Schwerpunktthema

Security

Fachartikel, Podcasts, Vorträge und mehr zum Thema Security.

Heimdalls Bewerbung bei der CNCF

Vom Feierabendprojekt zum weltweit genutzten Tool

Social Engineering ist durchgespielt

Der Angriff auf die Kompressionsbibliothek xz hat gezeigt, wie fragil die digitale Infrastruktur ist, die die moderne Welt am Laufen hält. In dieser Kolumne soll betrachtet werden, wie die sozialen Mechanismen Vertrauen und Misstrauen in diesem Zusammenhang wirken.

Security Podcast

Das Crowdstrike Desaster

Wenn Sicherheitssoftware zur Gefahr wird

Security Podcast

Die XZ/OpenSSH Backdoor

Zerbrechliche Strukturen in Open-Source-Projekten

Security Podcast

Der Security-Adventskalender 2023

24 Türchen: 24 Folgen

Passkeys

Nutzbar und sicher?

Blog-Post

Improve your CSP with Style Nonces in Angular 16

What to do, to enable your Angular application to use style-src: nonce in a CSP for stricter security rules

Security Podcast

Browser Security

Was hat der Browser je für uns getan?

Security Podcast

KI und Security

Eine Risikobewertung

Blog-Post

How to Encrypt a File on the JVM

You’ve got a secret password and some bytes you’d like to encrypt. JVM has all the tools you need to get it done.

Podcast

Kubernetes Secrets

Schützenswerte Resscourcen

Security Podcast

Firewall

Die Wiege der falschen Sicherheit

Blog-Post

How to use and build your own distroless images

Security and efficiency are key goals in production systems. This begins when we build our application images and look for a suitable base image. So what are good base images and how do distroless images fit into this picture?

Security Podcast

Das LastPass Drama

Passwort-Manager? Na klar. Aber doch nicht so!

Security Podcast

Der Security-Adventskalender 2022

24 Türchen: 24 Folgen

Parsen statt validieren?

Der Leserbrief

Security Podcast

Sidechannel Attacks

Unfair über die Seitenlinie

Security Podcast

Software Supply Chain Security

Finde das schwächste Glied in der Kette

Security Podcast

OWASP Top 10

Die größten Security-Risiken für Webanwendungen

Security Podcast

Open Source Security

Risiken (und Nebenwirkungen) der Arbeit mit und an Open Source Software

Blog-Post

CORS extension “Private Network Access”

Understanding the new preflight requests

Blog-Post

Cloud Security

Die Cloud-Welt bringt eigene sicherheitstechnische Herausforderungen. Zusätzlich haben regulatorische Auflagen für den Umgang mit personenbezogenen Daten starke Implikationen, zumal weder Netzwerke noch Speichersysteme von Cloudanbietern vorbehaltlos vertrauenswürdig sind.

Security Podcast

Der Security-Adventskalender

24 Türchen: 24 Folgen

Security Podcast

Passwort-Manager

Alles, nur keine Kladde

Artikel

Machine Learning Security – Teil 2

ML kommt immer mehr in sensiblen Entscheidungssystemen zum Einsatz - z.B. in autonomen Fahrzeugen, in der Gesundheitsdiagnostik oder der Kreditwürdigkeitsprüfung. Dies bringt nicht nur neue Möglichkeiten, sondern auch neue Schwachstellen mit sich, die gezielt von Angriffen ausgenutzt werden können. In Teil 2 dieser Artikelserie beschäftigen wir uns mit verschiedenen Angriffstypen in der ML-Security-Landschaft und den dazugehörigen Lösungsvorschlägen.

Artikel

Machine Learning Security – Teil 1

Machine Learning kommt immer mehr in sensiblen Entscheidungssystemen zum Einsatz. Dies bringt nicht nur neue Möglichkeiten, sondern auch neue Schwachstellen mit sich, die gezielt von Angriffen ausgenutzt werden können. In Teil 1 dieses Artikels navigieren wir uns Stück für Stück durch die ML Security Taxonomie und nehmen die Perspektive des Angriffs ein.

Security Podcast

Machine Learning Security

„Aus großer Kraft folgt große Verantwortung”

Security Podcast

TLS richtig konfigurieren

Mehr als Copy & Paste

Security Podcast

Input Validation, Output Encoding

Keine Kür, sondern Pflicht

Security Podcast

Passwörter

Eintrittskarten im Netz

Security Podcast

Sondersendung: Exchange

Der Exploit „ProxyLogon“

Security Podcast

Jahresend-Mix 2020

Unsere persönlichen Security-Learnings des Jahres

Security Podcast

OpenID Connect und SSO

Ausweise im Netz

Security Podcast

OAuth(2)

Vollmachten im Netz

Security Podcast

AAAAA

Authentisierung, Authentifizierung, Autorisierung, Access-Control, Audit

Security Podcast

Steganografie

Alles muss versteckt sein

Security Podcast

CAs und Let’s Encrypt

Wer zertifiziert hier eigentlich wen?

Blog-Post

Ganz sichere Verbindungen

Blog-Post

Ganz sichere Verbindungen

Ein Anwendungsfall für ein Hardware-Security-Modul

Security Podcast

TLS

Der sichere Weg von A nach B

Podcast

Kryptografie

AXPTX OABOO FZEQF DBPZE IRBPP BI

Security Podcast

Zertifikate

Ich bräuchte dann noch eine digitale Unterschrift von Ihnen

Security Podcast

Kryptografie

AXPTX OABOO FZEQF DBPZE IRBPP BI

Artikel

String-Vergleich gegen Timing-Angriffe härten

Der String-Vergleich über die Methode String#equals in Java ist anfällig für Timing-Angriffe. Der oft empfohlene Lösungsansatz ist schwierig korrekt zu implementieren. Aber selbst eine korrekte Implementierung kann bei der Ausführung noch für Timing-Angriffe anfällig sein. Die hier vorgestellte Methode schließt diese Probleme prinzipiell aus.

Podcast

Secrets Management

Von der Herausforderung, Geheimnisse zu verwalten

Blog-Post

OpenID Connect Auth-Proxy

Mit OpenID Connect kann Single Sign-On in einem verteilten System erreicht werden. Ein Auth-Proxy kapselt den Aspekt Authentifizierung in einem eigenständigen Modul. Wir schauen uns an, wie das im Detail umgesetzt werden kann.

Blog-Post

A Playground for Testing OpenID Connect

This post describes how you can set up a development environment in order to play around with your OpenID client implementation. When running your application in a cluster, it can be difficult to test how it will behave behind a load balancer. One factor that can be particularly difficult to test is when you are communicating with an OAuth 2.0 or OpenID Connect server which expects that a request will be redirected back to the same application instance that it came from.

Blog-Post

Secure Kubernetes Cluster

Why, even with Docker and Kubernetes, there is still work to be done on security issues

Blog-Post

Sichere Kubernetes Cluster

Container und Kubernetes haben die Art und Weise, wie wir Software in Produktion bringen stark vereinfacht. Anwendungen lassen sich in Container Images verpacken und auf einem Kubernetes-Cluster mit mehreren Knoten betreiben. Bei all der Einfachheit sollte aber nicht vergessen werden, dass trotz der Kapselung in Container verschiedene Aspekte der Sicherheit noch immer eine wichtige Rolle spielen müssen.

Blog-Post

Enforce strong passwords!

Frequent leaks of large user databases highlight how important it is to enforce strong passwords. Let’s discuss what makes a strong password and why it is a good idea to additionally check it against a dictionary.

Blog-Post

Have YOU been pwned?

How to check your passwords securely and effortless

Artikel

Vault

Eigentlich ist man sich einig, dass durch immer größere und komplexere Netze und Systemlandschaften das Thema “Sicherheit” nicht einfach durch die eine grosse Perimeter-Firewall erledigt ist. Trotzdem fehlt es häufig an Infrastruktur, die dabei unterstützt zum Beispiel mit Zugangsdaten automatisiert und sicher umzugehen. Vault unterstützt hier als “a tool for managing secrets” dieses Problem anzugehen.

Blog-Post

Content Security Policy

Cross-Site-Scripting ist seit Jahren eines der Security Probleme im Web. Neben anderen sicherheitsrelevanten HTTP-Headern gibt es seit geraumer Zeit auch die Möglichkeit, dem Browser eine “Content Security Policy” mitzuteilen. Dieser Blogpost erklärt deren Zweck und Einsatz.

Podcast