Newsletter

Email:


Name (optional):


Archiv (ab 2010)

Nächste Veranstaltung

Unkaputtbar - Muster für Resilient Software Design (Uwe Friedrichsen)

Thu, 11. June 2015

18:30 - Türen auf
19:00 - Vortrag

Anmeldung

Anmeldung mit Xing

Anmeldung ohne Xing

Alle Veranstaltungen kostenlos

Verlosung nur an angemeldete Gäste

Silber-Sponsoren

Don't get lost in data, get information

ABIT GmbH - Beratung - Software -  Seminare - Veranstaltungen - News

Creating digital success. | ecx.io

Veranstaltungen

Unkaputtbar - Muster für Resilient Software Design (Uwe Friedrichsen)

Thu, 11. June 2015

Kalender als XML und iCal

Wir unterstützen...

Elterninitiative Kinderkrebsklinik e.V

Kinderkrebsklinik e.V

Sponsoren

Wir danken unseren Sponsoren:

Permanente Sponsoren

Uni Düsseldorf
(Raum und Beamer)


(Preise)


(Organisation und Marketing)


(Preise)


(Preise)

Mitgliedschaften

java.net Member

Events

Nächster Vortrag: Unkaputtbar - Muster für Resilient Software Design (11.06.)
Written by Lukas Ladenberger   
Friday, 24 April 2015 13:51

In der Produktion wird das Geld gemacht und werden die Kunden zufrieden gestellt - aber nur so lange, wie unsere Software läuft und zügig antwortet. Läuft unsere Anwendung nicht oder ist langsam, ist sie wertlos - schlimmer noch: Wir verlieren Geld und Reputation.

In der Vergangenheit hat man diese Anforderung mit hochverfügbarer Hardware und Infrastruktur adressiert, mit dem Ziel, Fehler möglichst lange herauszuzögern. Dieser Ansatz trägt aber nicht mehr in den heute üblichen verteilte, hochvernetzten Anwendungslandschaften und Trends wie Cloud Computing, Microservices, Mobile und IoT verschärfen die Situation noch weiter.

Das Vermeiden von Fehlern ist in solchen Anwendungslandschaften keine Option mehr. Fehler sind der Normalfall und um eine hohe Verfügbarkeit zu gewährleisten, muss man aktiv mit ihnen umgehen.

Genau darum geht es bei Resilient Software Design: Wie man eine Anwendung gestaltet, dass sie hochverfügbar ist und zügig antwortet - selbst unter unerwarteten Fehler- und Lastsituationen.

In dieser Session lernen Sie eine (kleine) Resilience-Mustersprache kennen, natürlich garniert mit Code und jeder Menge Tipps und Tricks.

Dozent: Uwe Friedrichsen ist ein langjähriger Reisender in der IT-Welt. Als Fellow der codecentric AG ist er stets auf der Suche nach innovativen Ideen und Konzepten. Seine aktuellen Schwerpunktthemen sind Skalierbarkeit, Resilience und die IT von (über)morgen. Er teilt und diskutiert seine Ideen regelmäßig auf Konferenzen, als Autor von Artikeln, Blog Posts, Tweets und natürlich gerne auch im direkten Gespräch.

Location: Heinrich-Heine Universität Düsseldorf, Hörsaal 5C, Anreise

 
Für einen guten Zweck: Java Performance Survey
Written by Lukas Ladenberger   
Tuesday, 07 April 2015 08:14

Liebe rheinjug Freunde,

ein JUG Kollege hat uns gebeten, euch auf eine Umfrage zum Thema "Java Performance" aufmerksam zu machen. Die Umfrage dauert ca. 3 Minuten und hat auch einen guten Zweck: Für jede Teilnahme wird $0,50 an eine Charity Organisation gespendet.

Hier ist der Link: https://rebellabs.typeform.com/to/yhPzjG.

Danke vorab!

 
Nachlese: Sicherheitslücken in Webanwendungen
Written by Philip Höfges   
Monday, 23 March 2015 11:00
>> Video

Nachdem der letzte Vortrag krankheitsbedingt abgesagt werden musste, nimmt Philipp Hagemeister einen neuen Anlauf. Zu seinem Vortrag zum Thema „Sicherheitslücken in Webanwendungen“ finden sich etwa 100 interessierte Menschen im Hörsaal 5C ein. Philipp Hagemeister ist Promotionsstudent an der HHU und beschäftigt sich vorrangig mit Netzwerksicherheit.

Philipp beginnt seinen Vortrag mit einigen rechtlichen Hinweisen. Schließlich sollen wir das wissen ja dafür verwenden, uns gegen Angriffe zu schützen und nicht, um Angriffe zu starten. Der Redner nennt zunächst eine Liste möglicher Angriffsziele. Man ist erstaunt, wie vielfältig so ein Angriff auf die Webanwendung doch sein kann: Sicherheit des Passworts, Sicherheit der Firewall, Vertrauenswürdigkeit usw.

Für die Demonstration zeigt Philipp eine kleine, selbst geschriebene Anwendung einer Bank mit dem Namen „Ganz&Sicher“. Diese soll nachher auch dem Publikum für eigene Tests und Experimente zur Verfügung gestellt werden.

Zunächst zeigt Philipp, wie leicht man eine URL manipulieren kann, wenn nicht korrekt damit gearbeitet wird. Bei Datenübertragung mit GET werden die Parameter im Klartext mit übertragen. Leichte Angriffsfläche. Um dies zu vermeiden, sollte POST verwendet werden, sobald Daten im Spiel sind. Ist das alleine schon sicher? Nein, natürlich nicht!

Viele Webanwendungen stützen sich auf Datenbanken. Warum auch nicht? Ist ja sicher. Falsch! Die sogenannte „SQL Injection“ erlaubt es, beispielsweise in Textfelder auch schädliche Befehle einzugeben, die dann von der Anwendung ausgeführt werden. Im Extremfall können solche Befehle sogar Auswirkungen auf das System haben. Man kann damit Daten ohne Kenntnis des Admins verändern, hinzufügen oder löschen. Sehr schlecht! Als mögliche Gegenmaßnahme rät Philipp Hagemeister dazu, die Felder genau vorzugeben und zufällige Ids zu verwenden.

Moderne Browser nutzen alle die sogenannte „Same Origin Policy“. Dies bedeutet, dass nur Inhalten vertraut wird, die direkt von jeder jeweiligen Webseite stammen. Inhalte anderer Webseiten werden sofort ausgeschlossen. Dieses Konzept sei ein guter Anfang, meint der Redner, aber noch nicht der Weisheit letzter Schluss.

Weiterhin nennt Philipp Enkodierung als mögliche Schwachstelle. Man muss in der Anwendung durchgehend darauf achten, die Enkodierung zu überprüfen. Einmal vergessen, erlaubt dies bereits Vollzugriff auf die Webanwendung durch den Angreifer. Als Lösung rät der Redner dazu, eine Template-Sprache zu verwenden.

Außerdem gibt es ein Problem mit XSS: Es ist nicht wirklich zuverlässig, XSS zu filtern und kann sogar Schwachstellen verursachen.

Mit Hilfe der Token-Generierung versucht Philipp, eine Schwachstelle zu lösen: Schlechte Passwörter der Benutzer. Dabei weist er ausdrücklich darauf hin, dass die Bibliothek java.util.random nicht zu benutzen ist. Sie würde zwei Benutzer, die zur selben Zeit ein zufälliges Passwort anfragen, das Selbe geben. Schlecht! Weiterhin ist es oftmals nicht sonderlich schwer, Passwörter schlicht und ergreifend zu knacken. Es gibt die „Rainbow Tables“. In ihnen werden beliebte Passwort-Hash gespeichert. Das macht es für einen Angreifer sehr viel leichter, viele mögliche Passwörter auszutesten. Schlecht!

Wichtig dabei ist in jedem Fall: Niemals im Klartext speichern! Zu dem sollten Hashs verwendet werden: Passwörter sollten in Kombination mit einem „salt“ gespeichert werden. Dieser salt sollte mit Hilfe von einem der von Philipp vorgeschlagenen Programme erzeugt werden (PBKDF“, bcrypt oder scrypt). Diese Kombination macht es dem Angreifer zumindest sehr schwer, das Passwort zu knacken. Sicher ist so ein Passwort natürlich nie, aber man kommt immerhin sehr nah heran.

Abschließend fordert Philipp das Publikum auf, dass das Publikum die eigenen Anwendungen mit den hier vorgestellten Tricks überprüft. Mit Hilfe diese einfachen Tricks macht man es Angreifern sehr schwer und sorgt dafür, dass die Anwendung nicht so schnell geknackt werden können.

Nach dem Vortrag findet wie immer die abschließende Diskussion statt, bei der angeregt über das Thema diskutiert wird.

 
Software ändern - aber richtig Video online
Written by Lukas Ladenberger   
Thursday, 19 March 2015 16:50
Wir haben nachträglich das Video zum Mai 2014 Vortrag eingestellt (Dr. Gernot Starke, Software ändern - aber richtig): Zum Video.