Tracking Menaces for Your Privacy

A lot of people are talking about a particular research paper featured by Wired of late. That paper describes, how users can be, and are, tracked against their express wish. Even deleting cookies does not solve the tracking problem. A lot of folks talk about how unethical, probably unlawful and unfair it is.

So far, although, I have not seen a site that gives more than hints how to prevent being tracked. Firefox users have a couple of tools at hand that can easily circumvent most, if not all, attack vectors. Using these measures comes at the cost of comfort, though.

Weiterlesen

Strategische Vorgehensmodelle für Web Security Vortrag@Mayflower-München

Achtung! Neuer Termin: 04. März 2010

Am kommenden Donnerstag, den 04.03.2010 findet wieder ein öffentlicher Vortrag im Mayflower Büro in München statt (Mannhardtstraße 6, S-Bahn Isartor).
Beginn ist um 18:00 Uhr, Thema des Vortrags ist „Strategische Vorgehensmodelle für Web Security„.

Web Security rückt zunehmend in den Mittelpunkt aktueller Businessanwendungen. Dabei gibt es einige strategische Vorgehensmodelle, wie Web Security für Lösungen in Unternehmen realisiert werden kann. Johann-Peter Hartmann gibt einen Überblick.

Die „Donnerstags-Vorträge“ werden sowohl in München als auch in Würzburg gehalten. Bei Interesse einfach das Blog beobachten, um auf dem Laufenden zu bleiben!
Wir freuen uns auf viele Teilnehmer!

Foto: ntr23 (flickr)

c’t empfiehlt Chorizo für ajax Sicherheitsprüfungen

Die aktuelle Ausgabe der c’t bringt unter dem Titel „Risiko 2.0“ einen Artikel zur Sicherheit von Ajax Anwendungen. Der Autor stellt fest daß den vielfältigen Möglichkeiten, Ajax Funktionen auszuhebeln, eine sehr geringe Zahl von Tools gegenübersteht, die Schwachstellen zu testen und zu reporten. Neben Sprajax wird unser Security Scanner Chorizo! empfohlen.

Wer ihn noch nicht kennt: Chorizo ist ein Online-Scanner der nach XSS, CSRF, SQL Injections, Remote Code Executions und vielen anderen Vulnerabilites fahndet und reported. Keine Softwareinstallation nötig – alles geschieht im Browser.

Wer ihn testen mag: einen vollwertigen Account für eine Domain (Chorizo Free) gibt es hier.

Johann-Peter Hartmann spricht auf heise Security Konferenz

Johann-Peter Hartmann, technischer Leiter der Mayflower GmbH, spricht im Rahmen der Sicherheitskonferenzen des heise-Verlages.
Im Rahmen immer komplexerer Webanwendungen werden auch die Möglichkeiten für Angriffe immer zahlreicher. Mit neuen Technologien, wie beispielsweise AJAX, und der neuen Mitmachkultur im Web2.0 entstehen Sicherheitsprobleme für Anbieter und Nutzer, die sich aktuell erst erahnen lassen.

Johann-Peter Hartmann wird in seinem Vortrag die Themen XSS und Sicherheit bei Verwendung von AJAX-Applikationen intensiv erläutern und Lösungswege aufzeigen. Des Weiteren wird das Thema User-Generated-Content aus Security-Sicht erörtert. Freuen Sie sich auf interessante Vorträge in:

24. April 2007, Düsseldorf, Hilton Hotel
03. Mai 2007, Frankfurt, Radisson SAS Hotel
09. Mai 2007, Hamburg, Dorint Sofitel
15. Mai 2007, München, Dorint Novotel

Melden Sie sich hier an

We did talk about Web-2.0 Security

On Tuesday our CIO, Johann-Peter Hartmann, gave a Web-seminar about security issues in the Web 2.0 era. We had about 140 participants and some very good questions in the following Q&A Session. We would like to thank you for the response and also we´d like to thank Jürgen from MySQL, our webinar-host.

We uploaded our slides as promised. To download them, click here.

If you missed the Web-Seminar you get a chance to see the recording of it here.
But be aware: It´s in german!!!

For english readers/speakers: Johann held an english security talk some time ago. Find it here

We already heard that some participants found some quite severe security issues right after listening to Johann´s talk. Therefore we strongly recommend to all of you to have a look at it.

Weiterlesen

Web-2.0 Security

Hi Folks,

This is an announcement for a webinar in German. Therefore only written in German. If you are interested in the security topic be sure to see the english webinar, which is stored here.


Web-2.0-Anwendungen absichern

Die verbesserte Einsatztauglichkeit der Web-2.0-Anwendungen wird auf
Kosten von neuen Sicherheitsproblemen erworben. Sowohl die mächtige
Logik im JavaScript als auch der permanente Login auf vielen Sites
bergen Risiken, die anders und gezielt beantwortet werden müssen.
Dieses Webseminar gibt einen Überblick, bewertet die Probleme und
stellt Lösungswege vor.

Wenn Sie Web 2.0- und AJAX-Anwendungen entwickeln, ist dieser Vortrag genau das Richtige für Sie! Hier erfahren Sie:

  • Welche neuen Sicherheitsrisiken es für Webanwendungen gibt
  • Welche Bedeutung XSS hat
  • Ursprünge und Typen von JavaScript-Malware
  • Wege zur Absicherung Ihrer LAMP-Anwendungen für Web 2.0

Weiterlesen

Web2.0 (In)Security

On the webmontag.de gathering at Munich, Johann gave a session about „Web2.0 (In)Security“. With the emerge of more and more Web2.0 applications Security is a must for every developer. Johann explained for example why XSS hurts more in Web2.0 than in Web1.0.

You can download the slides here (attention, German language).

Web2.0 also seems to become a more and more popular topic here in Germany, see sevenload.de and the „Next 10 Years“ conference about Web2.0, hosted by SinnerSchrader. There’s some live blogging about it, see sichelputzer, beissholz.de, Oliver Gassner (see soso blog), fischmarkt.de and others.