Hardening Compiler Flags for NixOS

In the past year some Mayflower colleagues have started using and contributing to NixOS, a purely functional GNU/Linux distribution that combines package and configuration management. We decided that we would give it a try in production but stumbled upon some issues that had to be resolved first. We have added new packages, services and fixed up some internal. Due to this work two colleagues have even gained commit access in the process. Weiterlesen

Sichere Passwörter und gute Authentifizierungsmechanismen

Wir alle nutzen sie: Passwörter. Für unseren E-Mailaccount, Computerspiele, Shoppingseiten, Onlinebanking und Co. Viele Studien kommen regelmäßig auf ähnliche Ergebnisse: Zwischen 50 bis 80 Prozent der Anwender verwenden für verschiede Webseiten das gleiche Passwort. Wieso das ein Problem ist, wie wichtig Passwörter sind und wie man mit wenig Aufwand bereits viel Sicherheit bekommt, beschreibe ich im folgenden Text. Weiterlesen

Secure Password Authentication

If you’re running a web service where your users have to authenticate, one of your options will probably be the classic password authentication. The user provides a term that uniquely identifies it, probably a user name or an email address, and a secret only known by the two involved parties, your service and the user. By presenting the correct secret both parties agreed upon when the user account was created, the user can prove his identity to the web service. Weiterlesen

Impressionen von der OOP 2013

In der letzten Woche konnte ich zwei Tage an der OOP 2013 teilnehmen. Die einwöchige IT-Konferenz bietet jährlich eine große Auswahl von Vorträgen in den unterschiedlichsten Bereichen.
Die Vorträge, an denen ich teilgenommen habe, waren von sehr guter Qualität – sowohl inhaltlich als auch didaktisch. In diesem Artikel möchte ich ein paar Worte zu drei der Vorträge verlieren, die ich besonders positiv wahrgenommen habe.

Weiterlesen

ACLs and Symfony2

Like most larger PHP frameworks, Symfony2 contains a component that handles all kinds of security topics. Its main two capabilities are authentication and authorization. While making it easy to implement these concepts, the component separates them and executes one after the other. In the first step, the framework determines who the current user is or whether he is who he claims to be respectively (Authentication). Secondly, it evaluates whether he is allowed to perform a certain operation (Authorization).

This article focuses on authorization or – more accurately – Symfony2’s Access Control Lists (ACLs) and how they support the implementation of complex access right models.
Weiterlesen

To Protect and Surf

Slashdot reports, that CSS History Sniffing is back – this time utilizing the latency that your browser shows when you have visited a site already. The time a browser takes to respond differs when the resource that is linked in a page is already in the browser cache. Of course that only works when you actually fetch the resources. As i described earlier, there is a Firefox extension that protects you: Request Policy. This extension lets you choose which sites may refer to which other sites. It’s a bit tedious to get started, but it protects you not only from the ever-watching eye of social networks that load „like“ buttons everywhere, but also from this renewed threat.

Tracking Menaces for Your Privacy

A lot of people are talking about a particular research paper featured by Wired of late. That paper describes, how users can be, and are, tracked against their express wish. Even deleting cookies does not solve the tracking problem. A lot of folks talk about how unethical, probably unlawful and unfair it is.

So far, although, I have not seen a site that gives more than hints how to prevent being tracked. Firefox users have a couple of tools at hand that can easily circumvent most, if not all, attack vectors. Using these measures comes at the cost of comfort, though.

Weiterlesen

Strategische Vorgehensmodelle für Web Security Vortrag@Mayflower-München

Achtung! Neuer Termin: 04. März 2010

Am kommenden Donnerstag, den 04.03.2010 findet wieder ein öffentlicher Vortrag im Mayflower Büro in München statt (Mannhardtstraße 6, S-Bahn Isartor).
Beginn ist um 18:00 Uhr, Thema des Vortrags ist „Strategische Vorgehensmodelle für Web Security„.

Web Security rückt zunehmend in den Mittelpunkt aktueller Businessanwendungen. Dabei gibt es einige strategische Vorgehensmodelle, wie Web Security für Lösungen in Unternehmen realisiert werden kann. Johann-Peter Hartmann gibt einen Überblick.

Die „Donnerstags-Vorträge“ werden sowohl in München als auch in Würzburg gehalten. Bei Interesse einfach das Blog beobachten, um auf dem Laufenden zu bleiben!
Wir freuen uns auf viele Teilnehmer!

Foto: ntr23 (flickr)

c’t empfiehlt Chorizo für ajax Sicherheitsprüfungen

Die aktuelle Ausgabe der c’t bringt unter dem Titel „Risiko 2.0“ einen Artikel zur Sicherheit von Ajax Anwendungen. Der Autor stellt fest daß den vielfältigen Möglichkeiten, Ajax Funktionen auszuhebeln, eine sehr geringe Zahl von Tools gegenübersteht, die Schwachstellen zu testen und zu reporten. Neben Sprajax wird unser Security Scanner Chorizo! empfohlen.

Wer ihn noch nicht kennt: Chorizo ist ein Online-Scanner der nach XSS, CSRF, SQL Injections, Remote Code Executions und vielen anderen Vulnerabilites fahndet und reported. Keine Softwareinstallation nötig – alles geschieht im Browser.

Wer ihn testen mag: einen vollwertigen Account für eine Domain (Chorizo Free) gibt es hier.

SektionEins: your PHP Security Experts

 

While operating some time in the background for a while doing security audits like the one for phpBB3 (which resulted in RC6 and RC7 over the weekend), we’re now proud to officially launch our joint venture SektionEins GmbH together with the website in German and English (so yes, we’re doing also international Security Audits in English).

 

SektionEins provides an in-depth knowledge about PHP security (PHP-based applications as well as PHP vulnerabilities itself) and Flash/PDF as well as other languages like Java, Ruby, Perl or Python. To avoid too much advertising here, just have a look at the website and the broad array of services. There’s also a form where you can contact the Security Captains if you’re interested in Security Audits, Consulting or Trainings.

 

SektionEins GmbH is a joint-venture between Mayflower GmbH and Stefan Esser and has its headquarters at Cologne, Germany.