Merken

Sichere Webanwendungen mit Clojure

Zitierlink des Filmsegments
Embed Code

Automatisierte Medienanalyse

Beta
Erkannte Entitäten
Sprachtranskript
wenn wir alle zusammen 3 danke dass er so zu und vom Vortrag kommt in den tollen das ist der Simon und heute wollen wir über den Sicherheit im Kloster er also wir würden einfach ein
bisschen ein Crashkurs machen man fragen wer in diesem Raum von Chlor was mit Methode gemacht hat und so ein bisschen oder ist die direkt ich weiß nicht ob das was er macht für das Verständnis ein bisschen weil das nämlich eines Variante ist die auf den servieren läuft aber wir werden nicht zu sehr in Ehren an der Sprache so dicht Sprache also Fälle in denen zuwider aber immer wir aber auch sehr viel über deren Sicherheit zu sagen haben deswegen kann mir das nicht so ausführlich erklären wir wollen aber so einfach ein Ober bedecken Sprachwitz gehen dass eine funktionale Programmiersprache an und es hat einen sehr als 10. vorbei an den Orten dass er der das Wort möcht ich da er dabei betonen dieses Wort 10. n Sinne von nicht verschlechtert also das die Idee in endloser ist dass man versucht Daten die man hat von Verhalten sind rein also die von der das Verhalten von dem Programm wird über Funktionen beschrieben und allen also dann kann man mit einer Funktion in die Daten verändern und und neue Daten bekommen und dabei kann man die Applikation so gestalten dass es
weniger verschlechtert ist er die Delta Air geht das deutsche sind lose sind im Blut das ist nicht veränderlich und es sieht so so ähnlich aus ist das ein Plus schon mehr
wo man als Keith so ok haben kann ist diese nähen Features quälend hat das in alle Kiewer und kannst haben Vektoren n oder also man kann es beliebig verschafft innerhalb von der Datenstrukturen innerhalb von dieser März an sind taktisch gesehen wird alles was zusammen gehört in Klammern kopiert und ist das Präfix Notation das heißt dass die Funktion die aufgerufen wird an 1. Stelle in innerhalb von in Klammern an so so vorkommt also in diesem Fall ist müssen wir die Funktion +plus auf mit 3 Argumente 1 2 3 und daraus bekommen wäre die Summe über alle Zahlen erhält man kann auch Khieu als das Funktion benutzen dann schlägt man er also wenn jemand über dessen Funktion genutzt schlägt der KI wollen sich selber in den Märkten und liefert das Ergebnis es eine vorhanden ist erhält man kann dann auch diese Funktionen in einer Reihe oder Funktionen stecken denn man kann diese Funktion überall durchreichen und L wenn man das in der Halle oder vom schon zum Beispiel also anwenden bekommt man in dieser Funktion auf alle Elemente in der Sand so glänzend angewendet ob das ist die Mikrofone wächst statt sie wenn mal witzig und jedes Land wird ziemlich schnell bei den Oberst Top Ten haben .punkt so was wird hier eigentlich nur Sammlung von Band zu Band das ist und Empfehlungen die man den Anwendungen baut der das bezieht sich nicht auf eine bestimmte Programmiersprache und man kann immer so ein bisschen die Frage stellen ob hier die sowas Top-Ten-Listen 2013 da steht immer noch ein Tschetschene haben den es Katze die Comic mit dem Orbit Hebel 77 Sparpläne sehen von 2010 die Mehr dann wahrscheinlich auch fast jeder da taucht immer noch sowas auf wie Cross-Site-Scripting mir gesagt in Tschetschen Attacken Mstislav ist mit dabei und da ist durchaus die Frage berechtigt ist hat sich noch in die relevant also macht es sich inzwischen ganz normal dass wenn wir das nicht ein ist die oberste Topf den 2016 sind nicht aus aber im Moment ist eine aktualisierte Version des kommen irgendwann im Laufe des Jahres also mal gespannt ob sich da eben die diese Top 10 Reihenfolge verändert hat sich jetzt so etwa also es anschaut und das ist eben die Symphonien relativ populär dass wir den Berg da findet man auch sehr fix seelischen Besitz von 2015 vom November haben da muss man nicht bei PHP bleiben bis die sich durch Reiten mit Drupal auch durch das ist auch haben Cross-Site-Scripting mit dabei beim uns ob das ist vom Juli 2016 da in Ruby Choral gab es eine Änderung woraufhin für die der den nutzen um auch direkt bei etwa so haben ist auch wieder Cross-Site-Scripting mit dabei Kleinigkeiten es sich aussuchen und Organen zu rüber guckt mit wickelt eigentlich völlig egal was ist verändert hat sich der anguckt findet man hier auf dem Kurs von April diesen Jahres auch wieder Cross-Site-Scripting das heißt die Probleme sind hat sich ja auch immer noch relevant und das sind nicht die Anwendung die Leute gebaut haben sondern
dass sind die Probleme die vor getrennt das heißt ein bisschen die Vorstellung dass sich jede der Anwendung bekommt
man dadurch in dem wir liegen gut denn Parameter Sergio einschaltet oder irgendwie so was immer dabei was Umfeld sich bewegt so wie sie sich über die benutzt und damit wir die Anwendung automatisch sicher das funktioniert nicht zum streng wirken kann ich irgendwie alle Probleme lösen und ich persönlich fand das Zeichen ganz nett das Beispiel das Sie die das nur so ein CSV tschechischen macht aber man kann das vielleicht in die das ist das diskutierten Fachbereich und der sagt ihnen wann ich hätt gern diese Tabelle aus der Webanwendung meine wechselte und dann baut Mehr Infos und CSV-Export Eigenheiten und dann fehlt einfach auf aus das Problem an der Stelle des überprüft vielleicht irgendwo den Input von User auf ihn mit html Text und es fällt die überprüft aber vielleicht nicht aber sowas wie ist Gleichheit der Link mit drin steht in einem Freitextfeld und das würde zum Beispiel in den importierten CSV fallen einfach Link erzeugen auf den Umweltschutz das kann man dann beliebig irgendwie weiterspielen da kann man ihn wie den den Windows-Quellcode weder starten indem man einfach die Text Folge drin hat natürlich Frachter Excel nochmal nach dem Importieren stand in die des SV Fall aus einer vertrauenswürdigen Quelle ja ich hab's aus meinem Intranet aus Anwendung gerade runtergeladen und wenn wir das noch ein bisschen weiter spielen will das wird jetzt aus den letzten Pilot runterladen überaus schnell aufmacht das Ganze in ,komma antritt stecken und über die Power Schwellenstaaten aber das funktioniert natürlich nicht einfach so wie es da durchaus man sein man muss irgendwie dividiert Extension aktiviert haben am das sind alles verschiedene Bedingungen wieder treffen müssen dass das wirklich funktioniert aber Schadenfreude gebeten das auszuprobieren weil ich das 6. jetzt nicht da hatte und der meinte dann auch ja da brauchte der User Adminrechte wenn er hatte Adminrechte das kommt also vor dem Angreifer ist es eigentlich egal ob von 200 User das nur bei 10 funktioniert und bei 10 funktioniert Magazin stellt dann und das soll ein zum Beispiel sein dass selbst wenn man fremd wird irgendwie alle beliebig 0 zu 1 gegen hat das sind Dinge die kann ich nicht automatisiert lösen das sich irgendwie mich hinsetzen und mir das angucken das heißt umgekehrt
sichere Webanwendungen zu bekommen einfach einen Einstieg formal wir auf der noch eingehen liest nur muss gegen die zu einem Prozess kommen lassen und ihn darüber spricht auch dass es nicht und Finger pointing ist mit der hatten wir in den Park eingebaut sondern das ist wirklich wahr wenn wir vielleicht die regelmäßige Reviews hat das sind die Menschen und auch um jeder macht Fehler und wer kann sich noch so viel in die über zum Beispiel ist Quellen tschechischen aneignen man aber vielleicht doch mal schlecht fest und in die Produktion zu und dann rutscht ein brauchbares durch eine relativ komplexe Maske und was uns bringt dranhängt und um da ist niemand da vor ihnen die gefeit und deswegen ist es einfach immer richtig und gut macht und 2 Leute einfach regelmäßig und das versucht als festen Prozess abgeben zusätzlich zu diesen magischen verändert was dann vielleicht ein bisschen weiter das heißt wir das ein bisschen zusammenfassen will muss sich um seine Anwendung kümmern das heißt regelmäßig auch bleiben diese 15 Versionen aber das macht Sinn da normalerweise und die meisten Projekte im Wert 2 sowie Mailingliste die man abonnieren kann da bekommt man relativ schnell im Vorübergehen wird es Sicherheitslücken und kann halt dann entscheiden muss ich das sofort Action oder es einfach auf eine Woche Zeit die wird ist so das was wir sowieso ständig hört das gehört zum Wesen des damit innovative gewinnen ich finde es ganz oft dass irgendwo im Unternehmen dann OAuth benutzt werden soll weil das ist dann so die Vorgabe
es ist ja so dass neue Single sein und und in die von den 10 Leuten Team verstehen 9 eigentlich nicht was da passiert und eine so müssen dass sich Jugendliche beauftragt und der kümmert sich dann um das irgendwie dieses überhaupt funktioniert und vielleicht nach 10 in so einem Umfeld und dann Stück zurückzugehen und einfach nach einfacheren Methode zu wählen darf damit nicht immer einfach jeden Algorithmus selbst bauen soll weil es halt einfacher ist aber dass die Leute im Team einfach wissen was sie da tun weil nur wenig eigentlich weiß was da passiert kann ich auch irgendwie die dafür gerade stehen dass das halt nichts sicher ist und so der letzte Punkt der immer so ein bisschen vergessen wird das hängt auch damit zusammen dass Projekt sei das Projekt strukturiert und selten dann gehen wir weiter
gepflegt werden das einfach dass man sich um die Applikation kümmert in dem wir die auch Monitore normalerweise hab ich Betrieb der macht vielleicht irgendwie Monitoring dass man trotzdem sehen jedoch falls mal reinzugucken das muss man nicht ständig machen aber regelmäßig vielleicht einmal mit so einem 100 ist sich mal eine Stunde hinsetzen gucken wie fällt die Anwendung sich und zwar unter realen Bedingungen was passiert da eigentlich Unsinn Diesel-Lok Einträge denn jetzt normal die ich hier sehe oder sind die Probleme und hab ich hier vielleicht ihnen seltsames Verhalten und seltsam dann und da einfach ein bisschen informiert da sein was passiert eigentlich wenn die Anwendung im Betrieb ist das so einfach super grundlegende Tipps wie man vielleicht zu einer sicheren Anwendung kommt ohne dass man da jetzt nicht in irgendwelche leider ist Filmwerks einsteigen muss es das also jetzt
kommen wir zum Kloster Teil nämlich wie können wir mit unserer Webapplikationen zusammenbauen also was ist denkt der Klose bei gibt es dringend das ist eine hat die PDS aber Abstraktion die von der Kloster so großer Militär entwickelt worden und das sind alles ist Standard gesehen dass ist so und das schöne
daran ist dass einen die Leute die Webapplikation Klosterwald Insekten halten sich an diesem Standard und das was tatsächlich als hat steht es besser unten drunter liegt kann beliebig ausgetauscht weit gibt eine Tat dafür Jetty nicht also das ist alles ab der DG an also wir haben alle ja aber hat das aber zu verfügen es gibt das sind ja tiefer hat geklärt und so weiter dann für gut sehen hat man keine Prosa oder andere Bibliotheken DDR benötigt die wir in diesem Vortrag heute präsentieren ist unter allen uns diese den Standard was wir haben in diesem Standard 10. die begrenzten Bands ist diesen Daten Sintflut am Netz er die bestimmte ok woll und so drin haben die dann gemerkt werden zu den hat BP wird heißt und des Panzers und die Webapplikation selber ist nur eine Funktion die eine Art gekreist angehört und eine S-Bahn zurückliefert also das ist so ein Beispiel dafür wie er in diese eher so dass es ein Beispiel für ein Exempel heißt in allen bringen es hat 3 Kilo also 3 1 hält Kienholz die schlecht sind für ein Rennen wird heißt es in dem Buch ich etwas mehr sind und die Haider als die es gibt für den begrüßt und man kann dann ein Beispiel Applikationen im Zoo einen Mittelsmann zurückliefern DER Standard Ring für den Phonds sind so stark dass und Umbau die den 2. Geburtstag müssen drin sein und wenn man sich daran hält dann ist das eine beim Wiedersehen auf Aktionen im erinnern möchte natürlich nicht alles selber also selber zusammenbasteln man keine Composer dann den deklariert hielt die guten für die Applikation definieren so zum Beispiel mit so Gerd wusste sowie die Methode die man dann hat die Theorie man kann dann wenn ich weiß dass es so hier heißt aber nein das entsprechen an eine Funktion man selber schreibt er also überreichen und diese Funktion kümmert sich dann um diese weiß was ankommt also man kann dann auch in diese Deklaration an diesem scheint von einer Kasse machen und weil die richtige also die sehr Input er so zu extrahieren was dann wichtig ist vor allem also denn in ist das was oben drüber ,komma weiter er es die denn wenn der wer das ist und bleibt vom für einen heißt also für die die Seele vom wodurch die begeistern erreicht werden ,komma die Mannes beziehen kann bevor man man sie an seine Webapplikationen checkt oder man kann sie ändern also und die zurück bevor man sie zurück gibt und das ist vor allem wichtig wenn man durch die bestimmte Haider im einsetzen möchte in seiner 1 er so wird also das was es ist und man möchte das nicht für jede so selber in jeder von dieser kleine eine Funktion die schreiben ich das nicht selber machen man kann das auf so eine Reise machen und dann die einfach ist wieso in unser Webapplikation diese Wert ab so zu alle zusammenkommen ein und ein in der das entsprechend aufgebaut also also ich hoffe die
das was geliefert werden wird im Kloster Universum ist von der Jahre Seite kommen diese ganze im Server Implementierung der IT oder hat Stepic hält oder die die sind schon da da darauf basiert das kommt das bloße Universum man hat damit immer dazwischen und kann gut war oder eine andere Route gewählt verboten und das was man selber schreiben muss es ist an dieser Händler an seinen unten das sind ein paar kleine Funktion die meistens so einer meist also arbeitet und nicht etwas so sind zurückgeht er
einen so hat wie es unser .punkt ist es dass es das Tier er und man sollte das benutzen es gibt keinen Grund heutzutage keine hat die 1. benutzen auch sagen Menschen ach ich möchte aber nicht mehr dann brauch ich ein Zertifikat und wenn ich es mit hat Pech erst startet kann ich dann nicht auf die Seite zu so zugreifen wenn Browser dass man das nicht aber zum Beispiel mit der kann man sehr einfach mal einfach so im Internet so gut werden und dann findet man wie man ein Zertifikat generiert und wie man das zu den hieß dort parken kann wieder entsprechen einfachen den er so Konzentration von der der Applikation machen kann er sagt dann manchmal aber ich will es gibt eine wirst Volkslieder vor und das hat hat die PS also muss ich mich nicht darum kümmern aber es kann sein dass das in der halbrunden Intranet wo dieser
Webapplikation laufen legt so es das ist trotzdem in diesem Umfeld 1 1 der hat er deswegen sollte man einfach hat wie es ist dann der Punkt also oder der Hauptpunkt bei der Sicherheit ist das einer der Import ist geht auf wird also das mein 3. das in Import von dem Benutzer immer weil die soll dass es etwas Vernünftiges ist und bevor man eben was mit den Daten macht dass man das ich es geht um alles herauszufiltern was so schädlich sein könnte und sollten niemals den Benutzer vertrauen dass wäre denn der 1. Fehler den man
macht also zum Beispiel in der für alle die jungen Klose Umwelt gibt es bei uns war er dass es einen der nötig für die Validierung von Benutzern Ramazan lassen nimmt einfach sollen sich die an Werte die man zunehmend dazu bekommt und gibt es sinnvoll die bleibt so die man dann innerhalb einer Anwendung benutzen kann zum Beispiel man braucht für diese also ein User nehmen Passwort ist ungültig er dann also als die Output er ist auch wichtig dass der 2. Punkt der und in diesem Falle er reden wir über hat mehr es gelten ein und das heißt wenn ich ich ich möchte ein Tablet mit dem Plättchen Enten oder so möchte ich so ein etwas das Hinzufügen von dem Nutzer der Benutzer hat seinen Namen angegeben ich möchte das ändern denn man hat immer Seite wenn ein Held ist zu sein in diesem Fall ist ein Tempel 10 bleibe in an los war und wenn man das so wird immer das Rennen hat er setzte eine eckige Klammern alle Zeichen die Probleme sein können für hatte durch die entsprechende dann Versetzung das ist wichtig und etwas sehr Wichtiges ist das das sollte eigentlich die voll passieren in eine vernünftige Tempeltüren Indiens in es liegt einfach immer es sollte einfach drin sein das ist endlos nicht der Fall ist sollte man wissen vor allem Piccard was der heute am häufigsten verwendete 1 hat sich den Athletin wenn wir also den Euro an Bibliothek es hat das nicht per die folgt also dass für die Feuerwehr wird es einmal einen Rentner und also die das wird von dem Nutzen nicht weil die also nicht es geht bevor das reine Handarbeit und bräuchte dazu eine externe Funktion also ich würde persönlich entweder
habe es dass es keine was Implementierung für oder seinen an dass ein Gen nur basierte ein Template in Sprache für eine von denen wir nicht das Fehlen an der Stelle war nötig hat das ist oder es geht Ihnen also nicht er ist so und funktioniert wenn ich fürchterlich er in der Wohnung um das braucht es mir nämlich Access 1. seines Cross-Site-Scripting ist ist wenn man einst Ring von dem Benutzer bekommt
das meistens die bösen Texten des Teigs wenn das reine Advent gibt es dann mal wieder in einem JavaScript er ist dann Ex so weit diese Seite gerendert wird ausgeführt und man sagt ja ja aber wenig zu werden der Benutzer seine eigene Benutzernamen Dorf umbenennt wenn soll das interessiert aber das hat vor allem im Bereich von Foren oder Blogs oder der Benutzer in beliebige Kommentare schreiben kann und die beiliegende jedes Mal wo die Seite geladen werden alle angezeigt werden und alle gerendert werden nein denn für jede Person die darauf geht in die Seite also wer dieses Script ausgeführt und und man kann dann alles machen was in JavaScript ausgeprägtes ziemlich is ist man kann zum Beispiel ist dieser verwirrt machen oder irgendwas anderes aber sie 12 steht für fast Seitenpreis wollten weg und das handelt ist haben sich vor allem darum dass der Benutzer irgendwelche wird bei ihnen oft schickt um zu wissen dass wir das getan hat dann zum Beispiel kann das machen indem n so dass so was wo in der Innenstadt hätten auf in das Gesetz werde so ist ein Jahr soll das in ihrem Garten losgeschickt wird sie diese andere Seite es kann auch über ein Formular so enthält es so was echten Züge führt wenn oder benutzen falls zufällig darauf legt dieses ein Formular dann losschickt an irgendeinem Server irgendwo und das typische Beispiel dafür ist das vielleicht bist du bei deiner Bank angemeldet und der er ist so Angriffe kann dich so verursachen dass du ihn ganz viel Geld heißt so hell wie man dagegen vorgeht denn sie stark ist das meinen sagt auf der Service-Seite der nördlichen ein Geheimnis was der so benutzen ich weiß dass ich gerne mit geringeren ein Geheimnis für den er so pro Benutzer und das Senderecht ein Formular und jedes Mal wenn ich dieses Formular ist vom da dieses große Fest ankommt prüfe ich dass dieses Geheimnis stimmt dass das das ist was ich in diesem Formular müssen durch so einen anderthalb dann vertraue ich das der Benutzer also dieses Formular wirklich von mir kommen natürlich wenn man Access es drin hat und der Benutzer also zufällige Tokens also aus extrahieren kann aus dem Formularen in woanders einfangen hatten verloren aber das hilft erstmal dagegen allen also in Klose an gibt es eine bewältigen können wir darüber am Tag wollten und dann das generelle dieser enthält vor und man kann da ins enthüllt wurde mit Worten generieren erhält das wird an dem Nutzer und einen solchen gebunden also das und dann der Regen will wer kümmert sich darum so viel bei jeder große zu prüfen das ist dieses enthalten wollte ich ja das wird sogar einen informeller man muss es selber machen das des richtig in dem Formular kommt der worden mit den Wert und den prüft also Steine mäßig sich dieser Ware in so Parametername fragte er uns stellt sicher dass der wo was da keine eine brodelnde Formel lag fast für den Benutzer in dem eingeladen sind sie können Jackson das wurde schon längst gelöst eigentlich das ist wenn man so n so ich benutze Input also quasi wenn man's trinkst Smits trinke also wenn man Gresens Tränkung hatte Nation zusammenbastelt dann zum Beispiel so gibt es ja kann man ganze Datenbank aus ist einfach sollte man aber nicht tun es wurde schon längst höher ist am Klo GR ist sie Kohle bewältigen basieren alle auf die BBC eine darunter das gibt es schon länger das sollte man benutzen es gibt verschiedene bewältigen endlose die auf dem Gewissen sie drauf so basieren ,komma erst mal dass das sind erlaubt ein bisschen schöner aufzuschreiben und benutzen er also das ist eingelöst und man sollte es nicht mehr ja ab so
Authentifizierung und Autorisierung sind immer so 2 Punkte die ich ganz oft vermischt werden Außenarchitektur Sicht an die 2 was miteinander zu tun aber es gibt durchaus Gründe dafür dass auch sinnvollen dessen zu trennen Authentifizierung es einfach ist der Benutzer der sagt dass er das ist da kann ich auch verschiedene Methoden authentifizieren also etwas ganz normal Benutzername Passwort ich kann es kann aber durchaus sein dass es in die relevant ist ich dann immer unterscheiden will hat er sich mit einem 2. Faktor noch mit authentifiziert hat er vielleicht Smartcard gehabt der die es nicht im Rechner drin war aber an den Teilen der Anwendungen hätte dann doch gern Authentifizierung wie das immer mir Smartcard was ist ich habe unter Umständen mehr begrenzt gegen dich authentifizieren will ohne Autorisierung ist einfach die Information ob jetzt 2 sich aber das ist wirklich der Benutzer was darf der denn eigentlich und da gibts eine ganze Sammlung an einen bleibe die die das im Kloster Webapplikationen machen ich fand ehrlich gesagt bis jetzt so am besten
unbenutzbar rasten und vor allem am besten dokumentiert dass ich es ungern Doku über den meistens sehr anstrengend sind dabei war die man nicht die eigentlich ausgesprochen gut das ist ein Sieg den würg einfach weg Lorscheider das hatten war die Chor der Sinn des Ganzen Algorithmen und so weiter implementiert und dann quasi 3 Module auf die das aufbaut und zwar einmal war die out da steckt dieser ganze Autorisierung es Authentifizierungs halten die entsprechende hier was geht bei dir Herrschers wenn man hingeht und Passwort von Benutzer eben entsprechend der 1. Datenbank packen will hab ich da die passenden Funktion dafür da hab ich auch so Dinge drin wie es sinnvoll das Verlegen von kurzen Passwörtern und erst anschließend zu herrschen und es gibt bei dieser einen für so Dinge wie zum Beispiel Truppen ist dann ich dann in die mein Token vielleicht signieren oder verschlüsseln wenn der Benutzer den Inhalt nicht sehen soll und das es sonderbar Designern zu finden am bat die out es
ist eine Integration als erzwingen Mittel Mehr das heißt wenn ich Ihren Einsatz was sehr wahrscheinlich das kann ich einfach mal die Daten benutzen die ganzen Authentifizierungs Information über den Nutzer werden in den Request gepackt das heißt ich hab eh immer meinen meine Request mehr in dem Ring Umfeld und da habe ich wenn ich bei dir einsetzen und zusätzliche Thielen sich Agenten die und darin befindet sich dann noch einmal ne Mark weg mit den Authentifizierungs Information es gibt es verschiedene Beck die Firma so direkt mit kommen also http Basic out kennen war man kann ganz normal Ehrenzeichens mit zusammen das funktioniert ohne Probleme ich hab die Möglichkeit beliebige Tokens zu benutzen ist gibt es einen Shop es gibt ein Charts also das kommt schon in die von Haus aus mit mir fällt auch nicht ehrlich gesagt direkt ein war was dann noch spielen sollte wenn ein trotzdem dann noch mal ne Variante fällt mir wirklich zur Authentifizierung benutzen will gibt es immer noch die Möglichkeit einfach dieses Protokoll von von Partie zu zu implementieren zum Beispiel ich frei und das dann einfach selbst umzusetzen dass sind relativ einfaches Beispiel aus der Doku also der da meinen reingucken kommt ist vielleicht bekannt vor das ist einfach nur eine Basic out Authentifizierungen dass wir hier direkt am Anfang sehen ist die Definition von einer eigenen Authentifizierungsmethode und das heißt wir zum eigenwillig irgendwie den stürzt vom Benutzer abfragen das machbar gegen den Fall für mich eben hier über diese Basic out Variante zum anderen Musikern ja tatsächlich Überprüfung gegen generisches Regent machen sei das irgendwie eine Datei mit Benutzername und Passwort hat in die die Eltern Authentifizierung ich bekommen wir als Parameter einfach den Request mit übergeben und die entsprechenden Authentifizierungs den stets da steckt in dem Fall war der Sieg out Benutzername und Passwort drin ich würde in dem Fall dann einfach das das überprüfen und ich musste in logisches Ciao zurückgeben und letztendlich ist dass die Information die meine beiden Kinder landet die Anliegen Request an notiert in dem Fall dass einfach der Benutzername am ungewohnten 7 dann noch mal die Definition von von diesen Basic out Backend mit den entsprechenden Parametern und erst dann die Referenz zu zu meiner eigenen Funktionen hoch Autor des englischen funktioniert ähnlich kommen wir haben diese Kombo schon Routing Komponente und genauso wird hier wenn jene Partie Ex wohl definiert das heißt sich an und hier einfach wieder meine Ressource dich in die schützen möchte zum Beispiel Fläche Users hier die Methode die ich darauf haben und entsprechende Händler mit dem ich dann tatsächlich diese Autorisierung überprüfen ,komma konnten Satz von Standard Händlern wird zum Beispiel einfach Authentic rettet aber das würde genau das tun in der den Zentimeter gucken unter vor zurück geben dann bekommt der Benutzer Zugriff darauf ist aber auch möglich in einen Händler zu definieren das wird für uns ist die USA man bekommt über den Regress mit übergeben der Richtfest wird angepasst in dem Fall jetzt hier als Beispiel der User wird rausgeholt die aus dem All den Titel leer es wird einfach dann wir Mensch steckt ein User drin in dem Fall des Manitu zurück und haben dann hier in den eigenen entlang der Stelle das also dass wir Ihnen noch als als Mittel werden in in diesen in diesen Ring SDK mit reinbringen am Wasser dann will das Beispiel dafür wie wir diese Mittel mehr Mittel werde dazu bringt man kann in eigene Error widerlegt mit holen definieren die Händler bringen das aber normalerweise selbst mit also so dieser Basic Händler würde man hat ihn einfach normal Benutzername Passwort abfragen oder auf die entsprechende Seite wieder retten je nachdem wie der konfiguriert ist ich kann das aber direkt auch selbst machen hab dann eben vom einen Mittelwert Definitionen und ab an der Stelle die Funktion wird legt Ruiz und würde hier einfach übernimmt die über Meer übergeben und würde dann übernimmt hier halt diese von Ihnen definierten Ex ist wohl
mit übergeben die an der Stelle überschreibe ich mit und er war einfach denn das die Folter erhalten mit diesem Error widerlegt und die Authentifizierung wird man dann einfach mit Vornamen der Funktion hat die freien Backend würden jetzt mit Schwert Authentic englischen wirken diese Mittel der reinbringen und dann hat man die herstellereigene schon Autorisierungen und Authentifizierung in diesem ins mitbenutzt ja ich hab ja
also was man auch beachten muss wenn man über Danzig hatte reden ist das wenn man direkt innerhalb einer Applikation so stattfinden können er sollten Sie nicht und validiert einfach losgeschickt werden weil die zum Beispiel als wir dann wieder weg Faxe benutzt werden könnte er es man kann das aber im Kloster sehr einfach machen dass man wenn man weiß man zu ihnen wurde Reederei tun möchten das typische Beispiel Beilagen wenn man von irgendeiner Seite zu glauben die gerettet werden möchte man nach einem erfolgreichen lagen zurück zu der ursprünglichen Seite Gerede retten werden kann man kann das aber so n bevor man dieser wieder Klo schickt einfach überprüfen dass das eine also dass das mit einer breiten übereinstimmend von erlaubten Seiten und dann also wenn nicht dann direkt die man einfach so darum geht oder so was einen Mann sollen natürlich auch so denn ein Service-Attacken im Hinterkopf behalten er das hat mehr das Mehr an Architektur Problem einen so meistens Mehr ich allen also in den 1. Messetag es nur wenn der bin der Angreifer es schafft eines ist allen so und es soll eine Welle Boll zu machen das kann passieren wenn der Angreifer sowieso mehr Ressourcen hat wie du wenn das der Fall ist hattest du sowieso verloren zu haben aber er war es kann auch so verursacht werden wenn er in der Benutzer also wenn der wenn du alles als Opfer mehr Ressourcen brauchst um einen Rest abzuarbeiten als der Angreifer braucht um es zu schicken dann kann einfach ganz viele von dieser losschicken und dann lasst es ist viel höher als das was wir brauchten die zu schicken also dass er also der 1 soll so eine Fehler es solche Fälle sollte man einfach mit in seine eigene Implementierung schauen dass das nicht passieren soll zum Beispiel in naiver Ansatz ich habe die eine Funktion geschrieben wo ich dachte ich möchte so durch ein Parameter definieren wie viele so Nachrichten auf meiner Seite auftauchen dabei hab ich kein mit festgestellt das heißt dass der ein Angreifer einfach diese Zahl beliebig hoch drehen könnte und so dann muss ich also wenn auf Millionen so zum Preis das heißt ich muss auf meine Datenbank soll Millionen Nachrichten rausholen und an ihn zurückschicken als das was ich mache wenn er so ein besser wäre sind sie so sensibel die vorher zu definieren zum Beispiel in der Mitte also wenig weiß es macht überhaupt keinen Sinn dass der Benutzer irgendwann mehr als 500 auf dieser Seite gewendet haben möchte dann kann ich das einfach so limitieren und der kann dann nicht verursachen das sich beliebig viele Dinge ein so oder so er so raus holen was dann man kann auch sehr wie mit Sachen wie stark geprägt war ein so so ein macht und vom kann das heißt das also sehr geprägt also dass er nun das limitiert einfach die Anzahl von 2. zum Beispiel die für eine bestimmte Anfrage benutzt werden können und dass vielleicht nicht die ebenso unbedingt gegen den alle Besserwisser taten das hilft auch das zu dagegen also danach dich besser erholen kannst gut und gibt der eine ganze Reihe an und http Pesic hätte wenn man da ein reden mein Eindruck .punkt findet man sowas wie wir in die Vollen ist einfach Standards Settings für die Mittel der sondern hätte die dann automatisch notiert werden und dann die halt entsprechender Einteilungen in sinnvolle Defaults für eine Ecke ein sinnvolle die die vor 12 für normale Homepage und sinnvolle die Wallace-Filme Sergio seit damit einem Mann das da einfach davor ist wir finden was eine ganze Reihe an hätte er die mehr oder weniger hilfreich sind was auf jeden Fall nur einen und die die es wenn ich in dem Kopie Informationen habe die ich nicht jemand anderem verfügbar machen will also mehr als 100 in gesorgt Order von der Tabelle sondern vielleicht Session-ID oder tatsächlich meine sehr realisiertes Session auch unserer Städte sein möchte danach das sind erstmal in zu zu verbieten dass diese die irgendwie über entartete Verbindung übertragen wird dass mit einfachen Cookies Sergio und es gibt außerdem die Möglichkeit nochmals aktivieren das der Kopie auch nur mit normalen hatte 1. übertragen wird also nicht irgendwie per JavaScript über ihn gehen in dem Sie das JavaScript und Request irgendwohin geschickt wird und dort ist vom Browser dieser Kopie dort etwas enthalten es gibt außerdem und dann 3 weitere hätte entließ Deutsche wie Cross-Site-Scripting Protektion der Kammer fragen ja wieso ist das nicht standardmäßig im Jahr aktiviert ist es inzwischen meistens in dieser Cross-Site Protektion hätte benutzt um vom Browser eben großer Protektion auszuschalten weil weitere 40
meint klar es wird nicht mehr funktioniert 1
nicht diktieren um sagen ich hab die Möglichkeit zu verhindern dass meine Seite irgendwie woanders eingebunden wird aber dafür gibt es dann diesen Verein auch schon normalerweise wenn keine Content teilt für Ressourcen mit angegeben wurde würde der Browser versuchen irgendwie den Content Zeit zu erraten dass es dieses noch nichts was mich als Konzentrat Options über von den Tatort ins verhindern kann wenn meine Anwendung sowieso mit der locken Maske und so weiter funktionieren soll macht das als in in SSL direkt zu benutzen das heißt der Benutzer wird einfach immer auf https widerlegt wird das ist allerdings das Problem wenn ich in den Benutzer schon auf der Seite hat der hat das Cookie der ruft die Seite auf in dem Cookie sind Informationen drin die ich nicht verfügbar machen will und dann ist es aber schon über eine ungesicherte Verbindung übertragen worden und sich davor in die zu schützen gibt es heißt es das einfach die Idee dahinter hat der Benutzer einmal die Seite über SSL besucht wird in Zukunft auch immer direkt über SSL zu der Seite geleitet das heißt der Browser schickt gar keine http requests ab das macht Sinn auf jeden Fall sich anzugucken was haben wir den für Seiteneffekte und nicht einfach die Volks zu aktivieren weil gerade wenn man vielleicht mal Probleme mit seiner 1. Infrastruktur hat und eben schnell mal diesen heißt es ja selbst ist dann wird sich die komplette Seite nicht mehr erreichbar da kann man argumentieren der besser als das würde ihnen die Informationen potenziell würde man dem Mittel zugänglich gemacht haben aber wenn das aber in ihrem Umfeld ist und das Blogbeiträgen wie blöd beim Management hoch dann ist er halt sehr schnell ok so was wir als es scheint mir nie wieder an und man hat sich einfach da an der Stelle politisch die Eltern verbrannt von von daher auf jeden Fall gucken wir was gibt es denn noch so als hätte er die einschalten aber halt auch ohne sich dessen bewusst sein was tut es denn wirklich und was denn den Seiteneffekt betrachten das letzterer Content City-Hotel Parisienne das Ganze gibt schon wesentlich länger und inzwischen ist schon in der Version
3 einfach mal so so in die Runde gefragt kennt jemand Content Sergio die Pole Sie schon mal in die drüber gestolpert oder ok 1 das ist ein hatte die den setzen kann und den dahinter die komplette wurde sie am notiert und dieser hätte er erklärt im Browser wir denn eigentlich mit JavaScript mit Reese Referenzen auf anderen so es und so weiter umzugehen hat es gibt die Möglichkeit einfach in JavaScript zu verbieten das heißt wenn ich meine Applikation so entwickelt das man JavaScript ordentlichen JavaScript falls mutiert ist aber gewöhnlich kein Grund das irgendwo innerhalb von meiner Seite sonst gibt auftauchen muss und das ist ja tatsächlich genau der Angriffsvektor der bei Cross-Site-Scripting und so weiter unter anderem benutzt wird und damit kann ich den Browser einfach verbieten ok wenn gibt der Grund für den ich aus ich kann außerdem in dieses Verhalten mit Plug-ins bestehen ich kann zum Beispiel sowas wie Flash einfach abschalten kann ein Vater so viel Flash-Plug-ins injizieren werden Bilder Browser wird es nicht ausführen ich kann festlegen aus welcher Quelle sourcen nachgeladen werden und zwar abhängig von Content halten das heißt ich kann bestimmen dass meine Schriften nur von bestimmten Server oder von bestimmten Domänen geladen werden am ich kann bestimmen dass man es dabei stets nur aus einer bestimmten Quelle kommen ich kann Herrschers für diese Ressourcen mit angeben das heißt selbst wenn in dem CDM Sohn JavaScript legen kann ich vor ich drüber berechnen das mit in die Seite aufnehmen und selbst wenn ein Angriff auf Provider der Erfolg war und da
irgendwie was geändert wird würde das dann nicht mehr geladen und ich hab wirklich Nonsens mit anzugeben das heißt aber ich würde an der Stelle kann man es den Erregern ähnlich wie das sie drucken und das muss mit in diesen Link auf in html mit angegeben werden damit diese Ressource überhaupt geladen wird und ich hab die Möglichkeit einfach diese Konvention über die Police zu setzen und zu sagen ob hier schaltet die nicht aktiv sondern schickt mir nur die Ports das heißt der Browser würde bei einem Verstoß gegen die Pole Sie die Seite trotzdem ausführen und würde dann aber einen kurzen Report in Form von Jason andere von mir definierte URL schicken und so hab ich halt die Möglichkeit auch im laufenden Betrieb erst mal die ohne sie zu setzen zu schauen würde die Seite dennoch funktionieren kann auf Produktion schauen ob die Seite noch funktionieren und das Stück für Stück hat ihn an oder abschalten nach finde das zum Beispiel bei Twitter oder bei der ganz bei Twitter sind es dann tatsächlich so aus wie würden zum Beispiel Skripte von Connect .punkt fest .punkt nicht erlauben von Doubleclick und nennt ihn bisher vergebens man hat die Möglichkeit auch so was zu schreiben wie https :doppelpunkt technisch weit hat das heißt dann würde schon mal nur das Nachladen von Ressourcen von hatte wie wir es zulassen kann ich kann sowas wie ich will abschalten in JavaScript und was wir auf jeden Fall nicht vergessen sollte es am Ende gar die eigene Seite zuzulassen der oder eine Domäne der in Butcher was dran ist dass wir in dem Beispiel immer sonnabends notiert am markant festlegen wer die Seite einbinden darf von mit ja so aus dass wenn jetzt alles Beispiele dafür CSS wird auf Twitter Inlandsee ist es zum Beispiel zu belassen für es gibt es verboten ist die vorbehalten wenn die Polis anders und am Ende sehen wir dann einfach wieso möglich heute Juri aussehen kann hier ändert der so dann in einer rein und man kann ich das alle über die Locks vom PC oder so dann auch noch mal referenziert ja und werden kann ja aber als Probleme tatsächlich immer der Internet Explorer der da nicht ganz so weit vorne mit dabei sind zu Wort aber krumm und Firefox unterstützen müssen mal
sie spielen bezwungen und im Moment arbeiten die an diesem Level 3 ist weg ist ein bisschen unterschiedlich und schoss aber wird auch erwarten dass es zumindest Chrome und Firefox implementiert wird dass ein zusätzliches Feature neue soll trotzdem eine Musik für die Praxis fixen aber ich hab vielleicht auch nicht immer die Möglichkeit den Quellcode von Anwendungen zu ändern oder zu editieren oder eben wie ich benutzen Plug-in und er deshalb eben doch irgendwo im Land aber es gibt Rang und damit kann ich es zumindest noch ein Stück weit einschränken und einfach als hätte oder zu konfigurieren ohne dass diese Anwendung wirklich anfassen muss so damit wären eigentlich am Ende von den Talk wir
angefangene Anwendungen Kloster zu bauen wissen wird werden Croques ihren internen Sohn Twitter klonen kann sich der Netze
Status ist wir haben dann festgestellt mal versucht auf 6. zu verzichten ist ein schlechtes Beispiel unter ihnen die komplexere Authentifizierungs Konfiguration zu zeigen ,komma wie man damit bei der kommenden 10 Fragen und der A hat vor Ort der da war oder ob er endet und es ist wir dass man wieder die viel selber machen muss das ist einfach so weil man also im Kloster möchte man meistens wissen was genau untendrunter passiert er deswegen kann ich das nicht gemacht gesehen habe ich auch also besitzt das auch was wir so als Status quo worum es hier aus Erfahrung von Normung dann einfach so im Netz auch findet darüber hinaus und gibts eigentlich nix zumindest nicht was wir grüßen wenn jemand bei Ihnen das kennt es geht um unseren Wort das Amt das sind vielen Dank für
Funktionale Programmiersprache
Computeranimation
Funktion <Mathematik>
Programmiersprache
Parametersystem
Vektorrechnung
Momentenproblem
Reihe
Orbit <Mathematik>
Formation <Mathematik>
Kryptoanalyse
Organic Computing
Zahl
Computeranimation
Hochgeschwindigkeitsnetz
Summe
Cross-site scripting
Drupal
Anwendungssoftware
Hebel
Version <Informatik>
Datenstruktur
Funktion <Mathematik>
PILOT <Programmiersprache>
Intranet
Eigenwert
Tabelle
POWER <Computerarchitektur>
Web-Applikation
Binder <Informatik>
Ein-Ausgabe
EXCEL
Computeranimation
Algorithmus
Punkt
Softwareschwachstelle
Web-Applikation
Besprechung/Interview
Einfache Genauigkeit
Mailing-Liste
Datensichtgerät
Anwendungssoftware
Server
Implementierung
Formation <Mathematik>
Router
Grundraum
Computeranimation
Internet
Intranet
Punkt
Browser
Computeranimation
Elementare Zahlentheorie
Cross-site scripting
Punkt
Template
Implementierung
Passwort
Validierung
Computeranimation
Graphiktablett
Autorisierung
Faktorisierung
Zugbeanspruchung
Wald <Graphentheorie>
Web log
Datenbank
Token-Ring
Kryptoanalyse
Ein-Ausgabe
Computeranimation
Chipkarte
JavaScript
Rechenbuch
Anwendungssoftware
Server
Authentifikation
Skript <Programm>
Passwort
Wort <Informatik>
Information
Autorisierung
Datei
CHART <Programm>
Datenbank
Fläche
Token-Ring
BASIC
Routing
Computeranimation
Mittelungsverfahren
Algorithmus
Mittelwert
Komponente <Software>
Authentifikation
Passwort
Information
Zugriff
Designer <Programm>
Fehlermeldung
Funktion <Mathematik>
Autorisierung
Tabelle
Browser
Welle
Reihe
Datenbank
Implementierung
Zahl
Computeranimation
Homepage
Mittelungsverfahren
Cross-site scripting
JavaScript
Cookie <Internet>
Authentifikation
Information
Ordnung <Mathematik>
Default
Ecke
Fehlermeldung
Standardabweichung
Mittelungsverfahren
Content <Internet>
Browser
Cookie <Internet>
Version <Informatik>
HTTP
Information
Computeranimation
Content <Internet>
Browser
Provider
Plug in
Binder <Informatik>
Kryptoanalyse
Computeranimation
Domain-Name
Internet Explorer
JavaScript
Cross-site scripting
Twitter <Softwareplattform>
Firefox <Programm>
Rundung
Server
Skript <Programm>
Twitter <Softwareplattform>
Momentenproblem
Firefox <Programm>
Anwendungssoftware
Benutzerführung
Rang <Mathematik>
Quellcode
Computeranimation
Authentifikation
Komplex <Algebra>
Konfigurationsraum
Computeranimation

Metadaten

Formale Metadaten

Titel Sichere Webanwendungen mit Clojure
Serientitel FrOSCon 2016
Autor Kölsch, Simon
Clark, Joy
Lizenz CC-Namensnennung 3.0 Unported:
Sie dürfen das Werk bzw. den Inhalt zu jedem legalen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen.
DOI 10.5446/32467
Herausgeber Free and Open Source software Conference (FrOSCon) e.V.
Erscheinungsjahr 2016
Sprache Deutsch

Inhaltliche Metadaten

Fachgebiet Informatik
Abstract In diesem Vortrag praesentieren wir Clojure als eine mögliche Sprache um mit wenig Aufwand sichere Webapplikationen zu bauen. Wir zeigen dabei mit welchen Features gängige Frameworks verschiedene Angriffe verhindern und zeigen, dass "Security" ein grundlegender Teil der Architektur sein muss. Joy Clark, Simon Kölsch

Ähnliche Filme

Loading...