News

Fachgespräch: Headers, Websockets + more; Webserver- / Webapp-Sicherheit im Jahre > 2014

2014.05.26

ThemaFachgespräch: Headers, Websockets & more;
Webserver- / Webapp-Sicherheit im Jahre > 2014
Datum 17.06., 10:00 - 12:00 Uh
Ort Werftbahnstr 8
Anfahrt Google-Maps
Infoswww.mare-system.de/news/mare/1401104952/
Anmeldung roadshow@mare-system.de

wut?

Im Nachtrag zur Secure Linux Administrators Conference (SLAC, 12.- 14.05. Berlin) findet am 17.06. ein Fachgespräch zum Thema "Headers, Websockets + More; Webserver und Webapp-Sicherheit im Jahre 2014" statt, bestehend aus einem leicht gestrafften Vortrag und anschließendem Gespräch zu den Themen Web/Server/Sicherheit. Wir möchten unsere Kunden und alle DiWiSH-Mitglieder zu diesem Fachgespräch einladen; insbesondere richtet sich die Veranstaltung an Admins, RZ-Leiter und Entwickler. Aufgrund der begrenzten Anzahl der Plätze ist eine Anmeldung per Email erforderlich.

Inhalt

Mit dem Siegeszug von HTML5, CDNs und modernen Applicationserver-Technologien wie Rails, Node.js, Django/Flask, Websockets oder Java-basierten Appservern wie JBOSS und Tomcat hat sich die Webserver-Landschaft massiv verändert. Der Vortrag beleuchtet, inwieweit der Einsatz dieser Technologien die Informationsgewinnung aus Angreifersicht erleichtert, und mit welchen Maßnahmen sich die serverseitige Sicherheit erhöhen läßt. Live-Beispiele und ein fast-Live-Einbruch, der via Header-Analyse vorbereitet wurde, sollen das trockene Thema etwas anschaulicher gestalten.

Als nächsten Schwerpunkt werden Websockets erklärt, demonstriert und aufgezeigt, welche sicherheitskritischen Fragen unweigerlich aufkommen, wenn auf diese Technik gesetzt wird.

Im Zuge von HTML5 und dem weit verbreiteten Einsatz von CDNs ist der Inhalt einer Webapplikation häufig aus unterschiedlichen Quellen zusammengesetzt. In Zusammenhang mit diesen Techniken haben sich einiger Header durchgesetzt, die vornehmlich dem Userschutz dienen und Schadcode im Browser an der Ausführung hindern oder Session-Hijacking unterbinden sollen. Der Vortrag erläutert den Einsatz von CORS (Cross Object Resource Sharing) CSP (Content Security Policy) und weiterer Header, die genau für diese Zwecke als Standards definiert wurden, anhand von Livebeispielen.

Ein kurzer Abriß der momentan verfügbaren WebApplicationFirewalls im Open-Source-Umfeld gibt einen kurzen Vergleich der Features und möglicher Einsatzszenarien und ein paar Beispiele von Live-Einsätzen. So noch Zeit bleibt wird auf den momentanen Stand von SSL/TLS eingegangen.




You code … we platform.