owasp Sichere Websites mit den OWASP Top 10: Fehlerhafte Autorisierung auf Anwendungsebene Wenn Sie heute eine Website veröffentlichen, vergehen kaum ein paar Minuten, bis sie das erste Mal angegriffen werden. Diese Artikelserie beschäftigt sich mit den OWASP Top 10, den zehn meisten Sicherheitsrisiken, und gibt Tipps, wie sie sich und ihre Produkte schützen können. Diese Serie besteht aus den folgenden Artikeln: * Teil
owasp Sichere Websites mit den OWASP Top 10: Verlust der Vertraulichkeit sensibler Daten Wenn Sie heute eine Website veröffentlichen, vergehen kaum ein paar Minuten, bis sie das erste Mal angegriffen werden. Diese Artikelserie beschäftigt sich mit den OWASP Top 10, den zehn meisten Sicherheitsrisiken, und gibt Tipps, wie sie sich und ihre Produkte schützen können. Diese Serie besteht aus den folgenden Artikeln: * Teil
Datenpanne Datenpanne bei Dropbox Die Internetkriminalität hat nun auch mich getroffen. Kriminellen Hackern ist es gelungen, E-Mail Adressen und Passwörter von Dropbox zu stehlen. Darunter auch die Zugangsdaten von mir. Dropbox weiss davon. Letzten Samstag erhielt ich folgende E-Mail. Heute nun habe ich eine weitere E-Mail erhalten. Sie stammt von der Website have i
2FA TOTP in eigene Anwendung integrieren Heute zeige ich Ihnen, wie Sie Zwei-Faktor Authentifizierung in Ihre Anwendung integrieren können. Dazu verwenden wir Time-based One-time Passwords (TOTP), das ich schon in einem vorherigen Artikel [https://www.michaelschuler.ch/totp-hotp-zwei-faktor-authentifizierung/] vorgestellt habe. User Interface Für den Benutzer sollte die Aktivierung möglichst einfach sein. Ich erstelle daher einen Dialog,
.NET Open Source Highlight: UniqueIdGenerator In verteilten Systemen ist das Erstellen eindeutiger IDs nicht ganz so einfach. Es muss nämlich sichergestellt werden, dass mehrere Maschinen nicht die gleiche ID vergeben. Die häufigsten Lösungen dafür ist die Verwendung von GUIDs oder dass die Datenbank die IDs generiert. Beide Lösungen haben ihre Nachteile. Wenn die Datenbank die
web security So bringen Sie Ihre Benutzer dazu, sichere Kennwörter zu verwenden Ich persönlich nutze für jedes Benutzerkonto ein eigenes Passwort. Der Passwort Manager meiner Wahl generiert mir automatisch sichere Kennwörter, das erleichtert es natürlich. Leider gehöre ich damit zu einer Minderheit, die allermeisten Internetnutzer haben ein einziges oder eine Handvoll Passwörter für sämtliche Accounts. Damit die Kennwörter wenigstens sicher sind, haben
owasp Sichere Websites mit den OWASP Top 10: Sicherheitsrelevante Fehlkonfiguration Wenn Sie heute eine Website veröffentlichen, vergehen kaum ein paar Minuten, bis sie das erste Mal angegriffen werden. Diese Artikelserie beschäftigt sich mit den OWASP Top 10, den zehn meisten Sicherheitsrisiken, und gibt Tipps, wie sie sich und ihre Produkte schützen können. Diese Serie besteht aus den folgenden Artikeln: * Teil
Open Source Open Source Highlight: Polly In meinem Berufsalltag begegnen mir immer wieder ausgezeichnete Open Source Bibliotheken, die ich mir auf GitHub markiere [https://github.com/stars/mschuler]. Einige davon möchte ich gerne vorstellen. Als erste Bibliothek in dieser Serie möchte ich Polly vorstellen. Polly kommt dann zum Einsatz, wenn Funktionsaufrufe getätigt werden, von denen man
2FA Was ist TOTP und HOTP? Zwei Schlagworte, die im Zusammenhang mit Zwei-Faktor Authentifizierung (2FA) immer wieder auftauchen sind HOTP und TOTP. Sie sind eine Alternative zu U2F, welches ich bereits vorgestellt habe [https://www.michaelschuler.ch/zwei-faktor-authentifizierung-mit-u2f-und-uaf-der-fido-allianz/]. HOTP und TOTP wurden von der Initiative for Open Authentication (OATH) definiert und von der IETF als RFC
2FA Zwei-Faktor Authentifizierung mit U2F und UAF der FIDO-Allianz Die Kombination von Benutzername und Passwort gilt schon lange nicht mehr als der heilige Gral der sicheren Authentifizierung. Zu unsicher sind die von Benutzern gewählten Passwörter, zu unsicher werden sie gespeichert [https://www.michaelschuler.ch/passworter-sicher-speichern/]. Das sehr verbreitete und tragischerweise auch oft erfolgreiche Phishing stellt eine weitere Herausforderung dar,
owasp Sichere Websites mit den OWASP Top 10: Unsichere direkte Objektreferenzen Wenn Sie heute eine Website veröffentlichen, vergehen kaum ein paar Minuten, bis sie das erste Mal angegriffen werden. Diese Artikelserie beschäftigt sich mit den OWASP Top 10, den zehn meisten Sicherheitsrisiken, und gibt Tipps, wie sie sich und ihre Produkte schützen können. Diese Serie besteht aus den folgenden Artikeln: * Teil
owasp Automated Threat Detection mit CEP - Token Cracking Dies ist der zweite Teil der Artikelserie Automated Threat Detection mit CEP, die aufzeigt, wie mittels komplexer Ereignisverarbeitung Angriffe auf eine Website entdeckt werden können. Die Serie besteht aus den folgenden Artikel: * Teil 1: Einführung [https://www.michaelschuler.ch/automated-threat-detection-mit-cep-via-rx/] * Teil 2: Token Cracking / Credential Cracking (dieser Artikel) Dieser Artikel
owasp Sichere Websites mit den OWASP Top 10: Cross-Site Scripting (XSS) Wenn Sie heute eine Website veröffentlichen, vergehen kaum ein paar Minuten, bis sie das erste Mal angegriffen werden. Diese Artikelserie beschäftigt sich mit den OWASP Top 10, den zehn meisten Sicherheitsrisiken, und gibt Tipps, wie sie sich und ihre Produkte schützen können. Diese Serie besteht aus den folgenden Artikeln: * Teil
cryptography Tipps zum sicheren Speichern von Passwörtern Haben Sie sich schon Gedanken darüber gemacht, ob Sie Passwörter Ihrer Benutzer sicher abspeichern? Was bedeutet sicher in diesem Kontext überhaupt? Nehmen Sie mal an, es gelingt einem Angreifer Ihre Datenbank komplett zu stehlen. Gehen Sie zusätzlich davon aus, Ihre Benutzer verwenden das gleiche Kennwort auch für andere Dienste, beispielsweise
owasp Sichere Websites mit den OWASP Top 10: Fehler in Authentifizierung und Session-Management Wenn Sie heute eine Website veröffentlichen, vergehen kaum ein paar Minuten, bis sie das erste Mal angegriffen werden. Diese Artikelserie beschäftigt sich mit den OWASP Top 10, den zehn meisten Sicherheitsrisiken, und gibt Tipps, wie sie sich und ihre Produkte schützen können. Diese Serie besteht aus den folgenden Artikeln: * Teil
owasp Automated Threat Detection mit CEP via Rx Dies ist der erste Teil der Artikelserie Automated Threat Detection mit CEP, die aufzeigt, wie mittels komplexer Ereignisverarbeitung Angriffe auf eine Website entdeckt werden können. Die Serie besteht aus den folgenden Artikel: * Teil 1: Einführung (dieser Artikel) * Teil 2: Token Cracking / Credential Cracking [https://www.michaelschuler.ch/automated-threat-detection-mit-cep-token-cracking/] OWASP Um
owasp Sichere Websites mit den OWASP Top 10: Injection Wenn Sie heute eine Website veröffentlichen, vergehen kaum ein paar Minuten, bis sie das erste Mal angegriffen werden. Diese Artikelserie beschäftigt sich mit den OWASP Top 10, den zehn meisten Sicherheitsrisiken, und gibt Tipps, wie sie sich und ihre Produkte schützen können. Diese Serie besteht aus den folgenden Artikeln: * Teil