Security
Sichern des SQL Server vor Angriffen von innen
Andreas Wolter
Sarpedon Quality Lab
Ralf Dietrich
datafino GmbH
|
In dieser Session werden Ralf Dietrich und Andreas Wolter die Rolle des DBA/DBDev und des externen Consultants annehmen. Auf verschiedenen Ebenen wird der "externe Consultant" alle möglichen Kniffe anwenden, um sich in einer vermeintlich ordentlich eingerichteten Datenbankumgebung Zugang zu Daten zu verschaffen. Der DBA/DBDev erhält natürlich Gelegenheit, diese Lücken zu fixen. Das Spiel wiederholt sich in verschiedenen Stufen und Szenarien, bis ein wünschenswerter Zustand erreicht ist. Diese Session dürfte auch für erfahrenere Administratoren einige Überraschungen bereithalten und demonstriert Implikationen bei der Überwachung von Aktionen, DataBase und Schema Ownership Chaining bis zu Best Practices für Nutzerberechtigungen (SQL 2005 - 2008 R2).
Web Application Security in den Zeiten von RIA und Web 2.0
Christian Wenz
Arrabiata Solutions GmbH
|
Neun von zehn Websites haben Sicherheitslücken - und das obwohl Angriffe wie Cross-Site Scripting (XSS) bereits seit den 1990er Jahren bekannt sind. Web-2.0-Anwendungen und Rich Internet Applications sind besonders gefährdet. Die Session zeigt anhand vieler Codebeispiele neue und alte Angriffe, Gegenmittel, Best Practices und berichtet von gruseligen Erlebnissen aus der Praxis.
Windows Azure und die Cloud - Sicherheit und Risiken
Dominick Baier
thinktecture
|
Das Sicherheitsmodell von verteilten Anwendungen in der Cloud unterscheidet sich erheblich zu klassischen Installationen. Zum einen kann man von der Cloud-Plattform und den angebotenen Diensten profitieren, zum anderen warten neue Herausforderungen auf Architekten und Entwickler. Dieser Vortrag beleuchtet zum einen, was Sie über Windows-Azure-spezifische Sicherheitsfeatures wie Datenschutz, Auditing, Konfigurations- und Schlüsselmanagement wissen sollten, zum anderen welche neuen Sicherheitsszenarien und Anforderungen für die Cloud relevant sind und somit auf Sie zukommen werden.
Writing Code that bends, but does not break
Christian Gross
|
Having code that breaks on the slightest problem is a bad idea. Having code that never breaks, and displays errors that make no sense whatsoever is not any better. The purpose of this session is to outline how to write code that is robust and bends but does not break. It is about structuring and writing your code in a manner that is easy to read, debug, and test.
Einführung in die Windows Identity Foundation
Dominick Baier
thinktecture
|
Wer verteilte Anwendungen schreibt, braucht früher oder später die Windows Identity Foundation. Diese neue Microsoft-Add-on-Sicherheitsbibliothek erweitert das .NET Framework um wichtige Konzepte und Technologien wie Single Sign-on, Claims, WS-Federation und WS-Trust, SAML und Security Token Services. Neben der direkten Integration in ASP.NET und WCF, bietet WIF eine mächtige und erweiterbare Basisklassenbibliothek, die sicherheitsrelevante Aufgaben in verteilten Anwendungen erheblich einfacher macht.
Claims-basierte Anwendungen in der Praxis
Dominick Baier
thinktecture
|
Mit der Windows Identity Foundation hat man eine mächtige Bibliothek zur Hand, um Sicherheit in verteilten Anwendungen zu implementieren. Doch wo fängt man am besten an? Wie muss man eine Anwendung strukturieren? Wie funktioniert das Zusammenspiel mit einem Security Token Service? Was sind typische Szenarien? Wie lassen sich Claims effektiv einsetzen? All diese Fragen versucht Dominick Baier anhand von Real-World-Beispielen zu beantworten.
Sicherheit zum Anfassen und Mitmachen – Das EoP-Kartenspiel
Dominick Baier
thinktecture
Michael Thumann
Enno Rey Netzwerke GmbH
|
Im Rahmen des Security Development Lifecycles von Microsoft spielt die Bedrohungsanalyse, basierend auf dem STRIDE-Modell, eine entscheidende Rolle, um mögliche Bedrohungen zu ermitteln und sinnvolle Gegenmaßnahmen zu planen. Auch wenn Microsoft Werkzeuge zur Verfügung stellt, um diese Analyse durchzuführen, scheint das Thema für viele Softwarearchitekten und -entwickler zu komplex und aufwendig. Im Rahmen des Vortrags werden Wege und spielerische Möglichkeiten aufgezeigt, eine Bedrohungsanalyse effektiv durchzuführen und in die tägliche Arbeit zu integrieren. Mit diesem Ansatz bleibt noch ausreichend Zeit, um sich mit Dingen wie "Kartenspielen" zu beschäftigen und trotzdem eine Bedrohungsanalyse zu erstellen (wird im Vortrag praktisch demonstriert).
(Noch mehr) Freeware-Security-Tools für .NET-Entwickler
Michael Thumann
Enno Rey Netzwerke GmbH
|
In dieser Session werden frei erhältliche Security-Tools für .NET-Entwickler vorgestellt. Vom Source Code Analyzer über sinnvolle Bibliotheken wie AntiXSS und ESAPI bis hin zu Threat-Modelling-Tools werden die Entwickler in die Werkzeuge eingeführt und ihr Nutzen wird am Beispiel des Microsoft Security Development Lifecycles demonstriert. Mithilfe dieser Werkzeuge kann auch ohne die Einführung aufwendiger Unternehmensprozesse die Qualität in der Softwareentwicklung massiv gesteigert werden.
Obfuscation vs. Verschlüsslung – Was eignet sich zum Schutz vor Reverse Engineering?
Rüdiger Kügler
WIBU Systems
|
Der Vortrag zeigt unterschiedliche Technologien zur Obfuscation von Assemblies und vermittelt einen Überblick über Tools, die diese Technologien einsetzen. In live Beispielen wird gezeigt, welche Technologien welchen Schutzlevel bieten: „Skript Kiddy, Hobby Cracker, Profi Cracker oder Top Cracker.“ Als Alternative wird die Verschlüsselung von ausführbaren Code mittels eines Softwareschutzes – am Beispiel von CodeMeter – vorgestellt und die möglichen Bedrohungen durch einen Cracker untersucht. Um das Fazit vornweg zu nehmen: „Ein guter Schutz ist eine Kombination aus vielen Methoden und einige davon werden hier präsentiert.“
Tracks
Sessions
- Sichern des SQL Server vor Angriffen von innen
- Web Application Security in den Zeiten von RIA und Web 2.0
- Windows Azure und die Cloud - Sicherheit und Risiken
- Writing Code that bends, but does not break
- Einführung in die Windows Identity Foundation
- Claims-basierte Anwendungen in der Praxis
- Sicherheit zum Anfassen und Mitmachen – Das EoP-Kartenspiel
- (Noch mehr) Freeware-Security-Tools für .NET-Entwickler
- Obfuscation vs. Verschlüsslung – Was eignet sich zum Schutz vor Reverse Engineering?
- Follow Us
- Bookmark Us
-
