Inhalte überspringen »
Bibliothek
Single-Sign-On-Systeme
Eine Übersicht
Heutzutage ist es üblich, dass Benutzer täglich mit zehn oder mehr unterschiedlichen IT-Systemen interagieren. In den meisten Fällen müssen sie sich an jedem System gesondert anmelden - eine unbefriedigende Tatsache die nicht nur die Kosten in die Höhe treibt, sondern auch die Produktivität vermindert und Sicherheitsschwachstellen erzeugt. Durch Single-Sign-On-(SSO) Systeme ist es möglich, sich einmal gegen ein zentrales System zu authentifizieren und transparent von anderen Systemen als authentifizierter Benutzer erkannt zu werden. Dieser Artikel beschreibt die wichtigsten Merkmale von SSO-Systemen für Webanwendungen. Es werden drei Open-Source-SSO-Systeme miteinander verglichen.
Schutzengel
PHP-Anwendungen mit Suhosin absichern
Mit Suhosin existiert eine PHP-Erweiterung, die es erlaubt, bestehende PHP-Anwendungen mit einfachen Handgriffen und oftmals ohne Änderungen im Quellcode gegen bekannte und unbekannte Angriffe abzuhärten. In diesem Artikel soll die Installation und Konfiguration beschrieben und der sichere Einsatz der Erweiterung demonstriert werden.
Ethical Hacking für Anfänger
Die Sicherheitswelt besteht aus Hacking-Tools
Kann Hacking ethisch sein? Was sich nach einem Widerspruch anhört, ist eine effektive Methode,
sich gegen Hacker abzusichern: Denn wer sein Netzwerk wirksam vor Angreifern schützen
möchte, muss selbst wie ein Hacker denken.
Hyperactive
Eingehendes HTML in PHP sicher verarbeiten
Schöne neue Welt des Web 2.0: Die hoch motivierten Besucher Ihrer Webseite schreiben fleißig Kommentare, bloggen wie die Weltmeister und füllen das Forum im regen Austausch mit Anderen mit nützlichen Informationen. Doch wie sieht es mit der Sicherheit aus?
Sys-Admin-Corner: OpenSSH, Grundlagen und Insiderwissen
Starke Schlüssel
Verlassen Daten über ungesicherte Verbindungen einen Computer, so besteht immer die Gefahr, dass diese von Unbefugten gelesen oder protokolliert werden. Den meisten Administratoren ist die freie Implementierung OpenSSH [1] als eine authentifizierte, verschlüsselte Alternative zu gängigen, unverschlüsselten Programmen wie zum Beispiel telnet, rsh, rlogin und ftp ein Begriff. Im Folgenden möchte ich Ihnen neben den Grundlagen die oftmals ungenutzten, erweiterten Möglichkeiten von OpenSSH vorstellen.
CAPTCHA - Mensch oder Maschine?
Wie ein Programm Benutzer aus Fleisch und Blut von Bots unterscheiden kann
Jeder kennt sie – die kleinen Bildchen mit verzerrten Buchstaben oder Ziffern auf Webformularen. Die Zeichen sind in ein Formularfeld einzutippen, um eine Registrierung abzuschließen oder bevor man zur gewünschten Seite gelangt. Gedankenlos bis leicht verärgert ist das schnell erledigt und weiter geht's. Erst wenn man selbst Derartiges implementieren muss, taucht man ein ... in die spannende Welt der CAPTCHAs.
Grsecurity und PaX
Sicher ist sicher
So gut wie alle Einbrüche in Computersysteme resultieren aus Fehlern im Design, der Implementierung oder der Konfiguration von Software. Das populäre Grsecurity-Projekt schafft hier Abhilfe. Es stellt einen Patch zur Verfügung, der den Standard-Linux-Kernel (Vanilla Kernel) um zahlreiche Sicherheitsfeatures ergänzt.
Technologische Impulse
W-JAX 06 und Enterprise Architektur Konferenz vom 6. bis 10. November 2006 in München
In der Woche vom 6. bis 10. November fand im ArabellaSheraton Grand Hotel in München die fünfte W-JAX statt. Der folgende Konferenzbericht gibt eine subjektive Sicht auf die Konferenz wieder. Er hat keinen Anspruch auf Vollständigkeit, beleuchtet dafür aber die Veranstaltungen aus verschiedenen Richtungen.
Regulatory Compliance durch Metadata-Management
Sichere Datenverwaltung
Metadata-Management (MDM) ist die Grundlage für die Einrichtung einer unternehmensweiten Datenarchitektur, die für die Durchsetzung der IT-Sicherheitslinien eines Unternehmens von Bedeutung ist. Die Einrichtung einer Datenarchitektur, die Governance und Compliance berücksichtigt, lässt sich mit Modellierungswerkzeugen realisieren, die bestimmte Voraussetzungen erfüllen.
Grundsätze und wichtige Aspekte der PHP-Sicherheit
Auf Nummer sicher
Mit zunehmender Verbreitung von PHP als der Skriptsprache für das Web wächst naturgemäß auch die Zahl der Skeptiker. Neben den vielfach angeführten „Enterprise-Problemen“ wie Scalability und Performance, Sprachinkonsistenzen und angeblichen Mängeln in der OO-Implementierung spielt die Sicherheit von PHP eine zentrale Rolle in der Kritik. Aber ist PHP per se unsicher, wie viele behaupten? Ist es Schuld der Sprache, wenn viele Entwickler unsichere Software schreiben? Und was genau ist eigentlich „PHP-Sicherheit“?
Bots müssen draußen bleiben
Mensch oder Maschine? Grafische Captchas erstellen
Mit der wachsenden Anzahl von Internetdiensten hat auch das Thema Sicherheit eine immer größere Bedeutung erlangt. Wie schützen Sie Ihre Anwendung vor „Spam Robotern“ oder Brutforce-Attacken? Wie schützen Sie Ihre Anwender vor Passwortklau? Captchas versprechen die Lösung. Die häufigste Variante von Captchas sind kleine Grafiken, welche es ermöglichen sollen, Computer und reale Anwender zu unterscheiden. Wie dies funktioniert und wo die Gefahren liegen, zeigt Ihnen dieser Artikel.
Auswirkungen der Code Access Security auf das Setup einer Anwendung
CAS im .NET Framework
In den Unternehmensnetzwerken werden Anwendungen gerne zentral auf einem Server abgelegt, sodass die Anwender diese Programme über ein Netzlaufwerk starten können. Was seit Jahren bewährte Praxis war, wird bei einer .NET-Anwendung mit der Standardinstallation des .NET Framework zu einem gewissen Problem, auf das der Entwickler in seinem Installationsprogramm der Anwendung reagieren muss.
Security mit Smartcards
Smartcards zur Nutzerauthentifizierung in Java EE-Webanwendungen
Smartcards, Kartenleser, PKI, digitale Signatur - für manche Entwickler, die sich an die Authentifizierung mittels Login und Passwort gewöhnt haben, klingt das nach einem komplexen System, hohem Aufwand oder proprietären Nischensystemen. Dieser Artikel räumt einige dieser Vorurteile aus und tritt mit technischen Handreichungen und einfach nachvollziehbaren Beispielen den Gegenbeweis an.
J2EE Security
Vom Software- zum Security-Architekten
Die deklarative Security trat mit dem hohen Anspruch an, die Entwickler von nahezu allen Belangen der Zugriffsberechtigung zu befreien, inklusive der Anbindung bestehender Legacy-Systeme. Damit sollte die volle Konzentration auf die Implementierung der Fachlichkeit gelenkt werden. Versprechungen dieser Art gab es bisher viele – und oft wurde die gewünschte Vereinfachung nur durch neue Komplexität erkauft. Ein simples Anwendungsszenario aus dem Versicherungsbereich soll die Prinzipien der J2EE Security im Folgenden veranschaulichen und prüfen, inwieweit die Sicherung von Enterprise-Applikationen durch die Verwendung dieses Konzeptes wirklich einfacher geworden ist.
Sicherheitsphilosophie à la .NET
Best Practices zum Thema Sicherheit
Da .NET-Anwendungen laut Umfragen noch keinen großen Anteil an der IT-Infrastruktur eines Unternehmens besitzen, spielen sie für die zuständigen Administratoren keine wichtige Rolle. Dieselben Umfragen zeigen aber, dass das Thema Sicherheit bei vielen Entwicklern noch unterbesetzt ist und daher in der Architektur der Anwendung nicht berücksichtigt wird. Bevor eine Lawine an Sicherheitsproblemen ausgelost wird, zeigt dieser Artikel einige notwendige und hochinteressante Best Practices, die auch als offizielle Microsoft-Empfehlung gelten.
