Slides zu meinem Talk beim Entwicklertag 2015 in Karlsruhe.
# Zusammenfassung
Sicherheit von Web-Anwendungen ist ein heißes Thema. Obwohl seit Jahren aktuell, werden die Meldungen über erneute Lücken gefühlt eher schlimmer als besser. Der Trend zu Single-Page-Anwendungen bringt für uns Entwickler eine ganze Reihe neuer Herausforderungen in punkto Sicherheit mit sich, da immer mehr Funktionalität in den Browser verlagert wird und dadurch mehr Code in nicht vertrauenswürdiger Umgebung läuft.
In diesem Talk wir anhand von AngularJS gezeigt auf was man bei SPAs achten muss. Anhand von Code-Beispielen wird natürlich auch gezeigt wie man sich z.B. vor Cross-Site-Scripting, Cross-Site-Request-Forgery und Code-Injection schützt und welche Gefahren sonst noch so lauern.
# Kurz-Bio
Philipp Burgmer studierte an der Hochschule Karlsruhe Informatik und arbeitet als Entwickler, Berater und [Trainer](http://thecodecampus.de) für die [w11k GmbH](http://w11k.de). Er ist Experte für Webtechnologien und beschäftigt sich mit der Gestaltung und Optimierung von Benutzeroberflächen. Privat interessiert er sich für Klettern und DJing.
Bernd Fuhlert: Code of conduct zum DatenschutzBernd Fuhlert
Code of conduct zum Datenschutz:
Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement
- -
Bernd Fuhlert steht für Expertise in den Bereichen Datenschutz und Haftungsmanagement. Bernd Fuhlert ist als Marketingexperte mit profunden Kenntnissen der juristischen Landschaft stets auf dem neuesten Stand. Sein Ziel ist es, Risiken für seine Kunden zu minimieren und Kosten einzusparen.
Im Frühjahr 2014 lernten 500 TeilnehmerInnen aus mehr als 30 Ländern im cope14 MOOC der FH Joanneum rund um "Competences for global Collaboration". Im Vortrag wird der Designprozess von cope14 dargestellt.
Slides zu meinem Talk beim Entwicklertag 2015 in Karlsruhe.
# Zusammenfassung
Sicherheit von Web-Anwendungen ist ein heißes Thema. Obwohl seit Jahren aktuell, werden die Meldungen über erneute Lücken gefühlt eher schlimmer als besser. Der Trend zu Single-Page-Anwendungen bringt für uns Entwickler eine ganze Reihe neuer Herausforderungen in punkto Sicherheit mit sich, da immer mehr Funktionalität in den Browser verlagert wird und dadurch mehr Code in nicht vertrauenswürdiger Umgebung läuft.
In diesem Talk wir anhand von AngularJS gezeigt auf was man bei SPAs achten muss. Anhand von Code-Beispielen wird natürlich auch gezeigt wie man sich z.B. vor Cross-Site-Scripting, Cross-Site-Request-Forgery und Code-Injection schützt und welche Gefahren sonst noch so lauern.
# Kurz-Bio
Philipp Burgmer studierte an der Hochschule Karlsruhe Informatik und arbeitet als Entwickler, Berater und [Trainer](http://thecodecampus.de) für die [w11k GmbH](http://w11k.de). Er ist Experte für Webtechnologien und beschäftigt sich mit der Gestaltung und Optimierung von Benutzeroberflächen. Privat interessiert er sich für Klettern und DJing.
Bernd Fuhlert: Code of conduct zum DatenschutzBernd Fuhlert
Code of conduct zum Datenschutz:
Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement
- -
Bernd Fuhlert steht für Expertise in den Bereichen Datenschutz und Haftungsmanagement. Bernd Fuhlert ist als Marketingexperte mit profunden Kenntnissen der juristischen Landschaft stets auf dem neuesten Stand. Sein Ziel ist es, Risiken für seine Kunden zu minimieren und Kosten einzusparen.
Im Frühjahr 2014 lernten 500 TeilnehmerInnen aus mehr als 30 Ländern im cope14 MOOC der FH Joanneum rund um "Competences for global Collaboration". Im Vortrag wird der Designprozess von cope14 dargestellt.
Wellness & Badebereich im Hotel Schwarzer Adler Nauders am Reschenpassadlerhotel
Das Viersterne Hotel Schwarzer Adler sorgt für Verwöhnmomente und Ruhezeiten im großzügigen Wellnessbereich mit Panorama - Erlebnisbad, Kneipptretbecken, Solarium, Infrarot-Tiefenwärmekabine sowie wohltuende Massagen und Körperbehandlungen. Sie werden es Lieben..
Erfahren Sie, wie Sie JSN ImageShow konfigurieren können – a Joomla Fotogalerie. Hier ist die Demo:
http://www.joomlashine.com/joomla-extensions/jsn-imageshow-details.html
Um an der Spitze von Joomla Tutorials von JoomlaShine zu bleiben:
- Klicken Sie auf den “Gefällt mir” Button auf FB: http://www.facebook.com/joomlashine
- Folgen Sie uns auf Twitter: http://twitter.com/joomlashine
Der deutsche Mittelstand hat verschiedenste Chancen in Africa. Vor allem in Nigeria, Kenia, Ghana und Südafrika bestehen für deutsche Unternehmen Chancen für den Vertrieb, Export, Investition und lokale Produktion. Der Bericht zeigt Chancen auf, stellt Risiken dar und gibt konkrete Handlungsempfehlungen für Afrika.
Foliensatz zum Vortrag 'Open Transport in der Stadt Linz' des OKF-AT MeetUp: Open Transport (Data), am 14.11.2013, bei Fabasoft in Wien.
Präsentiert von DI Egon Pischinger, Linz AG & Linz Linien
Das WordPress Backend ist nicht immer konsistent, geschweige denn wirklich benutzerfreundlich. Ein paar Hilfen wie man die UX für den normalen Benutzer etwas verbessern kann.
Wellness & Badebereich im Hotel Schwarzer Adler Nauders am Reschenpassadlerhotel
Das Viersterne Hotel Schwarzer Adler sorgt für Verwöhnmomente und Ruhezeiten im großzügigen Wellnessbereich mit Panorama - Erlebnisbad, Kneipptretbecken, Solarium, Infrarot-Tiefenwärmekabine sowie wohltuende Massagen und Körperbehandlungen. Sie werden es Lieben..
Erfahren Sie, wie Sie JSN ImageShow konfigurieren können – a Joomla Fotogalerie. Hier ist die Demo:
http://www.joomlashine.com/joomla-extensions/jsn-imageshow-details.html
Um an der Spitze von Joomla Tutorials von JoomlaShine zu bleiben:
- Klicken Sie auf den “Gefällt mir” Button auf FB: http://www.facebook.com/joomlashine
- Folgen Sie uns auf Twitter: http://twitter.com/joomlashine
Der deutsche Mittelstand hat verschiedenste Chancen in Africa. Vor allem in Nigeria, Kenia, Ghana und Südafrika bestehen für deutsche Unternehmen Chancen für den Vertrieb, Export, Investition und lokale Produktion. Der Bericht zeigt Chancen auf, stellt Risiken dar und gibt konkrete Handlungsempfehlungen für Afrika.
Foliensatz zum Vortrag 'Open Transport in der Stadt Linz' des OKF-AT MeetUp: Open Transport (Data), am 14.11.2013, bei Fabasoft in Wien.
Präsentiert von DI Egon Pischinger, Linz AG & Linz Linien
Das WordPress Backend ist nicht immer konsistent, geschweige denn wirklich benutzerfreundlich. Ein paar Hilfen wie man die UX für den normalen Benutzer etwas verbessern kann.
Kleiner Überblick über die Möglichkeiten WordPress auf AWS zu hosten und die Vorteile der automatischen Skalierung für sich zu nutzen. Vortrag auf dem WordCamp Frankfurt 2016
WordPress Security - WP Meetup München 24.9.2015stk_jj
Betrifft mich die Diskussion um Angriffe auf WordPress überhaupt? Welche Angriffsvektoren gibt es überhaupt und wie kann ich meine Installation dagegen verteidigen?
We are WP, we are legion - WP Camp 2013 Berlinstk_jj
Vortrag
We are WordPress, we are legion
WP Camp 2013 Berlin
Effiziente Verwaltung mehrere WP-Installationen. Vergleich mehrerer Management Plattformen, wie z.B. WP Remote, iControlWP, ManageWP, CMS Commander und InfiniteWP
4. Cross-Site-Scripting (XSS)
bezeichnet das Ausnutzen einer
Computersicherheitslücke in
Webanwendungen, indem Informationen
aus einem Kontext, in dem sie nicht
vertrauenswürdig sind, in einen anderen
Kontext eingefügt werden, in dem sie als
vertrauenswürdig eingestuft werden. Aus
diesem vertrauenswürdigen Kontext kann
dann ein Angriff gestartet werden.
5. SQL Injections
bezeichnet das Ausnutzen einer
Sicherheitslücke in Zusammenhang mit
SQL-Datenbanken, die durch mangelnde
Maskierung oder Überprüfung von
Metazeichen in Benutzereingaben entsteht.
Der Angreifer versucht dabei, über die
Anwendung, die den Zugriff auf die
Datenbank bereitstellt, eigene
Datenbankbefehle einzuschleusen.
10. "In diesem Augenblick ist alles perfekt.
Die Weichheit des Lichts, dieser feine
Duft, die ruhige Atmosphäre der Stadt. Sie
atmet tief ein, und das Leben erscheint ihr so
einfach, so klar, dass sie eine Anwandlung
von Liebe überkommt und das Verlangen der
gesamten Menschheit zu helfen."
/wp-includes/kses.php
15. CRSF
ist ein Angriff auf ein Computersystem, bei
dem der Angreifer eine Transaktion in
einer Webanwendung durchführt. Einem
Opfers, das bei einer Webanwendung
bereits angemeldet sein muss, wird ohne
dessen Wissen im Webbrowser ein
arglistiger HTTP-Request (‚Anforderung‘),
der die vom Angreifer gewünschte Aktion
ausführt, untergeschoben.
16. Nonces
• Numbers used once = Einmalpasswort
• keine dogmatische, reine Lehre
• alphanumerisch ≠ numerisch
• 12 h Lebensdauer ≠ einmalig
• Prüfung der Intention
• Erzeugung des nonces bei Aufruf Formular
• Überprüfung des nonces bei Übermittlung
20. –Andrew Nacin, WordPress Lead Developer
in a presentation
‘WordPress.org & Optimizing Security for your WordPress sites’
June 2013
„The WordPress security team is made up of 25
experts including lead developers and security
researchers — about half are employees of
Automattic, and a number work in the web security
field. We consult with well-known and trusted
security researchers and hosting companies.“
WordPress Security Team
