: Cookie Tossing"
- [23] Egor Homakov: "Hacking Github with Webkit"
- [24] Ryan Tomayko (rtomayko), GitHub Blog: "New GitHub Pages domain: github.io"
- [25] Chris Roussel: "[Full-disclosure] GitHub Login Cookie Failure" ff
- [26] Secunia Advisories für Git 1.x
- [27] GitHub Help: "GitHub Security"
- [28] Wynn Netherland (pengwynn), GitHub Blog: "Easier builds and deployments using Git over HTTPS and OAuth"
- [29] Joshua Peek (josh), GutHub Blog: "Content Security Policy"
- [30] W3C: "Content Securityy Policy 1.0"
- [31] W3C: "Content Securityy Policy 1.1"
Gap of War
Stuxnet, Duqu, Flame, Gauss und miniFlame im Überblick
Im
windows.developer Magazin 7.2013
ist ein Artikel zu Stuxnet und Co. erschienen - den ersten Waffen im
Cyberwar der USA und Israels gegen den Irak und andere Länder.
Update 27. Dezember 2013
Der Artikel ist jetzt auch online
auf entwickler.de
verfügbar!
Ende des Updates
Links
Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer
Extraseite
ausgelagert.
Web-API-Entwickler sind Webentwickler
Sichere Authentifizierung und Autorisierung – und da war doch noch was?
Im
windows.developer Magazin 5.2013
ist ein Artikel über die Sicherheit von Web-APIs erschienen.
Vorgestellt werden die sichere Authentifizierung und Autorisierung,
außerdem gibt es ein paar Hinweise darauf, was sonst noch zu beachten
ist.
Links
Wie sicher ist das Tablet?
Angriffe auf Tablets in Theorie und Praxis
Im
windows.developer Magazin 4.2013
ist ein Artikel über die Sicherheit von Tablets erschienen.
Vorgestellt werden die bisher bekannten theoretischen und praktischen
Angriffe.
Links
- [1] Carsten Eilers: "Sicher, sicherer, iOS?"; Mobile Technology 4.2012
- [2] Windows 8 app certification requirements (Windows)
- [3] Carsten Eilers: "Kritische Schwachstellen, Schadsoftware - und Apple steckt den Kopf in den Sand"
- [4] Chester Wisniewski, Sophos: "Windows RT "jailbroken", shows its Windows 8 roots"
- [5] clrokr (@clrokr): "Circumventing Windows RT’s Code Integrity Mechanism"
- [6] Netham45: RT Jailbreak Tool
- [7] Paul Ducklin, Sophos: "Windows tablets - easy, one-stop jailbreak now available for everyone. What should Microsoft do? [POLL]"
- [8] Prashant Gupta, McAfee: "Stronger Windows 8 Still Vulnerable Through Apps, Users"
- [9] Prashant Gupta, McAfee: "Windows 8 Metro Brings New Security Risks"
- [10] Federico Maggi, Stefano Zanero und Alberto Volpatto, Black Hat Abu Dhabi 2011: "iSnoop: How to Steal Secrets From Touchscreen Devices"
- [11] Carsten Eilers: "Clickjacking - Angriffe auf Seiten ohne Schwachstellen"
- [12] Yinfeng Qiu, Trend Micro: "Tapjacking: An Untapped Threat in Android"
- [13] Gustav Rydstedt, Baptiste Gourdin, Elie Bursztein, Dan Boneh; Usenix Workshop on Offensive Technologies (woot) 2010: "Framing Attacks on Smart Phones and Dumb Routers: Tap-jacking and Geo-localization Attacks"
- [14] Marcus Niemietz, German OWASP Day 2012: "UI-Redressing-Angriffe auf Android"
(PDF)
- [15] Marcus Niemietz, Black Hat Abu Dhabi 2012: "UI Redressing Attacks on Android Devices"
Paper dazu: Marcus Niemietz, Jörg Schwenk: "UI Redressing Attacks on Android Devices"
(PDF)
- [16] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
Authentifizierung und Autorisierung
Claims-basierte Authentifizierung und OAuth für externe Apps im Überblick
Im
windows.developer Magazin 3.2013
ist ein Artikel über die Authentifizierung und Autorisierung in
SharePoint 2013 erschienen. Beschrieben werden der Einsatz der
Claims-basierten Authentifizierung und OAuth für externe Apps.
Links
Die Datenbank gehorcht dem Angreifer
Mit ASP.NET führt SQL Injection oft auch zu Drive-by-Infektionen
Im
windows.developer Magazin 2.2013
ist ein Artikel über SQL-Injection-Angriffe auf ASP.NET-Webanwendungen
erschienen.
Links