Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
SICHER(ER) IM WEB
Wie man sich (etwas) sicherer im Web bewegen kann	

und wie man das Web als Entwickler (etwas) sicherer ...
WAS IST SICHERHEIT?
WAS IST SICHERHEIT?
• Sicherheit von Daten	

• Privatsphäre schützen
WANN IST MAN SICHER?
FRÜHER
HEUTE
“RSA Key Extraction via Low-
Bandwidth Acoustic
Cryptanalysis”

http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf	...
ABSOLUTE SICHERHEIT	

GIBT ES NICHT!
Aber man kann es den Angreifern schwer machen!
WICHTIGSTE REGEL:	

AKTUELLE SOFTWARE
• Betriebssystem aktualisieren	

• Alle installierte Browser aktualisieren	

• Brows...
VIRENSCANNER?
• Kann man - muss man nicht	

• Trojaner &Viren sind optimiert sich zu
verstecken /Virenscanner abzuschalten...
VIRENSCANNER?
golem.de, 05.05.2014
DATENSPURENVERMEIDEN	

* METADATEN
GHOSTERY
24
GHOSTERY
GHOSTERY
15 (2)
GHOSTERY
https://www.ghostery.com/
Empfehlung:

- INFOnline

-VG Wort

- Piwik	

Evtl.:

- Google Analytics

- Google Adwo...
?
?
OpenStreetMap Nokia here
E-MAILTRACKING
E-MAILTRACKING
Tracking von E-Mails durch
Laden von Bildern & CSS
📱💻
⌨
👤👤
HTTP
User: Stefan

Passwort: 123456
📱💻
⌨
HTTPS
🔒✓🔒✓
🔒✓ 🔒✓
• Verschlüsselter Datenverkehr	

• nur noch sichtbar wohin verbunden
wird, nicht was abgerufen wird	

• je mehrVerschlüsse...
HTTPS EVERYWHERE
https://www.eff.org/Https-everywhere
WIFI SICHERHEIT
WPA(2) NUTZEN
• unverschlüsselterTraffic kann von jedem
mitgeschnitten werden	

• wenn kein HTTPS oder ähnlicheVerschlüssel...
ALTERNATIVEN
VPN	

Tor
VPN
📱🔒
📄
🎬
📱
🔒
🔒
💻
⌨
TOR
💻
⌨ 📄 📄 📄
📄 📄 📄
📄 📄 📄
🔒🔒
🔒🔒
🔒
🔒 🔓 🔓
🔓
🔓
🔓🔓 🔓
🔓 🔓
📱
🔒🔒
🔒🔒
🔒
🔒
🔓
🔓 🔓
PASSWORT
PASSWORT GAU
🎬
!
E-Mail: stefan@web.de
Passwort: 123456
http://splashdata.blogspot.de/2014/01/worst-passwords-of-2013-our-annual-list.html
SICHERES PASSWORT (2014)
http://xkcd.com/936/
SICHERES PASSWORT (2014)
• je länger desto besser	

• keine sinnvollen Sätze / Kombinationen	

• jede Seite ein abweichend...
DENKHILFEN
xkpasswd.net
MERKHILFEN
• Eselsbrücken	

• Programme:	

• 1Password (proprietär, multi plattform)	

• KeePass (open source, multi platt...
WAS MAN ALS ENTWICKLER
TUN KANN
SENSITIVE DATEN SCHÜTZEN
PASSWORT
VERSCHLÜSSELUNG
• Wahl einer sicheren Methode
http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html
PASSWORT
VERSCHLÜSSELUNG
• + Salt:	

• jedes Passwort ein eigenes Salt	

• benutze cryptographic secure number
generator	
...
ANDERE SENSITIVE DATEN
SCHÜTZEN
• z.B. mitTwofish
Passwort Bad Practices
HTTPS EINSETZEN
SECUTIRY AUDTIS
• Selbst auf Schwachstellen checken	

• AutomatischeTools nutzen	

• andere Entwickler draufschauen lassen...
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Sicher(er) im web #bch14
Nächste SlideShare
Wird geladen in …5
×

Sicher(er) im web #bch14

728 Aufrufe

Veröffentlicht am

Wege sich etwas sicherer im Internet zu bewegen

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Sicher(er) im web #bch14

  1. 1. SICHER(ER) IM WEB Wie man sich (etwas) sicherer im Web bewegen kann und wie man das Web als Entwickler (etwas) sicherer machen kann Stefan Bauckmeier @emrox Barcamp Hannover 2014
  2. 2. WAS IST SICHERHEIT?
  3. 3. WAS IST SICHERHEIT? • Sicherheit von Daten • Privatsphäre schützen
  4. 4. WANN IST MAN SICHER?
  5. 5. FRÜHER
  6. 6. HEUTE
  7. 7. “RSA Key Extraction via Low- Bandwidth Acoustic Cryptanalysis”
 http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf Abhören von Schlüssel-Erzeugung mit dem Handy
  8. 8. ABSOLUTE SICHERHEIT GIBT ES NICHT! Aber man kann es den Angreifern schwer machen!
  9. 9. WICHTIGSTE REGEL: AKTUELLE SOFTWARE • Betriebssystem aktualisieren • Alle installierte Browser aktualisieren • Browser PlugIns & Extensions aktualisieren • Sonstige Software aktualisieren
  10. 10. VIRENSCANNER? • Kann man - muss man nicht • Trojaner &Viren sind optimiert sich zu verstecken /Virenscanner abzuschalten • Wichtiger: Mitdenken bevor man auf Link klickt / Datei öffnet
  11. 11. VIRENSCANNER? golem.de, 05.05.2014
  12. 12. DATENSPURENVERMEIDEN * METADATEN
  13. 13. GHOSTERY 24
  14. 14. GHOSTERY
  15. 15. GHOSTERY 15 (2)
  16. 16. GHOSTERY https://www.ghostery.com/ Empfehlung:
 - INFOnline
 -VG Wort
 - Piwik Evtl.:
 - Google Analytics
 - Google Adwords
  17. 17. ?
  18. 18. ? OpenStreetMap Nokia here
  19. 19. E-MAILTRACKING
  20. 20. E-MAILTRACKING Tracking von E-Mails durch Laden von Bildern & CSS
  21. 21. 📱💻 ⌨ 👤👤 HTTP User: Stefan
 Passwort: 123456
  22. 22. 📱💻 ⌨ HTTPS 🔒✓🔒✓ 🔒✓ 🔒✓
  23. 23. • Verschlüsselter Datenverkehr • nur noch sichtbar wohin verbunden wird, nicht was abgerufen wird • je mehrVerschlüsselt, desto mehr haben andere zu tun HTTPS
  24. 24. HTTPS EVERYWHERE https://www.eff.org/Https-everywhere
  25. 25. WIFI SICHERHEIT
  26. 26. WPA(2) NUTZEN • unverschlüsselterTraffic kann von jedem mitgeschnitten werden • wenn kein HTTPS oder ähnlicheVerschlüsselungen genutzt werden Passworte + Daten im Klartext übertragen
  27. 27. ALTERNATIVEN VPN Tor
  28. 28. VPN 📱🔒 📄 🎬 📱 🔒 🔒 💻 ⌨
  29. 29. TOR 💻 ⌨ 📄 📄 📄 📄 📄 📄 📄 📄 📄 🔒🔒 🔒🔒 🔒 🔒 🔓 🔓 🔓 🔓 🔓🔓 🔓 🔓 🔓 📱 🔒🔒 🔒🔒 🔒 🔒 🔓 🔓 🔓
  30. 30. PASSWORT
  31. 31. PASSWORT GAU 🎬 ! E-Mail: stefan@web.de Passwort: 123456
  32. 32. http://splashdata.blogspot.de/2014/01/worst-passwords-of-2013-our-annual-list.html
  33. 33. SICHERES PASSWORT (2014) http://xkcd.com/936/
  34. 34. SICHERES PASSWORT (2014) • je länger desto besser • keine sinnvollen Sätze / Kombinationen • jede Seite ein abweichendes Passwort • Bonus: Zahlen & Sonderzeichen
  35. 35. DENKHILFEN xkpasswd.net
  36. 36. MERKHILFEN • Eselsbrücken • Programme: • 1Password (proprietär, multi plattform) • KeePass (open source, multi plattform) • LastPass (online)
  37. 37. WAS MAN ALS ENTWICKLER TUN KANN
  38. 38. SENSITIVE DATEN SCHÜTZEN
  39. 39. PASSWORT VERSCHLÜSSELUNG • Wahl einer sicheren Methode http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html
  40. 40. PASSWORT VERSCHLÜSSELUNG • + Salt: • jedes Passwort ein eigenes Salt • benutze cryptographic secure number generator • lang
  41. 41. ANDERE SENSITIVE DATEN SCHÜTZEN • z.B. mitTwofish
  42. 42. Passwort Bad Practices
  43. 43. HTTPS EINSETZEN
  44. 44. SECUTIRY AUDTIS • Selbst auf Schwachstellen checken • AutomatischeTools nutzen • andere Entwickler draufschauen lassen • durch externe

×