Wenn der größte Teil der Logik in JavaScript stattfinden, dann findet auch der größere Teil der Sicherheitsrisiken dort seine Heimat. Und Angreifer finden mit JavaScript eine interessante neue Heimat, denn die Sprache selbst und auch Ihre Heimat in Browser und node.js bringen viele neue Probleme. Und genau da setzt der Vortrag an: die verblüffenden Unterschiede von JavaScript zu anderen Sprachen, wenn es um Security geht. Die Risiken und auch die Besonderheiten von Browsern und anderen JavaScript-Engines wie node.js. Die Security-Implikationen von JavaScript Frameworks bishin zu speziellen Problemen wie mXSS, ReDOS und HTML5-Security.
Wenn der größte Teil der Logik in JavaScript stattfindet, dann findet auch der größere Teil der Sicherheitsrisiken dort sein Zuhause. Und auch Angreifer finden mit JavaScript eine interessante neue Spielwiese, denn die Sprache selbst und auch Ihre Heimat in Browser und Node.js bringen neue Probleme.
Genau da setzt der Vortrag an: die verblüffenden Unterschiede von JavaScript zu anderen Sprachen, wenn es um Security geht. Die Risiken und auch die Besonderheiten von Browsern und anderen JavaScript-Engines wie Node.js. Die Security-Implikationen von JavaScript-Frameworks bis hin zu speziellen Problemen wie mXSS, ReDOS und HTML5-Security.
Wenn der größte Teil der Logik in JavaScript stattfindet, dann findet auch der größere Teil der Sicherheitsrisiken dort seine Heimat. Und Angreifer finden mit JavaScript eine interessante neue Umwelt, denn die Sprache selbst und auch ihre Heimat in Browser und Node.js bringen viele neue Probleme. Und genau da setzt der Vortrag an: die verblüffenden Unterschiede von JavaScript zu anderen Sprachen, wenn es um Security geht. Die Risiken und auch die Besonderheiten von Browsern und anderen JavaScript-Engines wie Node.js. Die Securityimplikationen von JavaScript-Frameworks bishin zu speziellen Problemen wie mXSS, ReDOS und HTML5-Security.
Wenn der größte Teil der Logik in JavaScript stattfindet, dann findet auch der größere Teil der Sicherheitsrisiken dort seine Heimat. Und Angreifer finden mit JavaScript eine interessante neue Umwelt, denn die Sprache selbst und auch Ihre Heimat im Browser und Node.js bringen viele neue Probleme. Und genau da setzt der Vortrag an: die verblüffenden Unterschiede von JavaScript zu anderen Sprachen, wenn es um Security geht. Die Risiken und auch die Besonderheiten von Browsern und anderen JavaScript-Engines wie Node.js. Die Securityimplikationen von JavaScript-Frameworks bishin zu speziellen Problemen wie mXSS, ReDOS und HTML5-Security.
Wenn der größte Teil der Logik in JavaScript stattfinden, dann findet auch der größere Teil der Sicherheitsrisiken dort seine Heimat. Und Angreifer finden mit JavaScript eine interessante neue Heimat, denn die Sprache selbst und auch Ihre Heimat in Browser und node.js bringen viele neue Probleme. Und genau da setzt der Vortrag an: die verblüffenden Unterschiede von JavaScript zu anderen Sprachen, wenn es um Security geht. Die Risiken und auch die Besonderheiten von Browsern und anderen JavaScript-Engines wie node.js. Die Security-Implikationen von JavaScript Frameworks bishin zu speziellen Problemen wie mXSS, ReDOS und HTML5-Security.
Wenn der größte Teil der Logik in JavaScript stattfindet, dann findet auch der größere Teil der Sicherheitsrisiken dort sein Zuhause. Und auch Angreifer finden mit JavaScript eine interessante neue Spielwiese, denn die Sprache selbst und auch Ihre Heimat in Browser und Node.js bringen neue Probleme.
Genau da setzt der Vortrag an: die verblüffenden Unterschiede von JavaScript zu anderen Sprachen, wenn es um Security geht. Die Risiken und auch die Besonderheiten von Browsern und anderen JavaScript-Engines wie Node.js. Die Security-Implikationen von JavaScript-Frameworks bis hin zu speziellen Problemen wie mXSS, ReDOS und HTML5-Security.
Wenn der größte Teil der Logik in JavaScript stattfindet, dann findet auch der größere Teil der Sicherheitsrisiken dort seine Heimat. Und Angreifer finden mit JavaScript eine interessante neue Umwelt, denn die Sprache selbst und auch ihre Heimat in Browser und Node.js bringen viele neue Probleme. Und genau da setzt der Vortrag an: die verblüffenden Unterschiede von JavaScript zu anderen Sprachen, wenn es um Security geht. Die Risiken und auch die Besonderheiten von Browsern und anderen JavaScript-Engines wie Node.js. Die Securityimplikationen von JavaScript-Frameworks bishin zu speziellen Problemen wie mXSS, ReDOS und HTML5-Security.
Wenn der größte Teil der Logik in JavaScript stattfindet, dann findet auch der größere Teil der Sicherheitsrisiken dort seine Heimat. Und Angreifer finden mit JavaScript eine interessante neue Umwelt, denn die Sprache selbst und auch Ihre Heimat im Browser und Node.js bringen viele neue Probleme. Und genau da setzt der Vortrag an: die verblüffenden Unterschiede von JavaScript zu anderen Sprachen, wenn es um Security geht. Die Risiken und auch die Besonderheiten von Browsern und anderen JavaScript-Engines wie Node.js. Die Securityimplikationen von JavaScript-Frameworks bishin zu speziellen Problemen wie mXSS, ReDOS und HTML5-Security.
Sören discussed various motivations for online learning, including pressure at work to learn new skills, the coronavirus pandemic, lockdown and home schooling pressures, a desire for self-confidence and happiness, obtaining proof of knowledge through certificates, becoming an expert in different subjects, discovering alternative perspectives, and learning from renowned experts and institutions. Some key motivations mentioned were the need to learn cloud architecture, cybersecurity, data science skills for work, understanding epidemics, improving teaching skills for home schooling, and managing mood during difficult times.
This document discusses using Perl and Raku for data science. It begins by noting the growth of data science jobs and examines common programming languages used, including Perl, Python, and R. While there were no Raku modules for statistics at the time, basic statistics functions can be written easily in Raku. Examples are provided demonstrating calculating statistics and creating graphs using Perl modules. The future of data science is seen to include areas like data mining, artificial intelligence, and machine learning.
The document discusses various topics related to climate change and global warming. It begins by describing how concerns about the planet were discussed even as a child, but ideas were not implemented. It then discusses how problems of the future are often not addressed until it is too late. Several decades later, what was once considered the future is now reality, with temperature increases already occurring. The document outlines various effects of rising temperatures like melting ice caps, rising sea levels, more extreme weather, and threats to food production. It also explains the greenhouse effect and gives a demonstration of it. Finally, it discusses learning from the oil industry and techniques used to extract more oil while leaving CO2 underground.
Hackers stole login credentials from various websites. This poses risks like others accessing private accounts and data. It is recommended to check if credentials were compromised on sites like "Have I Been Pwned", change all passwords, ensure they are unique across sites, and use a password manager. Proper password security can help mitigate risks from stolen credentials.
Sören discussed various motivations for online learning, including pressure at work to learn new skills, the coronavirus pandemic, lockdown and home schooling pressures, a desire for self-confidence and happiness, obtaining proof of knowledge through certificates, becoming an expert in different subjects, discovering alternative perspectives, and learning from renowned experts and institutions. Some key motivations mentioned were the need to learn cloud architecture, cybersecurity, data science skills for work, understanding epidemics, improving teaching skills for home schooling, and managing mood during difficult times.
This document discusses using Perl and Raku for data science. It begins by noting the growth of data science jobs and examines common programming languages used, including Perl, Python, and R. While there were no Raku modules for statistics at the time, basic statistics functions can be written easily in Raku. Examples are provided demonstrating calculating statistics and creating graphs using Perl modules. The future of data science is seen to include areas like data mining, artificial intelligence, and machine learning.
The document discusses various topics related to climate change and global warming. It begins by describing how concerns about the planet were discussed even as a child, but ideas were not implemented. It then discusses how problems of the future are often not addressed until it is too late. Several decades later, what was once considered the future is now reality, with temperature increases already occurring. The document outlines various effects of rising temperatures like melting ice caps, rising sea levels, more extreme weather, and threats to food production. It also explains the greenhouse effect and gives a demonstration of it. Finally, it discusses learning from the oil industry and techniques used to extract more oil while leaving CO2 underground.
Hackers stole login credentials from various websites. This poses risks like others accessing private accounts and data. It is recommended to check if credentials were compromised on sites like "Have I Been Pwned", change all passwords, ensure they are unique across sites, and use a password manager. Proper password security can help mitigate risks from stolen credentials.
2. 2
Scheinbar gibt es
diese Schlagzeilen
nun täglich
● Hackers Are Passing
Around A Megaleak of 2.2
Billion Records
● Neue Passwort-Leaks:
Insgesamt 2,2 Milliarden
Accounts betroffen
21. Deutscher Perl-Workshop 2019 an der Hochschule München
3. 3
Was geht mich das an?
Was bedeutet das alles?
● Verteilen die mein Klartext-Passwort?
● Kennen die auch alle Orte, an denen
ich diese User/Passwort-Kombination
verwende?
● Wenn die doch nur meinen
verschlüsselten Passwort-Hash aber
nicht mein Klartext-Passwort haben,
heißt das, ich habe noch mal Glück
gehabt?
21. Deutscher Perl-Workshop 2019 an der Hochschule München
4. 4
Was geht mich das an?
Was bedeutet das alles?
● Verteilen die mein Klartext-Passwort? - Könnte sein.
● Kennen die auch alle Orte, an denen ich diese
User/Passwort-Kombination verwende? - Vielleicht, vielleicht
auch nicht.
● Wenn die doch nur meinen verschlüsselten Passwort-Hash
aber nicht mein Klartext-Passwort haben, heißt das, ich
habe noch mal Glück gehabt? - Nein, leider nicht.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
5. 5
Düsterer Ausblick:
● Deine Login-Daten zu besitzen bedeutet, viele
Fremde Leute können nun deine Identität auf den
Webseiten verwenden, von denen sie gestohlen
wurden.
● Sie können aber auch auf anderen Webseiten
verwendet werden, falls du deine Login-Daten auch
anderswo wiederverwendet hast.
● Leider verwenden die meisten Menschen ihre Login-
Daten mehrfach.
● Viele verwenden sogar eine einzige Login-
Kombination überall.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
6. 6
Ein noch viel düsterer Ausblick:
● Deine Identität verwenden bedeutet,
dass nun viele Leute Dinge von dir
lesen können, die eigentlich geschützt
sein sollten:
● Private Nachrichten auf Soziale-Medien-
Webseiten oder Dating-Plattformen
● All deine Daten in Dropbox oder Box
21. Deutscher Perl-Workshop 2019 an der Hochschule München
7. 7
Aus dem Regen
● Solltest du die gestohlenen
Zugangsdaten nich woanders
einsetzen, könnten auch da die Hacker
einbrechen.
Firewalls und dein heimischer Router
mögen dich früher gut beschützt haben.
Das ist heute nicht mehr so.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
8. 8
Pwned Websites A
● 000webhost, 126, 17, 17173, 2fast4u,
7k7k, 8tracks, Abandonia, AbuseWith.Us,
Acne.org, Adapt, Adobe, Adult Friend
Finder, Adult-FanFiction.Org, AerServ,
AhaShare.com, ai.type, Aipai.com, AKP
Emails, Ancestry, Android Forums, Anti
Public Combo List, Apollo, Army Force
Online, Ashley Madison, Astropid, Aternos,
Atlas Quantum, Autocentrum.pl, Avast, ...
21. Deutscher Perl-Workshop 2019 an der Hochschule München
9. 9
Pwned Websites B
● B2B USA Businesses, Baby Names, Badoo,
BannerBit, Battlefield Heroes, Beautiful
People, Bell, Bestialitysextaboo,
BigMoneyJobs, Bin Weevils, Biohack.me,
Bitcoin Security Forum Gmail Dump,
Bitcoin Talk, Bitly, BitTorrent, Black Hat
World, BlankMediaGames, Bolt, Bombuj.eu,
Bot of Legends, Boxee, Brazzers, BTC-E,
Business Acumen Magazine, ...
21. Deutscher Perl-Workshop 2019 an der Hochschule München
10. 10
Pwned Websites C
● CafeMom, Cannabis.com, CashCrate,
CD Projekt RED, CheapAssGamer.com,
Civil Online, ClixSense, CloudPets,
Coachella, Collection #1, Comcast,
COMELEC (Phillipines Voters), Coupon
Mom / Armor Games, Crack
Community, Cracking Forum, Creative,
CrimeAgency vBulletin Hacks, Cross
Fire, ...
21. Deutscher Perl-Workshop 2019 an der Hochschule München
11. 11
Pwned Websites D
● DaFont, Dailymotion, Dangdang,
DaniWeb, Data & Leads, Data
Enrichment Records, devkitPro,
diet.com, Digimon, Disqus, DLH.net,
Dodonew.com, Domino's, Dropbox,
Dubsmash, Dungeons & Dragons
Online, Duowan.com, dvd-shop.ch, ...
21. Deutscher Perl-Workshop 2019 an der Hochschule München
12. 12
Pwned Websites E
● Edmondo, Elance, Elasticsearch
Instance of Sales Leads on AWS, Epic
Games, Eroticity, Estonian Citizens (via
Estonian Cybercrime Bureau),
eThekwini Municipality, Ethereum,
Evermotion, Evony, Exactis, Experian,
Exploit.In, Exposed VINs, EyeEm, ...
21. Deutscher Perl-Workshop 2019 an der Hochschule München
13. 13
Pwned Websites ...
●
Imgur, JobStreet, JustDate.com, KickStarter, Last.fm, LinkedIn, LinuxForums, Linux
Mint, Mac Forums, mail.ru, Master Deeds, Minecraft Pocket Edition Forum, Minecraft World
Map, Modern Business Solutions, MyFitnessPal, MyHeritage, MySpace, NetEase,
Nexus Mods, Nihonomaru, Onliner Spambot, Patreon, PoliceOne, Programming
Forums, QIP, R2, R2Games, ReverbNation, River City Media Spam List, ShareThis,
Snapchat, Sony, Stratfor, Taobao, Tesco, tumblr, UN Internet Governance Forum,
Unreal Engine, uTorrent, VK, VNG, Vodafone, VTech, We Heart It, xat, Xbox-Scene,
xHamster, Yahoo, Yandex, Youku, YouPorn, You've Been Scraped, Zomato, Zoosk,
Пара Па, Спрашивай.ру
21. Deutscher Perl-Workshop 2019 an der Hochschule München
14. 14
Überprüfe den Schaden
Prüfe Deine Zugangsdaten auf der Seite „Have
I Been Pwned“ und prüfe eventuell auch deine
Passwörter bei „Pwned Passwords“
Troy Hunt's Webseite hasht deine
Zugangsdaten lokal in deinem Browser mit
JavaScript und schickt die ersten 5 Zeichen des
Hashs über eine HTTPS-Verbindung.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
15. 15
Überprüfe den Schaden (2)
Stellst du fest, dass deine Zugangsdaten
kompromittiert sind, kannst du...
● entweder auf den Webseiten durch die
Quellen lesen, oder
● ein Konto dort registrieren. Dann bekommst
du die vollständigen Informationen über die
Hacks, die deine Zugangsdaten betreffen.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
16. 16
Überprüfe den Schaden (3)
● Du könntest dann auch noch deine Zugangsdaten auf
den Seiten des Hasso Plattner Institut „Wurden Ihre
Identitätsdaten ausspioniert?“ prüfen.
Diese Webseite verwendet auch eine HTTPS-Verbindung,
jedoch sendet sie die echten Zugangsdaten.
Auch hier bekommst du die Auskünfte darüber, wo deine
Zugangsdaten abgegriffen wurden.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
17. 17
Überprüfe den Schaden (4)
● Du kannst auch die Datensätze mit den
gestohlenen Zugangsdaten auf deinen
Computer laden und sie lokal
überprüfen.
Den Link dazu gibt es am Ende des
Vortrags.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
18. 18
Finde alle Orte, an denen die
kompromittierten Zugangsdaten
Verwendung finden, und ändere
sie
● Vielleicht hilft dir dein Browserverlauf
dabei und unterstützt deine Erinnerung,
● Vielleicht verwendest du in deinem
Browser bereits einen Passwort-
Manager, den du nach den Orten fragen
kannst, wo sie verwendet werden.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
19. 19
Passwörter nicht
wiederverwenden
● Wenn du nun deine Passwörter änderst,
stelle sicher, dass nie mehr eines
wiederverwendet wird.
● A wunderbares Werkzeug dafür ist ein
Passwort-Manager.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
20. 20
Passwort-Manager
● Am bequemsten verwendest du den
Passwort-Manager in deinem Browser.
● Möchtest oder gar musst du stattdessen
einen anderen Passwor-Manager
verwenden, dann nimm einen, der nicht
zu kaputt ist, etwa
KeePassXC … oder … KeePass
21. Deutscher Perl-Workshop 2019 an der Hochschule München
21. 21
Passwort-Manager (2)
● Passwort-Manager generieren zufällige
Passwörter für dich, damit du dir
darüber nicht jedes Mal den Kopf
zermartern musst, wenn du ein Neues
benötigst.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
22. 22
Neues Chrome-Add-on Password
Checkup prüft 4 Millionen geleakte
Zugangsdaten
● Während du Zugangsdaten auf
Webseiten eingibst, prüft dieses
Chrome Add-on die Zugangsdaten
kompromittiert wurden.
21. Deutscher Perl-Workshop 2019 an der Hochschule München
23. 23
Links
● Hackers Are Passing Around a Megaleak of 2.2 Billion Records
● Neue Passwort-Leaks: Insgesamt 2,2 Milliarden Accounts betroff
● Have I Been Pwned & Pwned Passwords by Troy Hunt
● Pwned Websites
● Nach dem Passwort-Leak: Eigene Passwörter lokal checken
Wurden Ihre Identitätsdaten ausspioniert?
● New Chrome-Add-on Password Checkup Tests for 4 Million Leake
● Passwortmanager: So verwalten Sie Ihre Passwörter
● It governance: List of data breaches and cyber attacks in Februa
● ...
21. Deutscher Perl-Workshop 2019 an der Hochschule München
24. 24
Sören Laird Sörries
● Linux (1991...), Perl (1998...)
● Deutscher Perl-Workshop (2000…)
● Frankfurt.pm (~2001…)
● 3 Kinder, 2 Katzen, 1 Pony
● Kommunikation
● Cloud Architecture
● Cybersecurity
● Data Science
21. Deutscher Perl-Workshop 2019 an der Hochschule München