Die Heise Security Conference 2008 thematisiert die Risiken und Herausforderungen von Web 2.0, insbesondere im Hinblick auf JavaScript-Sicherheit, Cross-Zone-Exploits und die Gefahren durch Browser-Plugins. Es wird aufgezeigt, dass viele Angriffe auf Webanwendungen abzielen und dass die Sicherheitsaudits oft hinterherhinken, was durch steigende Komplexität und neue Technologien wie AJAX verschärft wird. Außerdem wird die Notwendigkeit betont, Privatsphäre und Vertrauen in sozialen Netzwerken neu zu bewerten, da persönliche Daten zunehmend verwertet werden können.

1. Web 2.0 zwischen Nutzen
und Gefahr
Heise Security Conference 2008

2. Agenda
Alles wird anders: Architektur bei Web 2.0

3. Agenda
Alles wird anders: Architektur bei Web 2.0
JavaScript-Security und Web 2.0

4. Agenda
Alles wird anders: Architektur bei Web 2.0
JavaScript-Security und Web 2.0
Cross-Zone-Attacken, Plugins, JavaScript Malware

5. Agenda
Alles wird anders: Architektur bei Web 2.0
JavaScript-Security und Web 2.0
Cross-Zone-Attacken, Plugins, JavaScript Malware
Privacy und/oder das Web 2.0

6. Agenda
Alles wird anders: Architektur bei Web 2.0
JavaScript-Security und Web 2.0
Cross-Zone-Attacken, Plugins, JavaScript Malware
Privacy und/oder das Web 2.0
Lösungswege für Client und Server und Nutzer

7. Desktop-Entwickler haben
es einfacher

8. Web und Sicherheit

9. Web und Sicherheit

10. 2/3 aller Exploits richten sich
gegen Webapplikationen.

12. 2/3 aller Angriffe sind
kommerzieller Natur.

13. Was sich im Web 2.0 ändert

14. Wechsel von Server zur RIA
Browser
Server

15. Wechsel von Server zur RIA
Browser
Model Server

16. Wechsel von Server zur RIA
Browser
Controller
Model Server

17. Wechsel von Server zur RIA
Browser
Controller
Model Server View

18. Wechsel von Server zur RIA
Browser
Controller
Model Server View

19. Wechsel von Server zur RIA
Browser
Controller
Model Server View

20. Wechsel von Server zur RIA
Browser
Controller
Model Server View

21. Wechsel von Server zur RIA
Browser
Input-Validierung
Controller
Model Server View

22. Wechsel von Server zur RIA
Browser
Controller
Model Server View

23. Wechsel von Server zur RIA
Browser
Controller
Escaping
Model Server View

24. Wechsel von Server zur RIA
Browser
Controller
Model Server View

25. Wechsel von Server zur RIA
Browser
Browser
Controller
Model Server View

26. Wechsel von Server zur RIA
Browser
Browser View
Controller
Model Server

27. Wechsel von Server zur RIA
Browser
Controller Browser View
Model Server

28. Wechsel von Server zur RIA
Browser
Controller Browser View
Model Server

29. Wechsel von Server zur RIA
Browser
Controller Browser View
Model
Server

30. Wechsel von Server zur RIA
Browser
Controller Browser View
Model
Server

31. Wechsel von Server zur RIA
Browser
Controller Browser View
Model
Server

32. Wechsel von Server zur RIA
Browser
Controller Browser View
Input-Validierung ?
Model
Server

33. Große Teile der Applikation
wandern nach JavaScript

34. Ein Einbruch in JavaScript

35. Ein Einbruch in JavaScript
Jede Variable lässt sich überschreiben

36. Ein Einbruch in JavaScript
Jede Variable lässt sich überschreiben
Jedes Objekt lässt sich überschreiben

37. Ein Einbruch in JavaScript
Jede Variable lässt sich überschreiben
Jedes Objekt lässt sich überschreiben
Jede Methode lässt sich überschreiben

38. Ein Einbruch in JavaScript
Jede Variable lässt sich überschreiben
Jedes Objekt lässt sich überschreiben
Jede Methode lässt sich überschreiben
alle Browser-eigenen Methoden!

39. Ein Einbruch in JavaScript
Jede Variable lässt sich überschreiben
Jedes Objekt lässt sich überschreiben
Jede Methode lässt sich überschreiben
alle Browser-eigenen Methoden!
Jeder Inhalt der Seite kann geändert und verraten
werden

40. Ein Einbruch in JavaScript
Jede Variable lässt sich überschreiben
Jedes Objekt lässt sich überschreiben
Jede Methode lässt sich überschreiben
alle Browser-eigenen Methoden!
Jeder Inhalt der Seite kann geändert und verraten
werden
Alle Rechte der Seite - Same Origin und Cookies

41. Ein Einbruch in JavaScript
Jede Variable lässt sich überschreiben
Jedes Objekt lässt sich überschreiben
Jede Methode lässt sich überschreiben
alle Browser-eigenen Methoden!
Jeder Inhalt der Seite kann geändert und verraten
werden
Alle Rechte der Seite - Same Origin und Cookies
Prototype Hijacking: jeder Datenfluss in JavaScript lässt
sich korrumpieren

42. Die eigene Applikation
ist nicht mehr
vertrauenswürdig.

43. Web 2.0 für Hacker

44. Web 2.0 für Hacker
Nicht nur ein Vorteil für den Entwickler:
Die Fortschritte in der JavaScript-Entwicklung

45. Web 2.0 für Hacker
Nicht nur ein Vorteil für den Entwickler:
Die Fortschritte in der JavaScript-Entwicklung
Libraries und Attack-Toolkits in JavaScript

46. Web 2.0 für Hacker
Nicht nur ein Vorteil für den Entwickler:
Die Fortschritte in der JavaScript-Entwicklung
Libraries und Attack-Toolkits in JavaScript
Tools zur Automatisierung und Fernsteuerung

47. Web 2.0 für Hacker
Nicht nur ein Vorteil für den Entwickler:
Die Fortschritte in der JavaScript-Entwicklung
Libraries und Attack-Toolkits in JavaScript
Tools zur Automatisierung und Fernsteuerung
Ajax, JavaScript-Libraries und MashUps:
Vergrößerte Angriffsfläche

48. Web 2.0 für Hacker
Nicht nur ein Vorteil für den Entwickler:
Die Fortschritte in der JavaScript-Entwicklung
Libraries und Attack-Toolkits in JavaScript
Tools zur Automatisierung und Fernsteuerung
Ajax, JavaScript-Libraries und MashUps:
Vergrößerte Angriffsfläche
Beispiel Dojo: Ein JavaScript Toolkit erweitert den
HTML-Syntax: jeder XSS-Filter auf Serverseite versagt

49. Web 2.0 für Hacker
Nicht nur ein Vorteil für den Entwickler:
Die Fortschritte in der JavaScript-Entwicklung
Libraries und Attack-Toolkits in JavaScript
Tools zur Automatisierung und Fernsteuerung
Ajax, JavaScript-Libraries und MashUps:
Vergrößerte Angriffsfläche
Beispiel Dojo: Ein JavaScript Toolkit erweitert den
HTML-Syntax: jeder XSS-Filter auf Serverseite versagt
WAFs können nicht mehr auf URL-Navigation prüfen

50. Angriffe und Exploits

51. Intranet/VPN-Attacken

52. Intranet/VPN-Attacken
Erkennung der Browser-IP per Java / Liveconnect

53. Intranet/VPN-Attacken
Erkennung der Browser-IP per Java / Liveconnect
nmap für Arme: Host- und Portscanning

54. Intranet/VPN-Attacken
Erkennung der Browser-IP per Java / Liveconnect
nmap für Arme: Host- und Portscanning
über Iframes, Img-Tags, JavaScript, ohne JavaScript
über Timing von <link>-Includes:
<img src=“http://192.168.2.1:80/“
onError=“stoptimer(“192.168.2.1“, 80);“ />

55. Intranet/VPN-Attacken
Erkennung der Browser-IP per Java / Liveconnect
nmap für Arme: Host- und Portscanning
über Iframes, Img-Tags, JavaScript, ohne JavaScript
über Timing von <link>-Includes:
<img src=“http://192.168.2.1:80/“
onError=“stoptimer(“192.168.2.1“, 80);“ />
Dictionary-Attacken auf das Intranet

56. Intranet/VPN-Attacken
Erkennung der Browser-IP per Java / Liveconnect
nmap für Arme: Host- und Portscanning
über Iframes, Img-Tags, JavaScript, ohne JavaScript
über Timing von <link>-Includes:
<img src=“http://192.168.2.1:80/“
onError=“stoptimer(“192.168.2.1“, 80);“ />
Dictionary-Attacken auf das Intranet
Erkennung von Devices und vorhandener
Logins über URLs, History-Hack

57. Intranet/VPN-Attacken
Erkennung der Browser-IP per Java / Liveconnect
nmap für Arme: Host- und Portscanning
über Iframes, Img-Tags, JavaScript, ohne JavaScript
über Timing von <link>-Includes:
<img src=“http://192.168.2.1:80/“
onError=“stoptimer(“192.168.2.1“, 80);“ />
Dictionary-Attacken auf das Intranet
Erkennung von Devices und vorhandener
Logins über URLs, History-Hack
Breite Angriffe (zB Drive-By-Pharming)

58. Live-Demo: BeEf

59. Cross-Zone-Exploits:
Attacken auf den lokalen
Rechner

60. Das Browser-Zonenmodell

61. Das Browser-Zonenmodell
Sicherheitszonen im Browser

62. Das Browser-Zonenmodell
Sicherheitszonen im Browser
IE: Restricted, Internet, Trusted, Intranet, Local Files

63. Das Browser-Zonenmodell
Sicherheitszonen im Browser
IE: Restricted, Internet, Trusted, Intranet, Local Files
Firefox, Safari: Internet und Local Files, (Chrome)

64. Das Browser-Zonenmodell
Sicherheitszonen im Browser
IE: Restricted, Internet, Trusted, Intranet, Local Files
Firefox, Safari: Internet und Local Files, (Chrome)
IE: Ausführung von ActiveX-Plugins -> Shell Executions

65. Das Browser-Zonenmodell
Sicherheitszonen im Browser
IE: Restricted, Internet, Trusted, Intranet, Local Files
Firefox, Safari: Internet und Local Files, (Chrome)
IE: Ausführung von ActiveX-Plugins -> Shell Executions
Firefox: Ausführung von JavaScript mit vollem lokalen
File-Zugriff -> Überlieferung an dritte Parteien

66. Das Browser-Zonenmodell
Sicherheitszonen im Browser
IE: Restricted, Internet, Trusted, Intranet, Local Files
Firefox, Safari: Internet und Local Files, (Chrome)
IE: Ausführung von ActiveX-Plugins -> Shell Executions
Firefox: Ausführung von JavaScript mit vollem lokalen
File-Zugriff -> Überlieferung an dritte Parteien
Safari: lokale Ausführung mit vollem Internetzugriff ->
Auslesen des Intra/Internets ohne Beschränkung

67. Cross-Zone-Attacken

68. Cross-Zone-Attacken
Internet-Explorer: Bitlance Winter Security-Zone-
Bypass

69. Cross-Zone-Attacken
Internet-Explorer: Bitlance Winter Security-Zone-
Bypass
PDF/HTML/Word-Downloads mit Links auf file://

70. Cross-Zone-Attacken
Internet-Explorer: Bitlance Winter Security-Zone-
Bypass
PDF/HTML/Word-Downloads mit Links auf file://
Skype Cross Zone Scripting

71. Cross-Zone-Attacken
Internet-Explorer: Bitlance Winter Security-Zone-
Bypass
PDF/HTML/Word-Downloads mit Links auf file://
Skype Cross Zone Scripting
Apple Quicktime

72. Cross-Zone-Attacken
Internet-Explorer: Bitlance Winter Security-Zone-
Bypass
PDF/HTML/Word-Downloads mit Links auf file://
Skype Cross Zone Scripting
Apple Quicktime
Firefox Firebug Extension

73. Plugins

74. Plugins und Security

75. Plugins und Security
Malware-Quelle Nr 1: Browser Plugins

76. Plugins und Security
Malware-Quelle Nr 1: Browser Plugins
Flash, Quicktime, ActiveX(!), ...

77. Plugins und Security
Malware-Quelle Nr 1: Browser Plugins
Flash, Quicktime, ActiveX(!), ...
Lücken werden per JavaScript getriggert

78. Plugins und Security
Malware-Quelle Nr 1: Browser Plugins
Flash, Quicktime, ActiveX(!), ...
Lücken werden per JavaScript getriggert
Kritischer Zeitraum zwischen Bekanntwerden der
Lücke und Fix, Ursache für Browserupdates

79. Plugins und Security
Malware-Quelle Nr 1: Browser Plugins
Flash, Quicktime, ActiveX(!), ...
Lücken werden per JavaScript getriggert
Kritischer Zeitraum zwischen Bekanntwerden der
Lücke und Fix, Ursache für Browserupdates
Gewerblicher Verkauf von Browser-Lücken

80. Plugins und Security
Malware-Quelle Nr 1: Browser Plugins
Flash, Quicktime, ActiveX(!), ...
Lücken werden per JavaScript getriggert
Kritischer Zeitraum zwischen Bekanntwerden der
Lücke und Fix, Ursache für Browserupdates
Gewerblicher Verkauf von Browser-Lücken
Sehr grosse Reichweite: Superbowl Dolphin Stadium

81. Plugins und JavaScript

82. Plugins und JavaScript
Viele Plugins unterstützen selbst JavaScript
Flash, PDF
QuickTime
ActiveX-Plugins

83. Plugins und JavaScript
Viele Plugins unterstützen selbst JavaScript
Flash, PDF
QuickTime
ActiveX-Plugins
Diese Plugins können z.T. in beide Richtungen mit dem
JavaScript des Browser interagieren

84. Plugins und JavaScript
Viele Plugins unterstützen selbst JavaScript
Flash, PDF
QuickTime
ActiveX-Plugins
Diese Plugins können z.T. in beide Richtungen mit dem
JavaScript des Browser interagieren
Jedes Plugin vervielfältigt die Angriffsfläche

85. Plugins und JavaScript
Viele Plugins unterstützen selbst JavaScript
Flash, PDF
QuickTime
ActiveX-Plugins
Diese Plugins können z.T. in beide Richtungen mit dem
JavaScript des Browser interagieren
Jedes Plugin vervielfältigt die Angriffsfläche
crossdomain.xml bei Flash und Silverlight

86. MashUp-Attacken

87. MashUp-Attacken
JavaScript Hijacking (z.B. Google Mail)
Mail-Kontakte als JavaScript-Include

88. MashUp-Attacken
JavaScript Hijacking (z.B. Google Mail)
Mail-Kontakte als JavaScript-Include
Indirektes Defacement und XSS
per RSS-Feed, User-Generated Content, Services

89. MashUp-Attacken
JavaScript Hijacking (z.B. Google Mail)
Mail-Kontakte als JavaScript-Include
Indirektes Defacement und XSS
per RSS-Feed, User-Generated Content, Services
Grundproblem: weniger Vertrauen, gleiche Rechte

90. MashUp-Attacken
JavaScript Hijacking (z.B. Google Mail)
Mail-Kontakte als JavaScript-Include
Indirektes Defacement und XSS
per RSS-Feed, User-Generated Content, Services
Grundproblem: weniger Vertrauen, gleiche Rechte
Same-Origin-Policy stirbt mit MashUps

91. Willkommen im Web:
Viren

92. XSS Würmer und Viren
Benötigt wird: Code-Payload (persistenter XSS)

93. XSS Würmer und Viren
Benötigt wird: Code-Payload (persistenter XSS)
Möglichkeit zur Distribution (CSRF)

94. XSS Würmer und Viren
Benötigt wird: Code-Payload (persistenter XSS)
Möglichkeit zur Distribution (CSRF)
Beispiel: Samy-Wurm auf MySpace

95. XSS Würmer und Viren
Benötigt wird: Code-Payload (persistenter XSS)
Möglichkeit zur Distribution (CSRF)
Beispiel: Samy-Wurm auf MySpace
Aus Usability HTML-Eingaben erlaubt und gefiltert

96. XSS Würmer und Viren
Benötigt wird: Code-Payload (persistenter XSS)
Möglichkeit zur Distribution (CSRF)
Beispiel: Samy-Wurm auf MySpace
Aus Usability HTML-Eingaben erlaubt und gefiltert
Blacklist-Filter hatte Lücken, XSS wurde möglich

97. XSS Würmer und Viren
Benötigt wird: Code-Payload (persistenter XSS)
Möglichkeit zur Distribution (CSRF)
Beispiel: Samy-Wurm auf MySpace
Aus Usability HTML-Eingaben erlaubt und gefiltert
Blacklist-Filter hatte Lücken, XSS wurde möglich
CSRF über Token geschützt, durch XSS korrumpiert

98. XSS Würmer und Viren
Benötigt wird: Code-Payload (persistenter XSS)
Möglichkeit zur Distribution (CSRF)
Beispiel: Samy-Wurm auf MySpace
Aus Usability HTML-Eingaben erlaubt und gefiltert
Blacklist-Filter hatte Lücken, XSS wurde möglich
CSRF über Token geschützt, durch XSS korrumpiert
Innerhalb von 15 Stunden auf 1 Million Accounts
verbreitet

99. XSS Würmer und Viren
Benötigt wird: Code-Payload (persistenter XSS)
Möglichkeit zur Distribution (CSRF)
Beispiel: Samy-Wurm auf MySpace
Aus Usability HTML-Eingaben erlaubt und gefiltert
Blacklist-Filter hatte Lücken, XSS wurde möglich
CSRF über Token geschützt, durch XSS korrumpiert
Innerhalb von 15 Stunden auf 1 Million Accounts
verbreitet

100. Aktueller Status Viren

101. Aktueller Status Viren
JavaScript-Viren und Würmer immer noch:

102. Aktueller Status Viren
JavaScript-Viren und Würmer immer noch:
SpaceFlash auf MySpace

103. Aktueller Status Viren
JavaScript-Viren und Würmer immer noch:
SpaceFlash auf MySpace
Yamanner auf Yahoo Mail

104. Aktueller Status Viren
JavaScript-Viren und Würmer immer noch:
SpaceFlash auf MySpace
Yamanner auf Yahoo Mail
Orkut Virus (Dezember 2007)

105. Aktueller Status Viren
JavaScript-Viren und Würmer immer noch:
SpaceFlash auf MySpace
Yamanner auf Yahoo Mail
Orkut Virus (Dezember 2007)
Aus der Praxis, ein CSRF-Only-Wurm:

106. Aktueller Status Viren
JavaScript-Viren und Würmer immer noch:
SpaceFlash auf MySpace
Yamanner auf Yahoo Mail
Orkut Virus (Dezember 2007)
Aus der Praxis, ein CSRF-Only-Wurm:
Bild-URL: /addfriend/johannhartmann

107. Aktueller Status Viren
JavaScript-Viren und Würmer immer noch:
SpaceFlash auf MySpace
Yamanner auf Yahoo Mail
Orkut Virus (Dezember 2007)
Aus der Praxis, ein CSRF-Only-Wurm:
Bild-URL: /addfriend/johannhartmann
Bisher war die Applikation SPoF der Viren

108. Privatsphäre und
das Web 2.0

109. Privacy 2.0
Stacy Snyder: Lehramtsanwärterin mit MySpace-Foto
mit Piratenmütze

110. Privacy 2.0
Stacy Snyder: Lehramtsanwärterin mit MySpace-Foto
mit Piratenmütze
Abschluss wurde aufgrund dieses Bilds abgelehnt

111. Privacy 2.0
Stacy Snyder: Lehramtsanwärterin mit MySpace-Foto
mit Piratenmütze
Abschluss wurde aufgrund dieses Bilds abgelehnt
http://mycrimespace.com

112. Privacy 2.0
Stacy Snyder: Lehramtsanwärterin mit MySpace-Foto
mit Piratenmütze
Abschluss wurde aufgrund dieses Bilds abgelehnt
http://mycrimespace.com
Suizid aufgrund von Verleumdung

113. Privacy 2.0
Stacy Snyder: Lehramtsanwärterin mit MySpace-Foto
mit Piratenmütze
Abschluss wurde aufgrund dieses Bilds abgelehnt
http://mycrimespace.com
Suizid aufgrund von Verleumdung
sexuelle Belästigung

114. Privacy 2.0
Stacy Snyder: Lehramtsanwärterin mit MySpace-Foto
mit Piratenmütze
Abschluss wurde aufgrund dieses Bilds abgelehnt
http://mycrimespace.com
Suizid aufgrund von Verleumdung
sexuelle Belästigung
aber: führte auch zur Entdeckung von Straftätern

116. Social Communities
2005: Ich gebe meine Daten frei, und bekomme dafür
Kontakte
2006: Ich sage, wem ich welche Daten freigebe, und
kann dies zurückziehen
2007: Meine Daten werden weiterverwertet
ich kann meine Daten nur noch auf der ursprünglichen
Plattform zurückziehen
OpenID und OpenSocial: Schnellere Verbreitung

117. Das Vertrauensmodell von
Social Communities reicht in
Zukunft nicht mehr aus.

118. Mit der Gefahr leben

119. Sicherheit im Client

120. Sicherheit im Client
Browser-Extensions für den Firefox: XSS & History
Hack

121. Sicherheit im Client
Browser-Extensions für den Firefox: XSS & History
Hack
NoScript

122. Sicherheit im Client
Browser-Extensions für den Firefox: XSS & History
Hack
NoScript
SafeHistory

123. Sicherheit im Client
Browser-Extensions für den Firefox: XSS & History
Hack
NoScript
SafeHistory
Firefox 3.0 löst eine ganze Reihe von Problemen

124. Sicherheit im Client
Browser-Extensions für den Firefox: XSS & History
Hack
NoScript
SafeHistory
Firefox 3.0 löst eine ganze Reihe von Problemen
Browser Shielding: Signaturen bekannter Angriffe
kommen nicht mehr zum Browser

125. Zukunft: Vertrauen im
Browser

126. Zukunft: Vertrauen im
Browser
Granulare Rechtevergabe auf die HTML-Resourcen/
DOM-Baum

127. Zukunft: Vertrauen im
Browser
Granulare Rechtevergabe auf die HTML-Resourcen/
DOM-Baum
Sichere Defaults im Browser

128. Zukunft: Vertrauen im
Browser
Granulare Rechtevergabe auf die HTML-Resourcen/
DOM-Baum
Sichere Defaults im Browser
Keine Zugriffe auf das Netzwerk

129. Zukunft: Vertrauen im
Browser
Granulare Rechtevergabe auf die HTML-Resourcen/
DOM-Baum
Sichere Defaults im Browser
Keine Zugriffe auf das Netzwerk
JavaScript kann für Bereiche der Seite verboten
werden

130. Zukunft: Vertrauen im
Browser
Granulare Rechtevergabe auf die HTML-Resourcen/
DOM-Baum
Sichere Defaults im Browser
Keine Zugriffe auf das Netzwerk
JavaScript kann für Bereiche der Seite verboten
werden
Komponenten entscheiden selbst, welche anderen
Komponenten auf sie zugreifen dürfen.

131. Zukunft: Vertrauen im
Browser
Granulare Rechtevergabe auf die HTML-Resourcen/
DOM-Baum
Sichere Defaults im Browser
Keine Zugriffe auf das Netzwerk
JavaScript kann für Bereiche der Seite verboten
werden
Komponenten entscheiden selbst, welche anderen
Komponenten auf sie zugreifen dürfen.
MashUpOS: Browserbasierte granulare Rechte

132. Sicherheit in der
Entwicklung: konkret
XSS ist ein kritisches Problem bei Web 2.0

133. Sicherheit in der
Entwicklung: konkret
XSS ist ein kritisches Problem bei Web 2.0
gezielter Einsatz von Libraries, Prüfung der Nutzung

134. Sicherheit in der
Entwicklung: konkret
XSS ist ein kritisches Problem bei Web 2.0
gezielter Einsatz von Libraries, Prüfung der Nutzung
kein HTML erlauben, oder Whitelisting Filter

135. Sicherheit in der
Entwicklung: konkret
XSS ist ein kritisches Problem bei Web 2.0
gezielter Einsatz von Libraries, Prüfung der Nutzung
kein HTML erlauben, oder Whitelisting Filter
CSRF wird einfacher

136. Sicherheit in der
Entwicklung: konkret
XSS ist ein kritisches Problem bei Web 2.0
gezielter Einsatz von Libraries, Prüfung der Nutzung
kein HTML erlauben, oder Whitelisting Filter
CSRF wird einfacher
CSRF-Schutz über Token-Authentifzierung der
Formulare

137. Sicherheit in der
Entwicklung: konkret
XSS ist ein kritisches Problem bei Web 2.0
gezielter Einsatz von Libraries, Prüfung der Nutzung
kein HTML erlauben, oder Whitelisting Filter
CSRF wird einfacher
CSRF-Schutz über Token-Authentifzierung der
Formulare
Jede Boundary of Trust muss geprüft werden

138. Sicherheit in der
Entwicklung: konkret
XSS ist ein kritisches Problem bei Web 2.0
gezielter Einsatz von Libraries, Prüfung der Nutzung
kein HTML erlauben, oder Whitelisting Filter
CSRF wird einfacher
CSRF-Schutz über Token-Authentifzierung der
Formulare
Jede Boundary of Trust muss geprüft werden
MashUps, RSS-Feeds, Web Services

139. Sicherheit in der
Entwicklung: konkret
XSS ist ein kritisches Problem bei Web 2.0
gezielter Einsatz von Libraries, Prüfung der Nutzung
kein HTML erlauben, oder Whitelisting Filter
CSRF wird einfacher
CSRF-Schutz über Token-Authentifzierung der
Formulare
Jede Boundary of Trust muss geprüft werden
MashUps, RSS-Feeds, Web Services

140. Sicherheit in der
Entwicklung: Management

141. Sicherheit in der
Entwicklung: Management
Security-Guidelines für Plugins und JavaScript

142. Sicherheit in der
Entwicklung: Management
Security-Guidelines für Plugins und JavaScript
Audits für Desktop-Clients, Plugins und JavaScript

143. Sicherheit in der
Entwicklung: Management
Security-Guidelines für Plugins und JavaScript
Audits für Desktop-Clients, Plugins und JavaScript
regelmässige Entwickler-Schulungen

144. Sicherheit in der
Entwicklung: Management
Security-Guidelines für Plugins und JavaScript
Audits für Desktop-Clients, Plugins und JavaScript
regelmässige Entwickler-Schulungen
Risikoanalyse mit Data Flow Diagrammen

145. Sicherheit in der
Entwicklung: Management
Security-Guidelines für Plugins und JavaScript
Audits für Desktop-Clients, Plugins und JavaScript
regelmässige Entwickler-Schulungen
Risikoanalyse mit Data Flow Diagrammen
Audits eingebundener Services

146. Sicherheit in der
Entwicklung: Management
Security-Guidelines für Plugins und JavaScript
Audits für Desktop-Clients, Plugins und JavaScript
regelmässige Entwickler-Schulungen
Risikoanalyse mit Data Flow Diagrammen
Audits eingebundener Services
Es gibt kein universelles Escaping und keine universelle
Validierung

147. Sicherheit auf Serverseite

148. Sicherheit auf Serverseite
Web Application Firewalls gegen XSS

149. Sicherheit auf Serverseite
Web Application Firewalls gegen XSS
Virus / Worm/ Spidering Detection in Webserver, WAF
oder der Applikation selbst

150. Sicherheit auf Serverseite
Web Application Firewalls gegen XSS
Virus / Worm/ Spidering Detection in Webserver, WAF
oder der Applikation selbst
MashUp-Proxy

151. Sicherheit auf Serverseite
Web Application Firewalls gegen XSS
Virus / Worm/ Spidering Detection in Webserver, WAF
oder der Applikation selbst
MashUp-Proxy
Die Integration wird auf den Server verlegt

152. Sicherheit auf Serverseite
Web Application Firewalls gegen XSS
Virus / Worm/ Spidering Detection in Webserver, WAF
oder der Applikation selbst
MashUp-Proxy
Die Integration wird auf den Server verlegt
der Server validiert und säubert die Daten aus den
externen Quellen

153. Sicherheit auf Serverseite
Web Application Firewalls gegen XSS
Virus / Worm/ Spidering Detection in Webserver, WAF
oder der Applikation selbst
MashUp-Proxy
Die Integration wird auf den Server verlegt
der Server validiert und säubert die Daten aus den
externen Quellen

154. Privacy im Web 2.0

155. Privacy im Web 2.0
Relationship-basierte Rechtefreigabe

156. Privacy im Web 2.0
Relationship-basierte Rechtefreigabe
flexible Gruppierung von Rechten und Personen über
Tagging

157. Privacy im Web 2.0
Relationship-basierte Rechtefreigabe
flexible Gruppierung von Rechten und Personen über
Tagging
Regeln zur Interoperabilität: wer darf welche Daten
weitergeben

158. Privacy im Web 2.0
Relationship-basierte Rechtefreigabe
flexible Gruppierung von Rechten und Personen über
Tagging
Regeln zur Interoperabilität: wer darf welche Daten
weitergeben
Freigaben sind Sticky und folgen den Daten

159. Privacy im Web 2.0
Relationship-basierte Rechtefreigabe
flexible Gruppierung von Rechten und Personen über
Tagging
Regeln zur Interoperabilität: wer darf welche Daten
weitergeben
Freigaben sind Sticky und folgen den Daten
Freigaben mit Verfallsdatum

160. Privacy im Web 2.0
Relationship-basierte Rechtefreigabe
flexible Gruppierung von Rechten und Personen über
Tagging
Regeln zur Interoperabilität: wer darf welche Daten
weitergeben
Freigaben sind Sticky und folgen den Daten
Freigaben mit Verfallsdatum
Spidering-Protection

161. Fragen?

162. Vielen Dank!
Weitere Fragen:
johann-peter.hartmann@sektioneins.de
xing.com/profile/JohannPeter_Hartmann