News

Vortrag SLAC: Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

2014.05.05

Vortrag auf der Secure Linux Administrators Conference / SLAC (13./14. 05., Berlin) zum Thema
Headers, Websockets & More: Webserver und Webapp-Sicherheit im Jahre 2014; die Vortragsfolien gibt es hier zum Download.

slac 2014

Mit dem Siegeszug von HTML5, CDNs und modernen Applicationserver-Technologien wie Rails, Node.js, Django/Flask, Websockets oder Java-basierten Appservern wie JBOSS und Tomcat hat sich die Webserver-Landschaft massiv verändert. Der Vortrag beleuchtet, inwieweit der Einsatz dieser Technologien die Informationsgewinnung aus Angreifersicht erleichtert, und mit welchen Maßnahmen sich die serverseitige Sicherheit erhöhen läßt. Live-Beispiele und ein fast-Live-Einbruch, der via Header-Analyse vorbereitet wurde, sollen das trockene Thema etwas anschaulicher gestalten.

Als nächsten Schwerpunkt werden Websockets erklärt, demonstriert und aufgezeigt, welche sicherheitskritischen Fragen unweigerlich aufkommen, wenn auf diese Technik gesetzt wird.

Im Zuge von HTML5 und dem weit verbreiteten Einsatz von CDNs ist der Inhalt einer Webapplikation häufig aus unterschiedlichen Quellen zusammengesetzt. In Zusammenhang mit diesen Techniken haben sich einiger Header durchgesetzt, die vornehmlich dem Userschutz dienen und Schadcode im Browser an der Ausführung hindern oder Session-Hijacking unterbinden sollen. Der Vortrag erläutert den Einsatz von CORS (Cross Object Resource Sharing) CSP (Content Security Policy) und weiterer Header, die genau für diese Zwecke als Standards definiert wurden, anhand von Livebeispielen.

Ein kurzer Abriß der momentan verfügbaren WebApplicationFirewalls im Open-Source-Umfeld gibt einen kurzen Vergleich der Features und möglicher Einsatzszenarien und ein paar Beispiele von Live-Einsätzen. So noch Zeit bleibt wird auf den momentanen Stand von SSL/TLS eingegangen.

Referenzen




You code … we platform.