Self-Signed Zertifikate unter iOS (und sonstwo)

Wie bekomme ich ein Self-Signed-Zertifikat auf ein iPhone, einen Androiden und am Besten auch noch auf ein Windows und ein MacOS? Und wie muss das verflixte Ding aussehen, dass es alle anstandslos fressen?

Eine Tragikomödie in vier Akten.


Hardening Compiler Flags for NixOS

In the past year some Mayflower colleagues have started using and contributing to NixOS, a purely functional GNU/Linux distribution that combines package and configuration management. We decided that we would give it a try in production but stumbled upon some issues that had to be resolved first. We have added new packages, services and fixed up some internal. Due to this work two colleagues have even gained commit access in the process. Weiterlesen

Sichere Passwörter und gute Authentifizierungsmechanismen

Wir alle nutzen sie: Passwörter. Für unseren E-Mailaccount, Computerspiele, Shoppingseiten, Onlinebanking und Co. Viele Studien kommen regelmäßig auf ähnliche Ergebnisse: Zwischen 50 bis 80 Prozent der Anwender verwenden für verschiede Webseiten das gleiche Passwort. Wieso das ein Problem ist, wie wichtig Passwörter sind und wie man mit wenig Aufwand bereits viel Sicherheit bekommt, beschreibe ich im folgenden Text. Weiterlesen

Secure Password Authentication

If you’re running a web service where your users have to authenticate, one of your options will probably be the classic password authentication. The user provides a term that uniquely identifies it, probably a user name or an email address, and a secret only known by the two involved parties, your service and the user. By presenting the correct secret both parties agreed upon when the user account was created, the user can prove his identity to the web service. Weiterlesen

Impressionen von der OOP 2013

In der letzten Woche konnte ich zwei Tage an der OOP 2013 teilnehmen. Die einwöchige IT-Konferenz bietet jährlich eine große Auswahl von Vorträgen in den unterschiedlichsten Bereichen.
Die Vorträge, an denen ich teilgenommen habe, waren von sehr guter Qualität – sowohl inhaltlich als auch didaktisch. In diesem Artikel möchte ich ein paar Worte zu drei der Vorträge verlieren, die ich besonders positiv wahrgenommen habe.


ACLs and Symfony2

Like most larger PHP frameworks, Symfony2 contains a component that handles all kinds of security topics. Its main two capabilities are authentication and authorization. While making it easy to implement these concepts, the component separates them and executes one after the other. In the first step, the framework determines who the current user is or whether he is who he claims to be respectively (Authentication). Secondly, it evaluates whether he is allowed to perform a certain operation (Authorization).

This article focuses on authorization or – more accurately – Symfony2’s Access Control Lists (ACLs) and how they support the implementation of complex access right models.

To Protect and Surf

Slashdot reports, that CSS History Sniffing is back – this time utilizing the latency that your browser shows when you have visited a site already. The time a browser takes to respond differs when the resource that is linked in a page is already in the browser cache. Of course that only works when you actually fetch the resources. As i described earlier, there is a Firefox extension that protects you: Request Policy. This extension lets you choose which sites may refer to which other sites. It’s a bit tedious to get started, but it protects you not only from the ever-watching eye of social networks that load „like“ buttons everywhere, but also from this renewed threat.

Tracking Menaces for Your Privacy

A lot of people are talking about a particular research paper featured by Wired of late. That paper describes, how users can be, and are, tracked against their express wish. Even deleting cookies does not solve the tracking problem. A lot of folks talk about how unethical, probably unlawful and unfair it is.

So far, although, I have not seen a site that gives more than hints how to prevent being tracked. Firefox users have a couple of tools at hand that can easily circumvent most, if not all, attack vectors. Using these measures comes at the cost of comfort, though.


Strategische Vorgehensmodelle für Web Security Vortrag@Mayflower-München

Achtung! Neuer Termin: 04. März 2010

Am kommenden Donnerstag, den 04.03.2010 findet wieder ein öffentlicher Vortrag im Mayflower Büro in München statt (Mannhardtstraße 6, S-Bahn Isartor).
Beginn ist um 18:00 Uhr, Thema des Vortrags ist „Strategische Vorgehensmodelle für Web Security„.

Web Security rückt zunehmend in den Mittelpunkt aktueller Businessanwendungen. Dabei gibt es einige strategische Vorgehensmodelle, wie Web Security für Lösungen in Unternehmen realisiert werden kann. Johann-Peter Hartmann gibt einen Überblick.

Die „Donnerstags-Vorträge“ werden sowohl in München als auch in Würzburg gehalten. Bei Interesse einfach das Blog beobachten, um auf dem Laufenden zu bleiben!
Wir freuen uns auf viele Teilnehmer!

Foto: ntr23 (flickr)

c’t empfiehlt Chorizo für ajax Sicherheitsprüfungen

Die aktuelle Ausgabe der c’t bringt unter dem Titel „Risiko 2.0“ einen Artikel zur Sicherheit von Ajax Anwendungen. Der Autor stellt fest daß den vielfältigen Möglichkeiten, Ajax Funktionen auszuhebeln, eine sehr geringe Zahl von Tools gegenübersteht, die Schwachstellen zu testen und zu reporten. Neben Sprajax wird unser Security Scanner Chorizo! empfohlen.

Wer ihn noch nicht kennt: Chorizo ist ein Online-Scanner der nach XSS, CSRF, SQL Injections, Remote Code Executions und vielen anderen Vulnerabilites fahndet und reported. Keine Softwareinstallation nötig – alles geschieht im Browser.

Wer ihn testen mag: einen vollwertigen Account für eine Domain (Chorizo Free) gibt es hier.