SICHER(ER) IM WEB
Wie man sich (etwas) sicherer im Web bewegen kann	

und wie man das Web als Entwickler (etwas) sicherer ...
WAS IST SICHERHEIT?
WAS IST SICHERHEIT?
• Sicherheit von Daten	

• Privatsphäre schützen
WANN IST MAN SICHER?
FRÜHER
HEUTE
“RSA Key Extraction via Low-
Bandwidth Acoustic
Cryptanalysis”

http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf	...
ABSOLUTE SICHERHEIT	

GIBT ES NICHT!
Aber man kann es den Angreifern schwer machen!
WICHTIGSTE REGEL:	

AKTUELLE SOFTWARE
• Betriebssystem aktualisieren	

• Alle installierte Browser aktualisieren	

• Brows...
VIRENSCANNER?
• Kann man - muss man nicht	

• Trojaner &Viren sind optimiert sich zu
verstecken /Virenscanner abzuschalten...
VIRENSCANNER?
golem.de, 05.05.2014
DATENSPURENVERMEIDEN	

* METADATEN
GHOSTERY
24
GHOSTERY
GHOSTERY
15 (2)
GHOSTERY
https://www.ghostery.com/
Empfehlung:

- INFOnline

-VG Wort

- Piwik	

Evtl.:

- Google Analytics

- Google Adwo...
?
?
OpenStreetMap Nokia here
E-MAILTRACKING
E-MAILTRACKING
Tracking von E-Mails durch
Laden von Bildern & CSS
📱💻
⌨
👤👤
HTTP
User: Stefan

Passwort: 123456
📱💻
⌨
HTTPS
🔒✓🔒✓
🔒✓ 🔒✓
• Verschlüsselter Datenverkehr	

• nur noch sichtbar wohin verbunden
wird, nicht was abgerufen wird	

• je mehrVerschlüsse...
HTTPS EVERYWHERE
https://www.eff.org/Https-everywhere
WIFI SICHERHEIT
WPA(2) NUTZEN
• unverschlüsselterTraffic kann von jedem
mitgeschnitten werden	

• wenn kein HTTPS oder ähnlicheVerschlüssel...
ALTERNATIVEN
VPN	

Tor
VPN
📱🔒
📄
🎬
📱
🔒
🔒
💻
⌨
TOR
💻
⌨ 📄 📄 📄
📄 📄 📄
📄 📄 📄
🔒🔒
🔒🔒
🔒
🔒 🔓 🔓
🔓
🔓
🔓🔓 🔓
🔓 🔓
📱
🔒🔒
🔒🔒
🔒
🔒
🔓
🔓 🔓
PASSWORT
PASSWORT GAU
🎬
!
E-Mail: stefan@web.de
Passwort: 123456
http://splashdata.blogspot.de/2014/01/worst-passwords-of-2013-our-annual-list.html
SICHERES PASSWORT (2014)
http://xkcd.com/936/
SICHERES PASSWORT (2014)
• je länger desto besser	

• keine sinnvollen Sätze / Kombinationen	

• jede Seite ein abweichend...
DENKHILFEN
xkpasswd.net
MERKHILFEN
• Eselsbrücken	

• Programme:	

• 1Password (proprietär, multi plattform)	

• KeePass (open source, multi platt...
WAS MAN ALS ENTWICKLER
TUN KANN
SENSITIVE DATEN SCHÜTZEN
PASSWORT
VERSCHLÜSSELUNG
• Wahl einer sicheren Methode
http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html
PASSWORT
VERSCHLÜSSELUNG
• + Salt:	

• jedes Passwort ein eigenes Salt	

• benutze cryptographic secure number
generator	
...
ANDERE SENSITIVE DATEN
SCHÜTZEN
• z.B. mitTwofish
Passwort Bad Practices
HTTPS EINSETZEN
SECUTIRY AUDTIS
• Selbst auf Schwachstellen checken	

• AutomatischeTools nutzen	

• andere Entwickler draufschauen lassen...
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Nächste SlideShare
Wird geladen in …5
×

Sicher(er) im web #bch14

665 Aufrufe

Veröffentlicht am

Wege sich etwas sicherer im Internet zu bewegen

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
665
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
88
Aktionen
Geteilt
0
Downloads
1
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Sicher(er) im web #bch14

  1. 1. SICHER(ER) IM WEB Wie man sich (etwas) sicherer im Web bewegen kann und wie man das Web als Entwickler (etwas) sicherer machen kann Stefan Bauckmeier @emrox Barcamp Hannover 2014
  2. 2. WAS IST SICHERHEIT?
  3. 3. WAS IST SICHERHEIT? • Sicherheit von Daten • Privatsphäre schützen
  4. 4. WANN IST MAN SICHER?
  5. 5. FRÜHER
  6. 6. HEUTE
  7. 7. “RSA Key Extraction via Low- Bandwidth Acoustic Cryptanalysis”
 http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf Abhören von Schlüssel-Erzeugung mit dem Handy
  8. 8. ABSOLUTE SICHERHEIT GIBT ES NICHT! Aber man kann es den Angreifern schwer machen!
  9. 9. WICHTIGSTE REGEL: AKTUELLE SOFTWARE • Betriebssystem aktualisieren • Alle installierte Browser aktualisieren • Browser PlugIns & Extensions aktualisieren • Sonstige Software aktualisieren
  10. 10. VIRENSCANNER? • Kann man - muss man nicht • Trojaner &Viren sind optimiert sich zu verstecken /Virenscanner abzuschalten • Wichtiger: Mitdenken bevor man auf Link klickt / Datei öffnet
  11. 11. VIRENSCANNER? golem.de, 05.05.2014
  12. 12. DATENSPURENVERMEIDEN * METADATEN
  13. 13. GHOSTERY 24
  14. 14. GHOSTERY
  15. 15. GHOSTERY 15 (2)
  16. 16. GHOSTERY https://www.ghostery.com/ Empfehlung:
 - INFOnline
 -VG Wort
 - Piwik Evtl.:
 - Google Analytics
 - Google Adwords
  17. 17. ?
  18. 18. ? OpenStreetMap Nokia here
  19. 19. E-MAILTRACKING
  20. 20. E-MAILTRACKING Tracking von E-Mails durch Laden von Bildern & CSS
  21. 21. 📱💻 ⌨ 👤👤 HTTP User: Stefan
 Passwort: 123456
  22. 22. 📱💻 ⌨ HTTPS 🔒✓🔒✓ 🔒✓ 🔒✓
  23. 23. • Verschlüsselter Datenverkehr • nur noch sichtbar wohin verbunden wird, nicht was abgerufen wird • je mehrVerschlüsselt, desto mehr haben andere zu tun HTTPS
  24. 24. HTTPS EVERYWHERE https://www.eff.org/Https-everywhere
  25. 25. WIFI SICHERHEIT
  26. 26. WPA(2) NUTZEN • unverschlüsselterTraffic kann von jedem mitgeschnitten werden • wenn kein HTTPS oder ähnlicheVerschlüsselungen genutzt werden Passworte + Daten im Klartext übertragen
  27. 27. ALTERNATIVEN VPN Tor
  28. 28. VPN 📱🔒 📄 🎬 📱 🔒 🔒 💻 ⌨
  29. 29. TOR 💻 ⌨ 📄 📄 📄 📄 📄 📄 📄 📄 📄 🔒🔒 🔒🔒 🔒 🔒 🔓 🔓 🔓 🔓 🔓🔓 🔓 🔓 🔓 📱 🔒🔒 🔒🔒 🔒 🔒 🔓 🔓 🔓
  30. 30. PASSWORT
  31. 31. PASSWORT GAU 🎬 ! E-Mail: stefan@web.de Passwort: 123456
  32. 32. http://splashdata.blogspot.de/2014/01/worst-passwords-of-2013-our-annual-list.html
  33. 33. SICHERES PASSWORT (2014) http://xkcd.com/936/
  34. 34. SICHERES PASSWORT (2014) • je länger desto besser • keine sinnvollen Sätze / Kombinationen • jede Seite ein abweichendes Passwort • Bonus: Zahlen & Sonderzeichen
  35. 35. DENKHILFEN xkpasswd.net
  36. 36. MERKHILFEN • Eselsbrücken • Programme: • 1Password (proprietär, multi plattform) • KeePass (open source, multi plattform) • LastPass (online)
  37. 37. WAS MAN ALS ENTWICKLER TUN KANN
  38. 38. SENSITIVE DATEN SCHÜTZEN
  39. 39. PASSWORT VERSCHLÜSSELUNG • Wahl einer sicheren Methode http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html
  40. 40. PASSWORT VERSCHLÜSSELUNG • + Salt: • jedes Passwort ein eigenes Salt • benutze cryptographic secure number generator • lang
  41. 41. ANDERE SENSITIVE DATEN SCHÜTZEN • z.B. mitTwofish
  42. 42. Passwort Bad Practices
  43. 43. HTTPS EINSETZEN
  44. 44. SECUTIRY AUDTIS • Selbst auf Schwachstellen checken • AutomatischeTools nutzen • andere Entwickler draufschauen lassen • durch externe

×