Sicherheit von Webanwendungen

Erstellt am Freitag, 26. Januar 2007 von Joachim Schuler

Sehr informativer Artikel bei Heise Security über die Sicherheit von Webanwendungen und die verschiedenen Angriffsszenarien. Hierbei wird auf Themen wie Cross Site Scripting, Remote Code Execution, SQL-Injektion und die wichtigsten PHP-Sicherheitsoptionen eingegangen.

Jeder Betreiber einer Website muss mit Angreifern rechnen, die sie für Spam, Phishing oder sonstige Zwecke zu missbrauchen versuchen. Besonders anfällig dafür sind Webanwendungen mit PHP oder anderen Skriptsprachen. Wer jedoch die gängigen Sicherheitslücken und Angriffstechniken kennt, kann den Bösewichten die Stirn bieten.

Für jeden Webentwickler eine sinnvolle Lektüre aus außerhalb des PHP-Umfelds.

Link: heise Security: Gesundes Misstrauen - Sicherheit von Webanwendungen

Abgelegt in der Kategorie: Programmierung, Security | Keine Kommentare »

Interne Tags: Tags: , , ,

Security Update auf Wordpress 2.0.6

Erstellt am Samstag, 6. Januar 2007 von Joachim Schuler

Sorry, für den kurzen Ausfall, aber wer es noch nicht mitbekommen hat: WordPress 2.0.6 ist raus und
enthält unter anderem wichtige Sicherheitsfixes. Also: Updaten!

Funktionierte bei mir ohne Probleme (wie bisher immer).

gefunden bei Glorf.IT und Wordpress Deutschland

Abgelegt in der Kategorie: Allgemein, Webhosting | Keine Kommentare »

Interne Tags: Tags: , ,

Neues kostenloses EBook “Sicherheit im Internet”

Erstellt am Mittwoch, 27. Dezember 2006 von Joachim Schuler

Buch Sicherheit im InternetHeute hat der O’Reilly-Verlag ein neues OpenBook aus seiner Reihe “o’reillys basics” herausgegeben.

Das inzwischen in der 2. Auflage aufgelegte Buch “Sicherheit im Internet”, umfasst 352 Seiten und kann von nun an kostenfrei gelesen und heruntergeladen werden.

Im Buch geht der Autor auf die Gefahren und mögliche Vorbeugemaßnahmen im Bereich Sicherheit im Internet ein. Dem Leser werden in diesem Buch technischen Hintergründe des Internets erklärt und gleichzeitig versucht das Sicherheitsbewusstsein beim Surfen durch das Internet zu schärfen.

Desweiteren geht der Autor, für Computer- und Internetlaien, auch auf wichtige grundlegende Begriffe wie das World Wide Web, Browser, E-Mail, E-Commerce und Online-Banking sowie Anonymität, Viren, Würmer und Trojaner ein. In eigenen Kapiteln beschreibt er mögliche Angriffsszenarien und die Abwehrfunkionalitäten von Firewalls und erweiterten Sicherheitssystemen.

Der Autor beschreibt hierbei nicht nur die Risiken des Internets, sondern bietet vor allem auch sinnvolle Sicherheitskonzepte und Lösungswege für eine sichere Anwendung des Internets, die für jeden User umsetzbar sind. Außerdem gibt es auch ein Kapitel mit dem Titel “Erste Hilfe”, in dem die Leser hilfreiche Tipps für eine sichere Windows-Installation bekommen.

Das kostenlose Buch “Sicherheit im Internet” von Krzysztof Janowicz bietet sich sowohl als Onlinelektüre, als auch zum Offlinelesen an. Das kostenlose EBook läßt sich zum Offlinelesen kapitelweise als PDF-Dateien herunterladen.

Link zum Buch: O’Reilly EBook “Sicherheit im Internet”

Quelle: Golem.de - “Sicherheit im Internet” als OpenBook

Abgelegt in der Kategorie: Bücher, Security | Keine Kommentare »

Interne Tags: Tags: , ,

Virtuelle private Netze unter Windows

Erstellt am Dienstag, 19. September 2006 von Joachim Schuler

Wenn man den Begriff “Virtual Private Network” hört, dann klingt das zuerst, nach aufwendiger, teurer Profitechnik, die nichts für den Privatmann ist. Allgemein bekannt ist auch, dass viele Firmen VPNs einsetzen, um ihren Mitarbeitern einen abgesicherten Zugang zum internen Netzwerk zu bieten.

Allerdings ist solch ein VPN auch für Privatanwender interessant. Über das virtuelle Netz kann sich der Home-Admin, verschlüsselt, von überall aus, mit dem eigenen Netzwerk zu Hause, verbinden. Hiermit lässt sich einfach der Server zuhause fernadministrieren. Wie man sich sein eigenes VPN (Virtual Private Network) unter Windows erstellt, zeigt ein sehr interessanter Artikel auf Heise-Netze.

Im Artikel wird erklärt, welche Software man benötigt und wie diese eingerichtet wird. Außerdem werden zahlreiche Tools benannt, die einem das Ganze noch leichter machen.

Und das Gute ist, dass die benötigte Software, um sich mit einem VPN-Server zu verbinden, bereits alle Windows-Versionen seit Windows98 dabei haben . Auf der Gegenseite, als VPN-Server, kann sowohl Windows 2000-, als auch ein Windows XP Home- und Professional-Rechner dienen, die das VPN-Protokoll PPTP (Point To Point Tunneling Protocol), für die Kommunikation mit dem Client verwenden.

Für weitere Infos einfach hier weiterlesen:

Link: heise Netze - Virtuelle private Netze unter Windows

Sehr ausführlich und sehr lesenswert…

Abgelegt in der Kategorie: Security, Windows | Keine Kommentare »

Interne Tags: Tags: , , , ,

.htaccess für den Tomcat

Erstellt am Mittwoch, 6. September 2006 von Joachim Schuler

Heute bin ich auf ein Problem gestoßen, als ich den Zugriff auf eine Tomcat-Webapplikation per Passwort schützen wollte. Also dachte ich mir, dass dies bestimmt ähnlich wie beim Apache-Webserver mittels einer .htaccess-Datei zu verwirklichen ist.

Aber so leicht war dies leider nicht, denn dies funktioniert so nicht. Also entweder einen Apache davor hängen und mit mod_jk verbinden, dass der Apache sich um die Authentifizierung kümmern kann, oder dies im Tomcat selber machen.

Auf der Seite von Martin Schädler habe ich die Lösung für dieses Problem gefunden. Die User- und Passwort-Abfrage lässt sich am Besten im Tomcat mittels eines SecurityConstraints in der web.xml verwirklichen.

Hier ein kleines Beispiel:


  <web-app>
    ...
    </servlet-mapping>
    <security-constraint> 
        <web-resource-collection>
            <web-resource-name>web</web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>secure</role-name>
        </auth-constraint>
    </security-constraint>
    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>interner Bereich</realm-name>
    </login-config>
  </web-app>

Zusätzlich muß in der tomcat-users.xml die Rolle internalarea definieren werden und mit einem oder mehreren Usern verknüpft werden….


  <role rolename="secure"/>
  <user username="user" password="pw" roles="secure"/>

Und schon hat man einen gesicherten Bereich in seiner Webapplikation realisiert. ;-)

Quelle: Martin Schädler’s - Tomcat-Tipps

Abgelegt in der Kategorie: Java, Programmierung, Security | 4 Kommentare »

Interne Tags: Tags: , , , ,

“Security Engineering”- das EBook zum Thema Software- und System-Sicherheit

Erstellt am Donnerstag, 31. August 2006 von Joachim Schuler

Das Standardwerk zum Thema Software- und System-Sicherheit “Security Engineering” von Ross Andersons kann ab sofort kostenlos heruntergeladen werden.

Security Engineering EBook

Anderson selbst ist Professor für “Security Engineering” an der Universität Camebridge. Er selbst sagt, er wäre ein Verfechter der freien Kultur und Software und er möchte damit vorallem die armen Studenten errreichen. Endlich konnte er seinen Verlag Wiley überzeugen, dass das Buch kostenlos zur Verfügung gestellt wird.

Das englischsprachige Buch “Security Engineering” von Ross Anderson hat 612 Seiten. Ausserdem ist es mit einem Vorwort von Sicherheitsexperte Bruce Schneier gespickt, der über das Standardwerk sagt: “Wer darüber nachdenkt, etwas im Bereich Security-Engineering zu tun, muss dieses Buch lesen”.

Hier geht es zum Buch: Security Engineering - The Book

Quelle: Golem.de - Ross Andersons “Security Engineering” kostenlos zum Download

Abgelegt in der Kategorie: Bücher, Security | Keine Kommentare »

Interne Tags: Tags: ,

Seiten: « Zurück 1 2 3 4 5 Weiter »

Meine Amazon Buch-Empfehlungen