Konferenzen

Dipl.-Inform. Carsten Eilers

Hier finden Sie die Präsentationen und weiterführende Informationen zu Vorträgen, die ich auf Konferenzen gehalten habe.


AJAX IN ACTION 07

Ajax in Action 2008

Vom 28. bis 31. Oktober fand in Mainz die AJAX IN ACTION statt. Dieses Jahr gab es erstmals einen AJAX Security Day, auf dem ich zwei Vorträge gehalten habe: "Sicherheit und der AJAX-Client" und "Mashups, aber sicher".

Sicherheit und der AJAX-Client

Beschreibung:
Mit der Auslagerung von Teilen der Anwendungslogik in den Client wachsen die Gefahren für die Anwendung. Und die gehen weit über die bekannten XSS-Angriffe hinaus. So erleichtert die mächtigere Client-Logik unter Umständen SQL-Injection-Angriffe, und auch CSS erlauben manche unerwünschte Manipulationen. Wo droht Gefahr und wie kann man ihr begegnen? Diese Session liefert die Antworten.

Dateien zum Vortrag

Weiterführende Links

Mashups, aber sicher

Beschreibung:
Werden in einem Mashup Inhalte aus verschiedenen Quellen ohne Sicherheitsmaßnahmen munter gemischt, kann jeder Bestandteil auf jeden anderen zugreifen. Angriffen wie Manipulationen fremder Inhalte oder das Ausspähen von Zugangsdaten wird so Tor und Tür geöffnet. Wo Gefahrenpunkte bestehen und wie man sichere Mashups entwickelt, erfahren Sie in dieser Session.

Dateien zum Vortrag

Weiterführende Links

Was wäre, wenn...

Was ich im Vortrag nicht mehr erwähnt habe, waren ein paar mögliche Angriffe über Mashups bzw. ungeschützte Aggregate-Sites.

Ein bösartiger Bestandteil, egal ob das nun ein echter "Trojanischer Webservice" oder ein "Trojanisches Widget" ist oder ob das in einen der für das Mashup verwendeten Webservices eingeschleuster Schadcode ist, hat Zugriff auf die gesamte Mashup-Seite. Das bedeutet: Er kann alle übertragenen Daten überwachen, alle Cookies lesen, eigenen JavaScript-Schadcode nachladen, vorhandenen JavaScript-Code mit eigenem Code überschreiben, Clickjacking-Angriffe durchführen, kurz: Tun und lassen, was er will.

Dazu mal ein paar Beispiele: