Gestern und heute Sicherheitslösungen im Wandel

Größe: px
Ab Seite anzeigen:

Download "Gestern und heute Sicherheitslösungen im Wandel"

Transkript

1 Gestern und heute Sicherheitslösungen im Wandel Mit dem Siegeszug von JavaScript und HTML5 etabliert sich eine völlig neue Generation von Webapplikationen. Gleichzeitig werden Applikationen organisationsübergreifend vernetzt. Was bedeutet das für bewährte Sicherheitskonzepte? Von Stephan Schweizer und Thomas Zweifel Im klassischen Internetzeitalter Ende der 90er- und Anfang der 00er-Jahre waren die Fronten klar: Im Internet tummelten sich die «Bösen», im Intranet gingen die «Guten» ihrer Arbeit nach. Um diese zwei Welten voneinander zu trennen, wurde und wird ein sogenannter Netzwerk-Perimeter aufgebaut. Dieser besteht in der Regel aus einer äusseren und einer inneren Firewall. In der Zone dazwischen, der «demilitarisierten Zone» (DMZ), befinden sich weitere Sicherheitskomponenten wie Secure Reverse Proxys und Web Application Firewalls. Sie sorgen dafür, dass nur stark authentisierte (durch sogenannte 2-Faktor- Authentisierung) Benutzer aus dem «Reich der Bösen» auf die angebotenen Webapplikationen zugreifen können. Diese vorgelagerten Sicherheitskomponenten verhindern ausserdem eine direkte Kommunikation zwischen Client und Applikation. Überdies bieten sie neben der Single-Sign-on-Funktionalität flexible Eingriffsmöglichkeiten, um die Applikationen vor direkten Angriffen wie Denial of Service (DoS), Cross-Site Scripting und Injection-Attacken (siehe Kasten) zu schützen. Um das Millennium waren die Fronten zwischen Gut und Böse im Internet noch klar. Die Applikationslogik verlagert sich auf den Client In dieser Welt gab es keine Zweifel: Die applikatorische Logik befindet sich auf der Server-Seite. Die Aufgabe der Browser bestand primär darin, die Inhalte dem Benutzer visuell zugänglich zu machen. Nach den durchzogenen Erfahrungen aus der Client-Server-Ära in den 90er-Jahren herrschte ein breiter Konsens, dass dieser Ansatz richtig sei. Die Benutzer waren auch Denial-of-Service-(DoS-)Attacken zielen darauf ab, die Nutzung eines Dienstes durch reguläre Benutzer zu verunmöglichen. Dazu versucht der Angreifer, den Service mit einer grossen Anzahl von Anfragen zu überlasten oder durch gezielte Ausnutzung von bekannten Schwachstellen zum Absturz zu bringen. Bei Distributed-Denial-of-Service-(DDoS-)Attacken wird eine grosse Anzahl von weltweit verteilten Internet-Clients dazu verwendet, um das Zielsystem mit Anfragen zu überlasten. Meistens handelt es sich bei den Clients um Workstations, die vorgängig mit einem Trojaner infiziert wurden. Das System wird in der Folge von den Angreifern ferngesteuert, die Besitzer nehmen meist ohne ihr Wissen an der Denial-of-Service-Attacke teil. Die zahlreichen, teilweise variierenden Clients machen es für den Service-Betreiber schwieriger, die DoS-Anfragen zu filtern. Cross-Site Scripting zielt darauf ab, JavaScript-Code des Angreifers in eine Webapplikation einzuschleusen. Der Angriff erfolgt meist über unzureichend geschützte Eingabefelder der Applikation oder URL-Query-Parameter. Je nach Absicht des Angreifers nutzt der eingeschleuste Code das Runtime-Environment des Browsers, um in die Applikationslogik einzugreifen, weiteren Schadcode nachzuladen, digitale Identitäten zu stehlen oder bestehende Sicherheitslücken auf dem Client-System auszunutzen, um beispielsweise einen Trojaner zu installieren. Bei SQL-Injection-Attacken geht es darum, Daten (zum Beispiel Kreditkarteninformationen) auszuspähen, aus der applikatorischen Datenbank zu stehlen oder in seinem Sinne zu verändern. Dabei wird versucht, SQL Statements des Angreifers über ungeschützte Eingabefelder oder Query-Parameter in die Applikation einzuschleusen und ausführen zu lassen. SQL-Injection- Angriffe können durch entsprechende WAF-Filter oder datenbankseitig durch «Prepared Statements» (mit gebundenen Parametern) verhindert werden. AdNovum Informatik AG, Auszug aus Notitia 27/ 2014 Make Security an Asset 1/5

2 Virtualiza «Private sehr genügsam und gaben sich mit spartanischen, aus heutiger Sicht archaisch anmutenden Oberflächen (GUIs) zufrieden. Mit der Entwicklung anspruchsvoller Applikationen stiegen die Anforderungen an das GUI. Es folgten erste Gehversuche mit JavaScript mit dem Ziel, die GUIs benutzerfreundlicher zu gestalten. Niemand wäre aber zu jener Zeit auf die Idee gekommen, Business-Logik in JavaScript zu implementieren die in JavaScript realisierten Teile einer Applikation beschränkten sich auf Logik im Zusammenhang mit der Visualisierung. Die Zurückhaltung der Entwickler, Funktionalität im Browser zu nutzen, hatte gute Gründe: In der früheren HTML4-Welt waren die Tags zwar standardisiert, deren Semantik und Darstellungsweise wurden aber von den verschiedenen Browser-Herstellern sehr unterschiedlich interpretiert. Dies führte dazu, dass Webinhalte je nach verwendetem Browser völlig anders aussahen. Das von den Browsern bereitgestellte JavaScript API (Application Programming Interface) war ausserdem sehr spartanisch. Wer anspruchsvollere Themen mit JavaScript in Angriff nahm und dabei gleichzeitig die Browser-Vielfalt in den Griff bekommen wollte, musste richtige Knochenarbeit leisten. HTML5 läutet eine neue Ära ein Mit der Einführung von HTML5 hat sich dies grundlegend geändert. Neben einer eindeutigen Semantik und einer einheitlichen Darstellungsweise brachte HTML5 auch ein sehr umfangreiches, standardisiertes JavaScript API. Damit verringerten sich einerseits die Browser-spezifischen Unterschiede, andererseits reichten plötzlich ein paar wenige Zeilen JavaScript, um Videos vor- und rückwärtszuspulen, Grafiken zu zeichnen, Daten mittels WebStorage im Browser lokal zu speichern, auf die Kamera eines mobilen Geräts zuzugreifen oder mit diesem den geografischen Standort abzufragen. So war der Weg geebnet für Rich Internet Applications, sogenannte RIAs, mit umfangreichen, rein Client-seitigen Funktionen. Der Browser mutierte dabei von HTML5 eröffnet Entwicklern und Angreifern völlig neue Perspektiven. einem «Visualisierungsvehikel» zu einer umfassenden Laufzeitumgebung für JavaScript-basierte Applikationen. Die vielseitigen Funktionen von HTML5 eröffnen den Applikationsentwicklern völlig neue Perspektiven leider gilt dies jedoch auch für Angreifer. Auch wenn bei der Standardisierung von HTML5 Sicherheitsaspekte mit berücksichtigt wurden: Alleine der Umfang der Funktionalitäten im Browser führt dazu, dass Internet DMZ nem eatia dolesciene volorpores cimolorrum exerio entrent essi to es mo. any to Secure Reverse Proxy Amazon Web Services Intranet (unter direkter Kontrolle) 2000 Client / Server JavaScript for GUIs Perimeter Security Intranet (unter di 201 HTML5 Multi-Channel J Cloud Computing Quo vadis, Internet: Die rasante technologische Entwicklung erfordert es, Sicherheit laufend zu hinterfragen. 2/5 Auszug aus Notitia 27/ 2014 Make Security an Asset AdNovum Informatik AG,

3 durch fehlerhafte Implementierungen relativ leicht auszunutzende Sicherheitslücken entstehen. Ausserdem gilt es zu beachten, dass in relativer Stille gerade ein Paradigmenwechsel stattfindet: Die Applikationsfunktionalität wandert zunehmend auf den Client und damit ausgerechnet in Richtung des schwächsten Ist erst fremder Code eingeschleust, versagen viele Sicherheitsmechanismen. Glieds in der ganzen Security-Kette. Diese Verlagerung hin zum schwächsten Glied hat zur Folge, dass etablierte Server-seitige Sicherheitsmechanismen teilweise nicht mehr greifen und damit nur noch einen reduzierten oder im Extremfall gar keinen Schutz mehr bieten. Der Grund liegt in der Funktionsweise moderner JavaScript Frameworks: Aufgrund der Client-seitigen Logik haben Server-seitige Sicherheitskomponenten nur eine begrenzte Sicht auf den effektiv angezeigten Inhalt der Applikation. Gelingt es nun einem Angreifer, in diese Prozesse eigenen JavaScript-Code einzuschleusen und so die Kontrolle zu gewinnen, wird es schwierig: Ist erst einmal fremder Code einge- schleust, versagen viele der Browser-internen Sicherheitsmechanismen, da die bösartigen JavaScript-Fragmente als regulärer Teil der Applikation betrachtet werden. Das reichhaltige HTML5 JavaScript API steht damit auch dem Angreifer zur Verfügung und ermöglicht beispielsweise, die Kamera in Betrieb zu nehmen, auf Inhalte des HTML5 WebStorage zuzugreifen oder mit der Hilfe von Web Workers (JavaScript-Hintergrundprozesse) eine DoS-Attacke zu starten. Sicherheit ist zentraler denn je Die Beispiele verdeutlichen, dass ein konsequenter Schutz der Webapplikationen noch nie so wichtig war wie heute. Um den Sicherheitslevel der Vergangenheit halten zu können, sind jedoch neue Konzepte notwendig. Ein ganzheitliches Security- Konzept muss die Client-Seite angemessen berücksichtigen. Dazu gehört neben klaren Coding-Richtlinien für die Entwickler auch der konsequente Einsatz der vorhandenen Sicherheitsmechanismen moderner Browser. Diese können von den Serverseitigen Sicherheitskomponenten (zum Beispiel dem nevisproxy) zwar zentral aktiviert und gesteuert werden die Durchsetzung der Sicherheitspolicies verbleibt jedoch auf der Client-Seite. Damit muss man als Sicherheitsverantwortlicher darauf vertrauen, dass die Browser die vorgegebenen Policies richtig anwenden. Ebenso wichtig beziehungsweise noch wichtiger ist es, die im Google Internet of Things Identity Provider X any any to any Google Hybrid Cloud Y Full-Service Provider Z tion vs. Cloud» Salesforce Salesforce DB as a Service Private Cloud rekter Kontrolle) 0 avascript for Business Logic Responsive Design Intranet (unter direkter Kontrolle) 2020? distributed / decentralized security? API Economy OAuth RESTful Machine to Machine JSON OpenID Connect Technologies & Standards AdNovum Informatik AG, Auszug aus Notitia 27/ 2014 Make Security an Asset 3/5

4 Stephan Schweizer und Thomas Zweifel: Entwickeln Strategien für den Umgang mit neuen Gefahren im Internet. Server verfügbaren Schutzmechanismen gegen Injection- Attacken konsequent anzuwenden. Obwohl die Mechanismen bei gewissen Szenarien nicht mehr die gleiche Schutzwirkung entfalten wie früher, bilden sie nach wie vor eine nicht zu unterschätzende Hürde beim Versuch, Angriffscode in die Applikation einzuschleusen. Alle Sicherheitsmassnahmen zusammen verfolgen ein Ziel: die Einschleusung von bösartigem JavaScript-Code unter allen Umständen zu verhindern. Neue Sicherheitskonzepte sind gefragt Bei den aufgezeigten Massnahmen bleibt dennoch eine zentrale Frage offen: Wie wappne ich mich als Organisation gegen den Worst Case, also den Fall, dass es einem Angreifer gelingt, eigenen Code in die Applikation einzuschleusen? Für dieses Szenario müssen definitiv neue Lösungen entwickelt werden. Es ist davon auszugehen, dass sich eine infizierte JavaScript-Applikation anders verhalten wird als das Original ein vielversprechender Ansatz ist daher die Server-seitige Anomalieerkennung. Die grundlegende Idee besteht darin, dass es Server-seitige Intelligenz gibt, die in der Lage ist, das normale Verhalten einer Applikation zu lernen und zu modellieren. Ausgehend von dieser Annahme ist es möglich, abweichende Verhaltensweisen zu erkennen und darauf zu reagieren. Die Reaktionen auf eine solche Situation hängen vom jeweiligen Kontext ab. Denkbar sind eine Meldung an ein zentrales Monitoringsystem, der Entzug von kritischen Rechten während der Session (zum Beispiel Sperrung von kritischen Transaktionen), eine Neuauthentisierung des Benutzers oder gar eine sofortige Beendigung der Session. Die technischen Grundlagen für ein solches System bestehen bereits; Ansätze und Algorithmen aus dem Big-Data-Bereich leisten hier wertvolle Dienste. Mit einer zentralen Security- Architektur, die auf einem Entry-Gateway-Ansatz basiert, sind ausserdem die Voraussetzungen gegeben, um an zentraler Stelle auf erkannte Anomalien zu reagieren. Die neuen Aufgaben der Entry Gateways Die organisationsübergreifende Vernetzung von Applikationen erfolgt heute in aller Regel über sogenannte APIs. Darunter versteht man Web-basierte Schnittstellen, über die Datenstrukturen im XML- oder JSON-Format ausgetauscht werden. Der Begriff JSON steht dabei für JavaScript Object Notation. Wie der Name vermuten lässt, wurde der Standard für den Austausch von Datenstrukturen im JavaScript-Umfeld entwickelt. Die gute Nachricht ist, dass vernetzte Backend-Applikationen und JavaScript-basierte Rich Internet Applications die gleichen 4/5 Auszug aus Notitia 27/ 2014 Make Security an Asset AdNovum Informatik AG,

5 Technologien für den Datenaustausch nutzen. Somit können die Gateway-Infrastrukturen prinzipiell für beide Applikationstypen verwendet werden. Dies spart einerseits Kosten und vereinfacht andererseits den Betrieb. Bei kritischen oder vertraulichen Daten müssen die Zugriffe auf die APIs selbstverständlich durch eine Authentisierung geschützt werden, die dem geforderten Sicherheitsniveau entspricht. Wenn nun Applikationen immer enger integriert und Server-seitige Intelligenz kann das normale Verhalten einer Applikation lernen. 4. Zusätzliche Funktionen: Die zentrale Verifikation der Access Token ist die ideale Grundlage für ein zentrales Accounting und damit auch für neue Verrechnungs- und Geschäftsmodelle. Die bestehenden Web Entry Gateways und Perimeter- Architekturen bilden eine ideale Basis, um diese Vorteile zu nutzen. Wir sind davon überzeugt, dass sich heutige Web-Entry- Lösungen in Richtung API Management weiterentwickeln müssen. Dazu gehören neben der Unterstützung der modernen Federation-Protokolle (OAuth und OpenID Connect) auch weitere Funktionalitäten wie Accounting, Throttling, effizientes Filtering von JSON Content sowie die selektive Einschränkung der nach aussen publizierten API-Funktionen in Abhängigkeit der Benutzerberechtigungen. verknüpft werden, sich aber nicht notwendigerweise im selben Rechenzentrum oder auf demselben Server befinden, müssen die einzelnen Applikationen zwecks Datenaustausch auf die jeweils anderen APIs im Namen des Endnutzers zugreifen können. Hierzu sollte der Endnutzer um Erlaubnis gefragt werden, im Fachjargon User Consent genannt. Das Autorisierungsprotokoll OAuth definiert hierfür verschiedene Abläufe. Die Identifikation beziehungsweise Authentisierung des Benutzers mittels eines Authorization Server gehört ebenfalls zu diesen Abläufen, ist jedoch selbst nicht standardisiert, auch um beliebige Authentisierungsmechanismen zu ermöglichen. Nach der Authentisierung stellt der Authorization Server die Access Token aus, die letztlich den Applikationen den Zugriff auf das API ermöglichen. Die Funktionalitäten zur Ausstellung der Access Token sowie deren Verifikation werden idealerweise in eine den Applikationen vorgeschaltete Ebene ausgelagert. Eine solche Architektur bietet verschiedene Vorteile: 1. Zentral: Die Unterstützung für das OAuth-Protokoll muss nicht einzeln für jede Applikation implementiert werden. Dies bedeutet einerseits eine Zeit- und Kostenersparnis und macht andererseits die Integration von Legacy-Applikationen erst möglich. 2. Entkoppelt: Eine sichere Implementierung des OAuth- Standards stellt hohe Anforderungen an die Verwaltung der ausgestellten Token. Die Bereitstellung dieser Funktionalität in einer vorgeschalteten Gateway-Infrastruktur ermöglicht eine einfache und sichere Integration der bestehenden Applikationen. 3. Modular: Der Authorization Server ist per Design eine zentrale Komponente, die alle eingebundenen Applikationen verwenden. Diese Komponente muss in der Lage sein, alle bereits vorhandenen Benutzer-Directories einzubinden und die bereits vorhandenen Authentisierungsverfahren weiterhin zu unterstützen. Eine zentrale Sicherheitsinfrastruktur stellt sicher, dass die Anbindung der notwendigen Directories nur einmal erfolgen muss. Und was bedeuten diese Trends für Nevis-Kunden? Neue Trends einzubeziehen ist für uns Herausforderung und Ansporn zugleich. Wir wollen unseren Kunden stets die technischen Mittel in die Hand geben, die notwendig sind, um ihr Business in einem dynamischen Umfeld optimal zu unterstützen. Die aufgezeigten Themen und Trends sind daher entweder bereits in neue Produktfunktionalitäten eingeflossen oder werden in der zukünftigen Produktentwicklung berücksichtigt. Beim Design der neuen Funktionen stehen die sanfte Migration auf neue Applikationsarchitekturen und der Parallelbetrieb der bestehenden Lösungen im Zentrum damit gewährleistet der Einsatz von Nevis einen maximalen Investitionsschutz und eine solide Basis für künftige Herausforderungen. (Weiterführende Informationen sind auf der neu gestalteten Nevis-Website zu finden: https://www.nevis-security.ch) Stephan Schweizer Stephan Schweizer stiess 2009 als Nevis Product Manager zur AdNovum und ist seither für die Nevis-Produktstrategie und den Vertrieb verantwortlich. In seiner Freizeit bewegt er sich gerne mit Laufschuhen an den Füssen in der freien Natur oder versucht als Tenniseinsteiger, seinen noch etwas wackligen Aufschlag zu verbessern. Thomas Zweifel Thomas Zweifel ist Dipl. Informatik-Ingenieur ETH sowie MAS ETH MTEC und seit April 2005 für AdNovum tätig. Als Senior IT Consultant berät er Kunden in Fragen der IT-Sicherheit und IT-Strategie und leitet ein Team von Ingenieuren und Beratern. In seiner Freizeit bewegt er sich gerne sowohl auf wie auch unter dem Wasser. AdNovum Informatik AG, Auszug aus Notitia 27/ 2014 Make Security an Asset 5/5

Entwicklung und Integration mobiler Anwendungen. Oracle Deutschland B.V. & Co. KG

Entwicklung und Integration mobiler Anwendungen. <Speaker> Oracle Deutschland B.V. & Co. KG Entwicklung und Integration mobiler Anwendungen Oracle Deutschland B.V. & Co. KG Global Users (Millions) Der Trend ist eindeutig. Trend zu mobilen Endgeräten Wachstum des mobilen Datenverkehrs

Mehr

NOTITIA. Make Security an Asset. Bemerkenswertes von und über AdNovum. Sommer 2015, Heft Nr. 28

NOTITIA. Make Security an Asset. Bemerkenswertes von und über AdNovum. Sommer 2015, Heft Nr. 28 NOTITIA Bemerkenswertes von und über AdNovum Sommer 2015, Heft Nr. 28 Make Security an Asset Inhalt Gestern und heute Sicherheitslösungen im Wandel Wie HTML5 und JavaScript die virtuelle Welt aufmischen

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL Einführung Globales Filesharing ist ein Megatrend Sync & Share ist eine neue Produktkategorie

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Sicherheit in Rich Internet Applications

Sicherheit in Rich Internet Applications Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Seite 2 Sicherheit in Rich Internet Applications Florian Kelbert 14.02.2008 Inhaltsverzeichnis Grundlagen Ajax und Mashups Adobe Flash-Player

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH Identity und Access Management im Kontext der Cloud Horst Bratfisch Raiffeisen Informatik GmbH Raiffeisen Informatik Konzern Länder: 29 Standorte: 100 Mitarbeiter: 2.800 Umsatz 2011: 1,4 Mrd. Raiffeisen

Mehr

Sicht eines Technikbegeisterten

Sicht eines Technikbegeisterten Cloud und Mobile Apps Quo Vadis? Bernhard Bauer Institut für Software und Systems Engineering Universität Augsburg Oder... IT Arbeitsplatz der Zukunft Sicht eines Technikbegeisterten IT Arbeitsplatz der

Mehr

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen

Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Unix Friends and User Campus Kamp Aktuelle Angriffstechniken auf Web-Applikationen Steffen Tröscher cirosec GmbH, Heilbronn Steffen Tröscher Dipl.-Informatiker (FH) IT-Sicherheitsberater Tätigkeitsschwerpunkte:

Mehr

Baustein Webanwendungen. Stephan Klein, Jan Seebens

Baustein Webanwendungen. Stephan Klein, Jan Seebens Baustein Webanwendungen Stephan Klein, Jan Seebens Agenda Bedrohungslage für Webanwendungen Baustein Webanwendungen 1) Definition und Abgrenzung 2) Goldene Regeln 3) Spezifische Gefährdungen 4) Spezifische

Mehr

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Entwicklung von Web-Anwendungen auf JAVA EE Basis Entwicklung von Web-Anwendungen auf JAVA EE Basis Java Enterprise Edition - Überblick Prof. Dr. Bernhard Schiefer Inhalt der Veranstaltung Überblick Java EE JDBC, JPA, JNDI Servlets, Java Server Pages

Mehr

Mobile ERP Business Suite

Mobile ERP Business Suite Greifen Sie mit Ihrem ipad oder iphone jederzeit und von überall auf Ihr SAP ERP System zu. Haben Sie Up-To-Date Informationen stets verfügbar. Beschleunigen Sie Abläufe und verkürzen Sie Reaktionszeiten

Mehr

DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen. Your Data. Your Control

DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen. Your Data. Your Control DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen Your Data. Your Control WebGUI CMIS GW (JSON) GDS2 API (JSON) WebDAV GDS core Moderne Software Architektur Object-Store

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform 02 PROFI News

Mehr

Softwareentwicklung mit Enterprise JAVA Beans

Softwareentwicklung mit Enterprise JAVA Beans Softwareentwicklung mit Enterprise JAVA Beans Java Enterprise Edition - Überblick Was ist J2EE Java EE? Zunächst mal: Eine Menge von Spezifikationen und Regeln. April 1997: SUN initiiert die Entwicklung

Mehr

Nevis Sichere Web-Interaktion

Nevis Sichere Web-Interaktion Nevis Sichere Web-Interaktion Enterprise Security: Wachsende Gefahren und Anforderungen Moderne Unternehmen sehen sich immer neuen Gefahren durch Online- und In-House-Angriffe ausgesetzt. Gleichzeitig

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Architekturen. Von der DB basierten zur Multi-Tier Anwendung. DB/CRM (C) J.M.Joller 2002 131

Architekturen. Von der DB basierten zur Multi-Tier Anwendung. DB/CRM (C) J.M.Joller 2002 131 Architekturen Von der DB basierten zur Multi-Tier Anwendung DB/CRM (C) J.M.Joller 2002 131 Lernziele Sie kennen Design und Architektur Patterns, welche beim Datenbankzugriff in verteilten Systemen verwendet

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer Markus Urban.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform

Mehr

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web. 10.12.2012 Nico Enderlein

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web. 10.12.2012 Nico Enderlein Mozilla Persona an identity system for the web Hauptseminar Web Engineering Vortrag 10.12.2012 Nico Enderlein 1 PASSWORT??? BENUTZERNAME??? 2 Idee IDEE Protokoll & Implementierung Voost ( Kalender für

Mehr

ELCA Forum 2014 Sollten Sie Ihr kollaboratives Intranet in die Cloud bringen?

ELCA Forum 2014 Sollten Sie Ihr kollaboratives Intranet in die Cloud bringen? ELCA Forum 2014 Sollten Sie Ihr kollaboratives Intranet in die Cloud bringen? Dominique Hügli, Manager SharePoint & ECM Jean-Jacques Pittet, Senior Business Consultant September 2014 REFERENTEN Dominique

Mehr

Secure Programming vs. Secure Development

Secure Programming vs. Secure Development Secure Programming vs. Secure Development Niklaus Schild Senior Consultant Niklaus.schild@trivadis.com Zürich, 10.Juni 2010 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg

Mehr

Erfahren Sie mehr zu LoadMaster für Azure

Erfahren Sie mehr zu LoadMaster für Azure Immer mehr Unternehmen wechseln von einer lokalen Rechenzentrumsarchitektur zu einer öffentlichen Cloud-Plattform wie Microsoft Azure. Ziel ist es, die Betriebskosten zu senken. Da cloud-basierte Dienste

Mehr

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD

VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD VERTRAUENSWÜRDIGE IDENTITÄTEN FÜR DIE CLOUD Dr. Detlef Hühnlein, Johannes Schmölz ecsec GmbH, Sudetenstraße 16, D96247 Michelau Zusammenfassung 1 Einleitung che Schwachstellen enthalten. 44 FraunhoferGesellschaft

Mehr

Autorisierung zentral steuern

Autorisierung zentral steuern Autorisierung zentral steuern AdNovum hatte jüngst Gelegenheit, ein Autorisierungs-Management-System für ein Gesundheits-Enterprise-Portal zu bauen. Welche Form der Autorisierung soll auf welcher Stufe

Mehr

Java Applet Alternativen

Java Applet Alternativen White Paper Java Applet Alternativen Version 1.0, 21.01.2014 Tobias Kellner tobias.kellner@egiz.gv.at Zusammenfassung: Aufgrund diverser Meldungen über Sicherheitslücken in Java haben in letzter Zeit Browser-Hersteller

Mehr

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching

1 Einleitung. 1.1 Caching von Webanwendungen. 1.1.1 Clientseites Caching 1.1 Caching von Webanwendungen In den vergangenen Jahren hat sich das Webumfeld sehr verändert. Nicht nur eine zunehmend größere Zahl an Benutzern sondern auch die Anforderungen in Bezug auf dynamischere

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Unternehmensportfolio

Unternehmensportfolio Unternehmensportfolio Was wir machen: Cross Plattform Mobile Applications Beispiel ansehen Was wir machen: HTML5 & CSS3 basierte Web Applikationen Beispiel ansehen Was wir machen: Windows 8 & Windows Mobile

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

USP Managed Security Services. Copyright 2012 United Security Providers AG April 2012. Whitepaper SERVICE PORTFOLIO

USP Managed Security Services. Copyright 2012 United Security Providers AG April 2012. Whitepaper SERVICE PORTFOLIO Whitepaper SERVICE PORTFOLIO Inhaltsverzeichnis Übersicht 3 Basisservices 4 Kontakt Martin Trachsel Cyril Marti United Security Providers United Security Providers Stauffacherstrasse 65/15 Stauffacherstrasse

Mehr

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen

Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Sicherheit im Internet Empfehlungen für den Aufbau von sicheren E-Commerce Systemen Prof. Dr. Bernhard Stütz Leiter Real-World-Labs an der Fachhochschule Stralsund Prof. Dr. Bernhard Stütz Security 1 Übersicht

Mehr

3 Firewall-Architekturen

3 Firewall-Architekturen Eine Firewall ist nicht ein einzelnes Gerät oder eine Gruppe von Geräten, sondern ein Konzept. Für die Implementierung eines Firewall-Konzepts haben sich in den vergangenen Jahren verschiedene Architekturen

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung GecMeGUI Eine SSO-enabled WebGUI mit clientseitiger Schlüsselgenerierung Hochschule Furtwangen Frank Dölitzscher 04.04.2011 Agenda Web GUI 1. Einführung 2. Absicherung des Service Zugangs 3. Web GUI Sicherung

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Identity as a Service

Identity as a Service Identity as a Service Michael Seeger Siemens IT Solutions and Services CISM. Identity as a Service Geschichtlicher Abriss Technik oder the gory details Voraussetzungen Business case Referenzen und Links

Mehr

Wir bringen Ihre Notes/Domino Anwendungen sicher ins Web 19.11.2015, Bilster Berg Drive Resort Michael Steinhoff, agentbase AG. www.agentbase.

Wir bringen Ihre Notes/Domino Anwendungen sicher ins Web 19.11.2015, Bilster Berg Drive Resort Michael Steinhoff, agentbase AG. www.agentbase. Wir bringen Ihre Notes/Domino Anwendungen sicher ins Web 19.11.2015, Bilster Berg Drive Resort Michael Steinhoff, agentbase AG www.agentbase.de 1 Agenda Grundlagen Modernisierung Möglichkeiten mit Domino

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr

SaaS-Referenzarchitektur. iico-2013-berlin

SaaS-Referenzarchitektur. iico-2013-berlin SaaS-Referenzarchitektur iico-2013-berlin Referent Ertan Özdil Founder / CEO / Shareholder weclapp die Anforderungen 1.000.000 registrierte User 3.000 gleichzeitig aktive user Höchste Performance Hohe

Mehr

Einführung mobile Entwicklungsplattform Neptune Application Designer Fink IT-Solutions Christian Fink, Andreas Hofmann 01.07.2014

Einführung mobile Entwicklungsplattform Neptune Application Designer Fink IT-Solutions Christian Fink, Andreas Hofmann 01.07.2014 Einführung mobile Entwicklungsplattform Neptune Application Designer Fink IT-Solutions Christian Fink, Andreas Hofmann 01.07.2014 Agenda 1 2 3 4 5 Unternehmensvorstellung Enterprise Mobility Mobile Lösungen

Mehr

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security

Web Application Security mit phion airlock. Walter Egger Senior Sales Web Application Security mit phion airlock Walter Egger Senior Sales phion AG 2009 history and background of airlock Entwicklungsbeginn im Jahr 1996 Im Rahmen einer der ersten e-banking Applikation (Credit Swisse) Übernahme der

Mehr

Mobile ID für sichere Authentisierung im e-government

Mobile ID für sichere Authentisierung im e-government Mobile ID für sichere Authentisierung im e-government Patrick Graber Senior Security Consultant, dipl. El.-Ing. ETH Swisscom (Schweiz) AG Grossunternehmen Agenda 2 Einführung in Mobile ID Mobile ID für

Mehr

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes

OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

Sicherheits- & Management Aspekte im mobilen Umfeld

Sicherheits- & Management Aspekte im mobilen Umfeld Sicherheits- & Management Aspekte im mobilen Umfeld Einfach war gestern 1 2012 IBM Corporation Zielgerichtete Angriffe erschüttern Unternehmen und Behörden 2 Source: IBM X-Force 2011 Trend and Risk Report

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

Was ist Windows Azure? (Stand Juni 2012)

Was ist Windows Azure? (Stand Juni 2012) Was ist Windows Azure? (Stand Juni 2012) Windows Azure Microsofts Cloud Plattform zu Erstellung, Betrieb und Skalierung eigener Cloud-basierter Anwendungen Cloud Services Laufzeitumgebung, Speicher, Datenbank,

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum

Webapplikationen wirklich sicher?! 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Webapplikationen wirklich sicher? 10. Mai 2006 IT-TRENDS Sicherheit Zentrum für IT-Sicherheit, Bochum Die wachsende Bedrohung durch Web-Angriffen Test, durchgeführt von PSINet und Pansec 2 "dummy" Web-Sites

Mehr

DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen.

DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen. DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen. Your data. Your control User A User B Die Datenaustauschplattform mit moderner Software Architektur Datenaustausch

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

DOAG Development & Tools 19.11.2014. Eine Architektur für mobile Anwendungen bei der Bundesagentur für Arbeit

DOAG Development & Tools 19.11.2014. Eine Architektur für mobile Anwendungen bei der Bundesagentur für Arbeit DOAG Development & Tools 19.11.2014 Eine Architektur für mobile Anwendungen bei der Bundesagentur für Arbeit Bundesagentur für Arbeit (BA) zentraler Dienstleister am Arbeitsmarkt Körperschaft des öffentlichen

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Hardy Klömpges Public Sector Deutschland Führungskräfteforum, Bonn 14.10.2010 Copyright Siemens AG 2010.

Mehr

egov aus dem Baukasten

egov aus dem Baukasten 1 egov aus dem Baukasten Am Beispiel von ZEMIS Hans Burger Senior IT Consultant 4. November 2014 Agenda AdNovum egov-baukasten ZEMIS Übersicht Nutzungsbeispiele Baukasten Fazit 3 AdNovum Swiss Quality

Mehr

JEAF Cloud Plattform Der Workspace aus der Cloud

JEAF Cloud Plattform Der Workspace aus der Cloud JEAF Cloud Plattform Der Workspace aus der Cloud Juni 2014 : Aktuelle Situation Heutige Insellösungen bringen dem Nutzer keinen Mehrwert Nutzer sind mobil Dateien und Applikationen sind über Anbieter und

Mehr

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server AJAX Agenda Ingo Ebel (ie007) Was ist AJAX? Wozu benötigt Client/Server Sicherheit Vor- und Nachteile Benjamin Müller (bm032) AJAX Frameworks GWT ATF Ingo Ebel - ie007 2 Web 2.0 Ingo Ebel - ie007 3 Ingo

Mehr

Kombinierte Attacke auf Mobile Geräte

Kombinierte Attacke auf Mobile Geräte Kombinierte Attacke auf Mobile Geräte 1 Was haben wir vorbereitet Man in the Middle Attacken gegen SmartPhone - Wie kommen Angreifer auf das Endgerät - Visualisierung der Attacke Via Exploit wird Malware

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

OAuth Ein offener Standard für die sichere Autentifizierung in APIs

OAuth Ein offener Standard für die sichere Autentifizierung in APIs OAuth Ein offener Standard für die sichere Autentifizierung in APIs Max Horváth, Andre Zayarni, Bastian Hofmann 1 Vorstellung der Speaker 2 Was ist OAuth?? 3 Was ist OAuth? OAuth ermöglicht dem Endnutzer

Mehr

Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte

Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte Andreas Gremm, CA Deutschland GmbH 21. Mai 2014 40% der IT Manager sagen, dass sie ihren Benutzern Zugriff auf Unternehmensinformationen

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Audit von Authentifizierungsverfahren

Audit von Authentifizierungsverfahren Audit von Authentifizierungsverfahren Walter Sprenger, Compass Security AG Compass Security AG Glärnischstrasse 7 Postfach 1628 CH-8640 Rapperswil Tel +41 55-214 41 60 Fax +41 55-214 41 61 team@csnc.ch

Mehr

Integrating Architecture Apps for the Enterprise

Integrating Architecture Apps for the Enterprise Integrating Architecture Apps for the Enterprise Ein einheitliches Modulsystem für verteilte Unternehmensanwendungen Motivation und Grundkonzept Inhalt Problem Ursache Herausforderung Grundgedanke Architektur

Mehr

E-Mail Integration 2. Neue Web-Oberfläche 3. Freigaben verwalten 4. Kontaktverwaltung 4. CargoLinks mit mehreren Empfängern 4.

E-Mail Integration 2. Neue Web-Oberfläche 3. Freigaben verwalten 4. Kontaktverwaltung 4. CargoLinks mit mehreren Empfängern 4. Neu in Version 3.0 Verfügbar ab Dezember 2013 Der CargoServer in der Version 3.0 hat zahlreiche neue Funktionen erhalten macht die Arbeit für den Benutzer und auch den Administrator einfacher und intuitiver.

Mehr

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! Oliver Steinhauer Sascha Köhler.mobile PROFI Mobile Business Agenda MACHEN SIE IHRE ANWENDUNGEN MOBIL?! HERAUSFORDERUNG Prozesse und Anwendungen A B

Mehr

HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1

HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1 HERZLICH WILLKOMMEN SHAREPOINT 2013 DEEP DIVE - APPS 11.09.2012 IOZ AG 1 AGENDA Einführung Apps - Einführung Apps Architektur SharePoint-Hosted Apps Cloud-Hosted Apps Ausblick 11.09.2012 IOZ AG 2 ÜBER

Mehr

Software as a Service

Software as a Service Software as a Service Andreas Von Gunten http://www.ondemandnotes.com http://www.andreasvongunten.com SaaSKon 2008 11. November 2008 Das Problem - Komplexität Software selber zu betreiben, bedeutet zunehmende

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Jörg Thomas Scholz Leiter Professional Services Public Sector Deutschland, Siemens AG Führungskräfteforum,

Mehr

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch

Flug in die Wolke. Instrumentenflug in die Cloud mit Unic. Wallisellen, 25. Januar 2012. Christoph Camenisch Flug in die Wolke Instrumentenflug in die Cloud mit Unic Wallisellen, 25. Januar 2012 Christoph Camenisch Flug in die Wolke Hosting by Unic Unic - Seite 2 Flug in die Wolke Cloud Computing in a nutshell

Mehr

Moderne Benutzeroberflächen für SAP Anwendungen

Moderne Benutzeroberflächen für SAP Anwendungen Seite 1 objective partner für SAP Erfahrungen mit dem UI-Development Kit für HTML5 (SAPUI5) - 19.06.2012 Seite 2 Quick Facts objective partner AG Die objective partner AG 1995 gegründet mit Hauptsitz in

Mehr

SIEBEL OPEN UI. Rhein-Main-Handel GmbH. Bankhaus Goldbaum GmbH & Co. KG. Standort: Düsseldorf. Standort: Frankfurt ilum:e informatik ag

SIEBEL OPEN UI. Rhein-Main-Handel GmbH. Bankhaus Goldbaum GmbH & Co. KG. Standort: Düsseldorf. Standort: Frankfurt ilum:e informatik ag SIEBEL OPEN UI Rhein-Main-Handel GmbH Standort: Düsseldorf Bankhaus Goldbaum GmbH & Co. KG ilum:e informatik ag Standort: Mainz Forschungszentrum Medizin Internationale Telecom AG Chemielabor GmbH Standort:

Mehr

Wie virtuell ist Ihre Sicherheit?

Wie virtuell ist Ihre Sicherheit? Wie virtuell ist Ihre Sicherheit? Virtualisierungskonzepte neue Herausforderungen für Ihre IT-Sicherheit Gebrüder-Himmelheber-Str. 7 76135 Karlsruhe 29.03.2007 Fon: Fax: E-Mail: WWW: 0721 / 20 120 0 0721

Mehr

Neuigkeiten bestehender Komponenten

Neuigkeiten bestehender Komponenten Neuigkeiten bestehender Komponenten EGIZ Inside Out Thomas Lenz Andreas Fitzek Wien, 06.06.2016 Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU Graz

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr

Destructive AJAX. Stefan Proksch Christoph Kirchmayr Destructive AJAX Stefan Proksch Christoph Kirchmayr AJAX-Einführung Asynchronous JavaScript And XML Clientseitiger JavaScript-Code Asynchrone Kommunikation XML DOM Klassisches Client-Server Modell AJAX-Modell

Mehr

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 NetScaler Integration bei Hellmann Worldwide Logistics Benjamin Kania IS Enterprise Services Manager Hannover, 13.10.2011 Agenda Firmenporträt Das Projekt Details zur Umsetzung Fazit Fakten & Zahlen Mitarbeiter

Mehr

Business Objekte. Der Schlüssel für Applikationen mit Zukunft. 2001 TMN Systemberatung GmbH www.tmn-systemberatung.de. Folie 1

Business Objekte. Der Schlüssel für Applikationen mit Zukunft. 2001 TMN Systemberatung GmbH www.tmn-systemberatung.de. Folie 1 Business Objekte Der Schlüssel für Applikationen mit Zukunft 2001 TMN Systemberatung GmbH Folie 1 Agenda Kurze Vorstellung Die Theorie hinter Business Objekten Business Objekte (BOs) in der Praxis Anbindung

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Money for Nothing... and Bits4free

Money for Nothing... and Bits4free Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom

Mehr

Open Source als de-facto Standard bei Swisscom Cloud Services

Open Source als de-facto Standard bei Swisscom Cloud Services Open Source als de-facto Standard bei Swisscom Cloud Services Dr. Marcus Brunner Head of Standardization Strategy and Innovation Swisscom marcus.brunner@swisscom.com Viele Clouds, viele Trends, viele Technologien

Mehr

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH Windows Azure für Java Architekten Holger Sirtl Microsoft Deutschland GmbH Agenda Schichten des Cloud Computings Überblick über die Windows Azure Platform Einsatzmöglichkeiten für Java-Architekten Ausführung

Mehr

Securing SOAP e-services

Securing SOAP e-services Securing SOAP e-services Nilson Reyes Sommersemester 2004 aus: E. Damiani, S. De Capitani di Vermercati, S. Paraboschi, P. Samarati, Securing SOAP e-sservices, IJIS, Ausgabe 1 (2002), S.110-115. Gliederung

Mehr

Browserbasiertes, kollaboratives Whiteboard

Browserbasiertes, kollaboratives Whiteboard WS 2011/12 Bachelorarbeit Browserbasiertes, kollaboratives Whiteboard Sebastian Dorn 1 von 21 Inhalt 1. Motivation 2. Analyse 3. Design 4. Evaluation 5. Fazit Inhalt 2 von 21 Motivation Zusammenarbeit

Mehr

10. Seminar GIS & INTERNET, 11. Sept. 2007

10. Seminar GIS & INTERNET, 11. Sept. 2007 Service-orientierte Architektur (SOA) und Geodateninfrastruktur (GDI): dienstbare GIS-Komponenten Dr.-Ing. Jens Hartmann, Account Manager 10. Seminar GIS & INTERNET, 11. Sept. 2007 Agenda Motivation Service-orientierte

Mehr

secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.

secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet. secunet Security Networks AG Täter im Anzug Wenn die Firewall gerade nicht hinschaut SECURITY 2006 11. Oktober 2006 www.secunet.com Übersicht Aktuelle Angriffe auf Web-Anwendungen Grenzen heutiger Schutzstrategien

Mehr

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009

Was eine WAF (nicht) kann. Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Was eine WAF (nicht) kann Mirko Dziadzka OWASP Stammtisch München 24.11.2009 Inhalt Meine (subjektive) Meinung was eine WAF können sollte und was nicht Offen für andere Meinungen und Diskussion Disclaimer:

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr