DiWiSH-Mitglied MARE system :: M. Manzke: Nachtrag zur Secure Linux Andministrators Conerence Berlin mit Fachvortrag
Mit dem Siegeszug von HTML5, CDNs und modernen Applicationserver-Technologien wie Rails, Node.js, Django/Flask, Websockets oder Java-basierten Appservern wie JBOSS und Tomcat hat sich die Webserver-Landschaft massiv verändert. Der Vortrag beleuchtet, inwieweit der Einsatz dieser Technologien die Informationsgewinnung aus Angreifersicht erleichtert, und mit welchen Maßnahmen sich die serverseitige Sicherheit erhöhen läßt. Live-Beispiele und ein fast-Live-Einbruch, der via Header-Analyse vorbereitet wurde, werden das trockene Thema etwas anschaulicher gestalten.
Des weiteren werden im Vortrag Websockets erklärt, demonstriert und aufgezeigt, welche sicherheitskritischen Fragen unweigerlich aufkommen, wenn auf diese Technik gesetzt wird.
Im Zuge von HTML5 und dem weit verbreiteten Einsatz von CDNs ist der Inhalt einer Webapplikation häufig aus unterschiedlichen Quellen zusammengesetzt. In Zusammenhang mit diesen Techniken haben sich einiger Header durchgesetzt, die vornehmlich dem Userschutz dienen und Schadcode im Browser an der Ausführung hindern oder Session-Hijacking unterbinden sollen. Der Vortrag erläutert den Einsatz von CORS (Cross Object Resource Sharing) CSP (Content Security Policy) und weiterer Header, die genau für diese Zwecke als Standards definiert wurden, anhand von Livebeispielen.
Ein kurzer Abriß der momentan verfügbaren WebApplicationFirewalls im Open-Source-Umfeld gibt einen kurzen Vergleich der Features und möglicher Einsatzszenarien und ein paar Beispiele von Live-Einsätzen. Gegebenenfalls wird zum Abschluss auf den momentanen Stand von SSL/TLS eingegangen.
- Webserver-Header - vom geleakten Header zum root-Access ( ein fast-Live-Beispiel)
- Webserver-Header Best Practices
- Reverse-Proxy: Gateway und Schaltzentrale am Beispiel von Nginx
- Websockets: kurze Einführung in das Thema, DOs, DONTs und ein einfacher DoS CORS/CSP et al: neue Userschutz-Technologien
- WebApplicationFirewalls: ein kurzer Überblick und Vergleich der populären Open-Source-Lösungen SSL/TSL Best Practices
Anmeldung unter roadshow@mare-system.de
Kontakt
MARE system :: M. Manzke
Werftbahnstr. 8
24143 Kiel
Tel: 0431.55683480
E-Mail: mail@mare-system.de
Web: https://www.mare-system.de/news/mare/1401104952/