Entwickler Magazin - Übersicht 2012

Dipl.-Inform. Carsten Eilers

Startseite

Über mich

Angebotsspektrum

Konferenzen

Texte

About Security
Online-Artikel
Magazin-Artikel

• Entwickler Magazin
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2011
      2008-2010
      alle (lang!)
• Mobile Technology
      2019
      2016
      2015
      2014
      2012/2013
      alle (lang!)
• PHP Magazin / PHP User
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2011
      2009-2010
      alle (lang!)
• PHP Magazin Workshops
• windows.developer
      2019
      2018
      2017
      2016
      2015
      2014
      2013
      2012
      2008-2011
      alle (lang!)
• Andere Magazine

PHP Magazin Workshops
Aktuelle Bücher
Ältere Bücher

Advisories

zum Blog ...

Impressum

Datenschutzerklärung

Einschränkung der Auswahl

Alle Artikel aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2010     2008/2009
oder nur Artikel des
• Entwickler Magazin aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2008-2010     alle (lang!)
• Mobile Technology aus
    2019     2016     2015     2014     2012/2013     alle (lang!)
• PHP Magazin / PHP User aus
    2019     2018     2017     2016     2015     2014     2013     2012     2011     2009/2010     alle (lang!)
• windows.developer / dot.Net Magazin aus
    2019     2018     2017     2016     2015     2014     2013     2012     2008-2011     alle (lang!)
• oder der anderen Magazine

---

Anatomie eines Cyberwars

Stuxnet, Duqu und Flame – der virtuelle Krieg hat begonnen

Im Entwickler Magazin 5.2012 ist ein Artikel zu Stuxnet und Co. erschienen - den ersten Waffen im Cyberwar.

Links

Da die Linksammlung sehr umfangreich ist, habe ich sie auf einer Extraseite ausgelagert.

---

Quo vadis, SSL?

Wie sicher sind HTTPS-Verbindungen noch?

Im Entwickler Magazin 4.2012 ist ein Artikel zur Sicherheit von SSL und zur Unsicherheit des verwendeten Zertifizierungssystems erschienen.

Links

• [1] ekoparty: BEAST: Surprising crypto attack against HTTPS
• [2] netifera research - BEAST: Chosen plaintext attack against SSL/TLS
• [3] Thai Duong: BEAST
• [4] Bodo Moeller: openssl-dev Mailingliste: Re: an attack against SSH2 protocol
• [5] Gregory V. Bard: The Vulnerability of SSL to Chosen-Plaintext Attack
• [6] Gregory V. Bard: A Challenging but Feasible Blockwise-Adaptive Chosen-Plaintext Attack on SSL
• [7] Bodo Möller: Security of CBC Ciphersuites in SSL/TLS: Problems and Countermeasures
• [8] Mozilla Bugzilla: Bug 665814 - (CVE-2011-3389) Rizzo/Duong chosen plaintext attack (BEAST) on SSL/TLS 1.0 (facilitated by websockets -76)
• [9] Sigbjørn Vik: The "BEAST" SSL/TLS issue
• [10] Tor and the BEAST SSL attack
• [11] Chrome and the BEAST
• [12] Carsten Eilers: About Security #72: Kryptographie — Betriebsarten für Blockchiffren
• [13] Dan Goodin: Hackers break SSL encryption used by millions of sites
• [14] RFC 4346 - The Transport Layer Security (TLS) Protocol Version 1.1; F.4. Security of Composite Cipher Modes
• [15] Issue 98202 - chromium - Server or script on server is intolerant to 1/n-1 record splitting.
• [16] CVE-2011-3389
• [17] SSL Pulse Project
• [18] Dennis Fisher: Survey Finds Secure Sites Not So Secure
• [19] Ivan Ristic: SSL Pulse - To Make SSL More Secure and Pervasive
• [20] Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger: MD5 considered harmful today - Creating a rogue CA Certificate
• [21] Moxie Marlinspike: New Techniques for Defeating SSL/TLS
• [22] SSLStrip
• [23] Moxie Marlinspike: More Tricks For Defeating SSL
• [24] Jacob Appelbaum: [Noisebridge-discuss] Merry Certmas! CN=*\x00thoughtcrime.noisebridge.net
• [25] Tim Jones: [Full-disclosure] null-prefix certificate for paypal
• [26] Ben Laurie: Another Protocol Bites The Dust
• [27] Martin Rex: [TLS] MITM attack on delayed TLS-client auth through renegotiation
• [28] Thierry Zoller: TLS / SSLv3 renegotiation vulnerability explained
• [29] Anil Kurmus: TLS renegotiation vulnerability (CVE-2009-3555) - definitely not a full blown MITM, yet more than just a simple CSRF
• [30] RFC 5746 - Transport Layer Security (TLS) Renegotiation Indication Extension
• [31] Firesheep
• [32] Carsten Eilers: Firesheep fängt ungeschützte Cookies
• [33] Billy Bob Brumley, Nicola Tuveri: Remote Timing Attacks are Still Practical
• [34] US-CERT: Vulnerability Note VU#536044 - OpenSSL leaks ECDSA private key through a remote timing attack
• [35] THC-SSL-DOS
• [36] Eric Rescorla: SSL/TLS and Computational DoS
• [37] Vincent Bernat: SSL computational DoS mitigation
• [38] Carsten Eilers: RSA und die schwachen Schlüssel, Teil 2: Die Schlüssel
• [39] Carsten Eilers: RSA und die schwachen Schlüssel, Teil 3: Die Gefahren
• [40] Qualys SSL Labs SSL Server Test
• [41] SSL/TLS Deployment Best Practices (PDF)
• [42] Carsten Eilers: SSL-Angriff mit Folgen
• [43] Carsten Eilers: Falsche Zertifikate für Google und andere - ist SSL tot?
• [44] Carsten Eilers: Vertrauensfragen
• [45] VASCO Announces Bankruptcy Filing by DigiNotar B.V.
• [46] Carsten Eilers: SSL: Die CAs sägen am eigenen Ast
• [47] Carsten Eilers: Man-in-the-Middle-Angriffe auf HTTPS
• [48] Carsten Eilers: Alternativen zum SSL-CA-Zertifizierungssystem
• [49] Adam Langley, Ben Laurie: Certificate Authority Transparency and Auditability
• [50] Adam Langley: Certificate Transparency
• [51] draft-evans-palmer-key-pinning-00: Public Key Pinning Extension for HTTP

---

CAINE, DEFT, REMnux, FSL & Co.

Teil 2: Linux-Live-CDs zur forensischen Untersuchung und Malware-Analyse

Im Entwickler Magazin 3.2012 ist der zweite Teil des zweiteiligen Artikels über Linux-Live-CDs mit Sicherheitsbezug erschienen. Vorgestellt werden CDs

• zur forensischen Untersuchung (CAINE (Computer Aided INvestigative Environment) und DEFT Linux),
• zur Malware-Analyse (REMnux und Fedora Security Lab),
• als Testumgebung für mobile Geräte (MobiSec Live Environment),
• als Tool-Sammlung (Network Security Toolkit (NST)),
• als Firewalls (Devil-Linux und Zeroshell) und
• zum Schutz der Privatsphäre (Ubuntu Privacy Remix und Tails).

Links

• [1] CAINE (Computer Aided INvestigative Environment)
• [2] DEFT Linux
• [3] REMnux
• [4] Fedora Security Lab
• [5] MobiSec Live Environment
• [6] grml
• [7] Network Security Toolkit (NST)
• [8] SecTools.Org: Top 125 Network Security Tools
• [9] Carsten Eilers: Scanner für das Web, Entwickler Magazin 4.2011
• [10] Carsten Eilers: About Security #29: Die Firewall — Grundlagen (siehe auch die folgenden Folgen)
• [11] Devil-Linux
• [12] Zeroshell
• [13] Ubuntu Privacy Remix
• [14] Tails
• [15] Carsten Eilers: Drive-by-Infektionen - Gefahren drohen überall

---

28C3: Eine Konferenz, viele neue Angriffe

Neues rund um die Web Security

Im Entwickler Magazin 2.2012 ist ein Artikel über auf dem 28. Chaos Communication Congress (28C3) gehaltene Vorträge zum Thema "Web Security" erschienen. Der Schwerpunkt liegt auf den sog. "HASH-DOS"-Angriffen.

Der Artikel wurde auch auf der Website des PHP Magazins veröffentlicht.

Links

• [1] 28C3 - Recordings
• [2] Effective Denial of Service attacks against web application platforms
• [3] n.runs-SA-2011.004 - web programming languages and platforms - DoS through hash table (Text und PDF)
• [4] "Meet-in-the-middle"-Angriffe
• [5] oCERT Advisory #2011-003 Multiple Implementations Denial-of-Service via Hash Algorithm Collision
• [6] PHP Subversion: "Added max_input_vars directive to prevent attacks based on hash collisions"
• [7] PHP 5.3.9 Released und PHP 5.4.0 RC4 released
• [8] Microsoft Security Bulletin MS11-100: Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)
• [9] Security Research & Defense Blog: More information about the December 2011 ASP.Net vulnerability
• [10] Rootkits in your Web application
• [11] Rootkits - Schadsoftware im System
• [12] New Ways I'm Going to Hack Your Web App
• [13] Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking"
• [14] Likejacking - Facebook im Visier der Cyberkriminellen
• [15] About Security #155: Schwachstellensuche: Session Hijacking
• [16] About Security #157: Schwachstellensuche: Session Fixation
• [17] About Security #14: Cross-Site Scripting
• [18] Don't scan, just ask

---

OAuth in der Praxis

Wie Sie OAuth zur Autorisierung verwenden

Im Entwickler Magazin 1.2012 ist der zweite Teil eines zweiteiligen Artikels zum OAuth-Protokoll erschienen. Thema dieses Teils ist der praktische Einsatz des Protokolls am Beispiel von PHP.

Der Artikel wurde auch auf der Website des Entwickler Magazins veröffentlicht.

Links

• [1] Wikiquote Andrew S. Tanenbaum
• [2] OAuth Libraries
• [3] Twitter Libraries
• [4] Twitter OAuth Library von Abraham Wiliams
• [5] OAuth PECL-Erweiterung
• [6] Lorna Jane Mitchell: PHP OAuth Provider: Initial Requirements
  PHP OAuth Provider: Request Tokens
  PHP OAuth Provider: Authenticate User
  PHP OAuth Provider: Access Tokens
• [7] Rasmus Lerdorf: Writing an OAuth Provider Service
• [8] RFC 5849 - The OAuth 1.0 Protocol

---

Webmaster, webmaster@ceilers-it.de

Letzte Änderung: 04.03.2019, 00:15