Newsletter

Email:


Name (optional):


Archiv (ab 2010)

Nächste Veranstaltung

SmartHome und IoT: Warum, Was und Wie? (Sascha Wolter)

Thu, 21. May 2015

18:30 - Türen auf
19:00 - Vortrag

Anmeldung

Anmeldung mit Xing

Anmeldung ohne Xing

Alle Veranstaltungen kostenlos

Verlosung nur an angemeldete Gäste

Silber-Sponsoren

Don't get lost in data, get information

ABIT GmbH - Beratung - Software -  Seminare - Veranstaltungen - News

Creating digital success. | ecx.io

Wir unterstützen...

Elterninitiative Kinderkrebsklinik e.V

Kinderkrebsklinik e.V

Sponsoren

Wir danken unseren Sponsoren:

Permanente Sponsoren

Uni Düsseldorf
(Raum und Beamer)


(Preise)


(Organisation und Marketing)


(Preise)


(Preise)

Mitgliedschaften

java.net Member

Events

Nächster Vortrag: SmartHome und IoT: Warum, Was und Wie? (21.05.)
Written by Lukas Ladenberger   
Friday, 24 April 2015 13:26

Internet der Dinge, Smart Home, Wearables oder wie auch immer man es nennen mag (klar, es gibt Unterschiede)… Es geht nicht in erster Linie um Geschäftsmodelle oder die neuesten Technologien, es geht viel mehr um Kreativität und das Finden (oder Erzeugen) von Bedürfnissen. Es geht um Innovation mit Nutzen. Sascha stellt dafür einen Prozess vor, der sowohl Ideenfindung als auch die praktische Umsetzung einbezieht. Denn dank dieses Prozesses kann fast (jeder) die zunehmende Vernetzung der Welt auf spielerische Art und Weise so mitgestalten, dass diese letztendlich auch von Bedeutung ist.

Dozent: Sascha Wolter ist Experte für die Planung und Umsetzung von geräteübergreifenden Anwendungen für das Internet der Dinge. Bereits seit 1995 arbeitet er als Berater, Dozent, Keynote-Sprecher und Autor – mit dem Fokus auf Verständnis, Innovation und Nutzen. Sascha gründete die User Group flashforum.de mit mehr als 100.000 Mitgliedern und organsierte von 2001 bis 2011 zahlreiche international renommierte Konferenzreihen wie die beyond tellerrand. Aktuell engagiert er sich als Vorstandsmitglied im Fachausschuss Usability & User Experience der BITKOM. Wenn er nicht gerade neue technische Möglichkeiten für die Deutsche Telekom AG im Bereich Connected Home erkundet, dann entdeckt er auf ungewöhnliche Weise mit seinen Kindern die Welt.

 
Für einen guten Zweck: Java Performance Survey
Written by Lukas Ladenberger   
Tuesday, 07 April 2015 08:14

Liebe rheinjug Freunde,

ein JUG Kollege hat uns gebeten, euch auf eine Umfrage zum Thema "Java Performance" aufmerksam zu machen. Die Umfrage dauert ca. 3 Minuten und hat auch einen guten Zweck: Für jede Teilnahme wird $0,50 an eine Charity Organisation gespendet.

Hier ist der Link: https://rebellabs.typeform.com/to/yhPzjG.

Danke vorab!

 
Nachlese: Sicherheitslücken in Webanwendungen
Written by Philip Höfges   
Monday, 23 March 2015 11:00
>> Video

Nachdem der letzte Vortrag krankheitsbedingt abgesagt werden musste, nimmt Philipp Hagemeister einen neuen Anlauf. Zu seinem Vortrag zum Thema „Sicherheitslücken in Webanwendungen“ finden sich etwa 100 interessierte Menschen im Hörsaal 5C ein. Philipp Hagemeister ist Promotionsstudent an der HHU und beschäftigt sich vorrangig mit Netzwerksicherheit.

Philipp beginnt seinen Vortrag mit einigen rechtlichen Hinweisen. Schließlich sollen wir das wissen ja dafür verwenden, uns gegen Angriffe zu schützen und nicht, um Angriffe zu starten. Der Redner nennt zunächst eine Liste möglicher Angriffsziele. Man ist erstaunt, wie vielfältig so ein Angriff auf die Webanwendung doch sein kann: Sicherheit des Passworts, Sicherheit der Firewall, Vertrauenswürdigkeit usw.

Für die Demonstration zeigt Philipp eine kleine, selbst geschriebene Anwendung einer Bank mit dem Namen „Ganz&Sicher“. Diese soll nachher auch dem Publikum für eigene Tests und Experimente zur Verfügung gestellt werden.

Zunächst zeigt Philipp, wie leicht man eine URL manipulieren kann, wenn nicht korrekt damit gearbeitet wird. Bei Datenübertragung mit GET werden die Parameter im Klartext mit übertragen. Leichte Angriffsfläche. Um dies zu vermeiden, sollte POST verwendet werden, sobald Daten im Spiel sind. Ist das alleine schon sicher? Nein, natürlich nicht!

Viele Webanwendungen stützen sich auf Datenbanken. Warum auch nicht? Ist ja sicher. Falsch! Die sogenannte „SQL Injection“ erlaubt es, beispielsweise in Textfelder auch schädliche Befehle einzugeben, die dann von der Anwendung ausgeführt werden. Im Extremfall können solche Befehle sogar Auswirkungen auf das System haben. Man kann damit Daten ohne Kenntnis des Admins verändern, hinzufügen oder löschen. Sehr schlecht! Als mögliche Gegenmaßnahme rät Philipp Hagemeister dazu, die Felder genau vorzugeben und zufällige Ids zu verwenden.

Moderne Browser nutzen alle die sogenannte „Same Origin Policy“. Dies bedeutet, dass nur Inhalten vertraut wird, die direkt von jeder jeweiligen Webseite stammen. Inhalte anderer Webseiten werden sofort ausgeschlossen. Dieses Konzept sei ein guter Anfang, meint der Redner, aber noch nicht der Weisheit letzter Schluss.

Weiterhin nennt Philipp Enkodierung als mögliche Schwachstelle. Man muss in der Anwendung durchgehend darauf achten, die Enkodierung zu überprüfen. Einmal vergessen, erlaubt dies bereits Vollzugriff auf die Webanwendung durch den Angreifer. Als Lösung rät der Redner dazu, eine Template-Sprache zu verwenden.

Außerdem gibt es ein Problem mit XSS: Es ist nicht wirklich zuverlässig, XSS zu filtern und kann sogar Schwachstellen verursachen.

Mit Hilfe der Token-Generierung versucht Philipp, eine Schwachstelle zu lösen: Schlechte Passwörter der Benutzer. Dabei weist er ausdrücklich darauf hin, dass die Bibliothek java.util.random nicht zu benutzen ist. Sie würde zwei Benutzer, die zur selben Zeit ein zufälliges Passwort anfragen, das Selbe geben. Schlecht! Weiterhin ist es oftmals nicht sonderlich schwer, Passwörter schlicht und ergreifend zu knacken. Es gibt die „Rainbow Tables“. In ihnen werden beliebte Passwort-Hash gespeichert. Das macht es für einen Angreifer sehr viel leichter, viele mögliche Passwörter auszutesten. Schlecht!

Wichtig dabei ist in jedem Fall: Niemals im Klartext speichern! Zu dem sollten Hashs verwendet werden: Passwörter sollten in Kombination mit einem „salt“ gespeichert werden. Dieser salt sollte mit Hilfe von einem der von Philipp vorgeschlagenen Programme erzeugt werden (PBKDF“, bcrypt oder scrypt). Diese Kombination macht es dem Angreifer zumindest sehr schwer, das Passwort zu knacken. Sicher ist so ein Passwort natürlich nie, aber man kommt immerhin sehr nah heran.

Abschließend fordert Philipp das Publikum auf, dass das Publikum die eigenen Anwendungen mit den hier vorgestellten Tricks überprüft. Mit Hilfe diese einfachen Tricks macht man es Angreifern sehr schwer und sorgt dafür, dass die Anwendung nicht so schnell geknackt werden können.

Nach dem Vortrag findet wie immer die abschließende Diskussion statt, bei der angeregt über das Thema diskutiert wird.

 
Software ändern - aber richtig Video online
Written by Lukas Ladenberger   
Thursday, 19 March 2015 16:50
Wir haben nachträglich das Video zum Mai 2014 Vortrag eingestellt (Dr. Gernot Starke, Software ändern - aber richtig): Zum Video.