tienod.com

/var/lib/cccwtf Weiterlesen »

Es gibt keine generelle Überwachung.
Es hört uns niemand ab. Weiterlesen »

Auf Gütesiegel verlassen und verlassen liegen geblieben. Weiterlesen »

DeepSec zeigt auf Sicherheitslücke: Jeder kann sich als Bank ausgeben
Betrug mit scheinbar sicheren SSL-zertifizierten Websites laut Experten möglich
Weiterlesen »

Diese Liste ist angeregt durch Aussagen von Webdesignern und Webentwicklern entstanden.
Manche nehmen es mit der Sicherheit nicht so ernst und deswegen diese Liste als Denkanstoß.

1. Nur weil bei POST Parametern die Daten nicht in der URL ersichtlich sind bedeutet das nicht, dass ich nicht weiß dass sie da sind. Genausowenig bedeutet es, dass ich sie nicht verändern könnte.
2. Ein “hidden” Formularfeld bedeutet nicht, dass ich es nicht finden kann. Oder ändern. Siehe 1.
3. Das Selbe gilt für Cookies. Siehe 1.
4. Eingaben mit JavaScript im Browser zu prüfen verhindert nicht, dass ich trotzdem schicke was ich möchte.
5. Ich liebe es wenn du sagst: “Das wird im Echtbetrieb nicht passieren”.
6. Ich liebe es noch mehr wenn du sagst: “Ein Angreifer würde das nie machen”.
7. Ich hasse gute Serverseitige Datenprüfung.
8. Diese detaillierten Fehlermeldungen – Was würde ich nur ohne sie machen.
9. Diese “Secure Seals”-Banner auf deiner Seite zeigen mir, dass du nichtmal die Grundlagen verstanden hast.
10. Dieser Sicherheitsscanner von dir – er hat nicht alles gefunden. Nichtmal annähernd.
11. Dieser Netzwerkscanner von dir – er hat nichtmal angefangen die Sicherheit der Applikation zu testen.
12. Ich verstehe AJAX besser als du.
13. Je cleverer du dich selbst hältst, umso besser fühle ich mich.

DeepSec: Datenklau ist Vorbereitungsstufe für gezielte Attacken / Internationale IT-/ Network-Security-Experten und Hacker treffen sich vom 17. bis 20. November in Wien.

Weiterlesen »