HTML 5 Security (Artikel in iX 1/2013)
iX-Extra: Sicherheit bei Webapplikationen beginnt mit der Entwicklung
Aktuelle Verbreitung von HTTP Strict Transport Security (HSTS)
Whitepaper: HTTP Strict Transport Security (HSTS)
Best Practices für sichere Webanwendungen
Das SecureNet/BSI Sechs-Ebenen-Modell der Web Application Security
Nachhaltige Sicherheit von der Softwareentwicklung bis zur Unternehmenskultur (Artikel in JavaSPEKTRUM 03/2019)
Im Magazins „JavaSPEKTRUM“ (03/2019: Doing by Learning – Praxis-Einsatz maschinellen Lernens (31.05.2019)) spricht unser Kollege Dr. Bastian Braun über den ganzheitlichen Umgang mit Sicherheit zur Minimierung der Ursachen, zur Identifizierung aufgetretener Fehler und zur Reaktion auf Missbrauchsversuche aus dem Alltag eines Security Consultants.
Mit Sicherheit agil: Entwicklungsbegleitende Security löst das Kostendilemma
Das Qualitätsmerkmal Sicherheit wird zunehmend zu einer zentralen Eigenschaft von Softwareprodukten. Wird es auf herkömmliche Weise – d.h. durch Schwerpunktsetzung auf Sicherheitstests am Ende von Meilensteinen – angegangen, ergeben sich jedoch fast unausweichlich gravierende Auswirkungen auf Zeit- und Budgetrahmen. Mit dem Resultat: Softwaresicherheit ist mit dem Makel behaftet, ein Hemmschuh zu sein. Dabei ist es durch die konsequente Einbindung der Security in den Entwicklungsprozess möglich, den Cost of Security kalkulierbar zu machen – und Softwareanwendungen in Produktion zu bringen, die durch und durch sicher sind.
Network and Server Security for JIRA and Confluence – Security around Atlassian Systems, Part 1
JIRA and Confluence are important tools for managing projects and exchanging knowledge in many companies. Since they contain sensitive information, operating them as securely as possible is a must. In this two-part series about the security in Atlassian products we explain general principles of safeguarding JIRA and Confluence and give advice based on best practices. The first part focuses on network and server security and security aspects concerning the installation and basic configuration.
System-specific Security for JIRA and Confluence – Security around Atlassian Systems, Part 2
In this article we talk about specifics about JIRA and Confluence configuration and system management: aspects that have to be configured by administrators and guidelines to be followed by project-administrators, space-administrators and users. Those guidelines need regular monitoring and communication with your project- and space-administrators or specific users.
“System-specific Security for JIRA and Confluence” auf mgm live vom 03.03.2017
Du kommst hier nicht rein
Benutzername und Passwort sind nicht genug. Immer mehr Internet-Dienste setzen auf eine sicherere Multi-Faktor-Authentifizierung. Hier kann der Bereich E-Government mit seinen hohen Sicherheitsstandards als Vorbild dienen. Am Beispiel des Authentifizierungsdienstes authega stellen wir ein bewährtes zertifikatsbasiertes Verfahren vor. Darüber hinaus diskutieren wir aktuelle Trends rund um Biometrie und Einmalkennwörter.
“Du kommst hier nicht rein″ auf mgm live vom 26.06.2017
HTML 5 Security (Artikel in iX 1/2013)
Beim kommenden Webstandard HTML5 haben sich die Entwickler in Sachen Sicherheit viel Mühe gegeben. Doch mit den neuen Features wächst auch die Komplexität und damit die Angriffsfläche. Eine Übersicht über verbleibende und neue Risiken sowie die Anwendungssicherheit erhöhende Konzepte von HTML5.
“Felsenfest – Sicherheitsaspekte bei HTML5″ in iX 1/2013
iX-Extra: Sicherheit bei Webapplikationen beginnt mit der Entwicklung
Der iX-Artikel gibt einen Überblick über den Stand der Web Application Security und Ansatzpunkte zur Herstellung sicherer Webanwendungen.
“Sicherheit bei Webapplikationen beginnt mit der Entwicklung” in iX 10/2012
Aktuelle Verbreitung von HTTP Strict Transport Security (HSTS)
Das Dokument gibt die Ergebnisse einer Untersuchung zur Verbreitung des HSTS Server Response-Headers unter den weltweit 1 Mio. meist-besuchten Websites, den darin enthaltenen rund 40.000 deutschen Websites sowie auf 424 deutschen Onlinebanking-Websites wieder. Die Untersuchung zeigt, dass diese wichtige Sicherheitsmaßnahme bisher noch kaum eingesetzt wird.
“Aktuelle Verbreitung von HTTP Strict Transport Security (HSTS)” 11/2012
Whitepaper: HTTP Strict Transport Security (HSTS)
In diesem Whitepaper erklären wir SSL-Strippung und geben konkrete Gegenmaßnahmen an. Dabei steht der HSTS-Header im Vordergrund. Da diese Schutzmaßnahme aber eine Lücke offen lässt und der Header auch noch nicht von allen Browsern unterstützt wird, werden weiterführende Empfehlungen gegeben.
Maßnahmenkatalog und Best Practices zur Sicherheit von Webanwendungen
IFür das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wir einen Maßnahmenkatalog zur Sicherheit von Webanwendungen erstellt. Das 105-seitige Dokument richtet sich an Projektleiter und Softwareentwickler, die Webanwendungen konzipieren und implementieren. Ein vorangestellter Leitfaden gibt Hinweise für ein systematisches Vorgehen zur Erstellung sicherer Webanwendungen. Dabei werden sowohl bereits bestehende, als auch neu zu entwickelnde Webanwendungen betrachtet. Der Maßnahmenkatalog stellt vielfach erprobte Schutzmaßnahmen und Best Practices zur Vorbeugung gegen typische Schwachstellen in Webanwendungen bereit.
„Sicherheit von Webanwendungen: Maßnahmenkatalog und Best Practices“ – August 2006
Das SecureNet/BSI Sechs-Ebenen-Modell der Web Application Security
Vorgestellt wird eine Kategorisierung der Web Application Security in sechs Ebenen: (1) System, (2) Technologie, (3) Implementierung, (4) Logik, (5) Semantik, sowie (6) Vorschriften und Bestimmungen. Dieses Modell erleichtert das Verständnis der unterschiedlichen Aspekte der Sicherheit von Webanwendungen und hat sich als nützlich für ein systematisches Vorgehen bei der Untersuchung der Sicherheit von Webanwendungen erwiesen.
Sicher auf allen Ebenen, Bundesamt für Sicherheit in der Informationstechnik und SecureNet GmbH, – Artikel in 2005/03 – papers/BSI-Sechs-Ebenen-Modell.pdf
Artikel im Tagungsband des Deutschen IT-Sicherheitskongress 2005, SecureNet GmbH – Mai 2005
