Heute war ich ausnahmsweise mal früh auf den Beinen und habe mir direkt ab 10 Uhr zwei Vorträge angehört. Während sich der erste mit den Gegebenheiten ausserhalb der uns gewohnten IT-Infrastruktur beschäftigt hat wurde im zweiten Vortrag ein neues Apache-Modul vorgestellt, welches den zahlreichen Exploits in schlechten Web-Programmen Einhalt gebieten soll.
"Physical Security" veranschaulichte anhand einiger schöner Beispiele, dass auch in den Bereichen Zutrittskontrolle, Benutzerauthentifikation und Abschottung viele elementare Dinge falsch laufen: Neben den obligatorischen Backdoors in Zugangskontrollsystemen wurden dabei Videoüberwachung, mangelhaftes Schlüsselmanagement, schlecht geschulte undd/oder unmotivierte Mitarbeiter bemängelt. Alles in allem ein recht unterhaltsamer Vortrag, gewürzt mit einem lustigem Mitschnitt aus einer Überwachungsanlage.
mod_security, mit dem sich der zweite von mir gewählte Vortrag des heutigen Tages beschäftigt hat war ebenfalls ein relativ interessanter Vortrag. Auch wenn ich dem ganzen bereits nach den ersten beiden Folien misstrauisch gegenüber gestanden bin hat sich meine Meinung im weiteren Verlauf des Vortrages wieder etwas relativiert. mod_security, ein Modul für den Apache übernimmt im Endeffekt die Funktion einer Application-Level-Firewall mit einem Heute war ich ausnahmsweise mal früh auf den Beinen und habe mir direkt ab 10 Uhr zwei Vorträge angehört. Während sich der erste mit den Gegebenheiten ausserhalb der uns gewohnten IT-Infrastruktur beschäftigt hat wurde im zweiten Vortrag ein neues Apache-Modul vorgestellt, welches den zahlreichen Exploits in schlechten Web-Programmen Einhalt gebieten soll.
"Physical Security" veranschaulichte anhand einiger schöner Beispiele, dass auch in den Bereichen Zutrittskontrolle, Benutzerauthentifikation und Abschottung viele elementare Dinge falsch laufen: Neben den obligatorischen Backdoors in Zugangskontrollsystemen wurden dabei Videoüberwachung, mangelhaftes Schlüsselmanagement, schlecht geschulte und/oder unmotivierte Mitarbeiter bemängelt. Alles in allem ein recht unterhaltsamer Vortrag, gewürzt mit einem lustigem Mitschnitt aus einer Überwachungsanlage.
mod_security, mit dem sich der zweite von mir gewählte Vortrag des heutigen Tages beschäftigt hat war ebenfalls ein relativ interessanter Vortrag. Auch wenn ich dem ganzen bereits nach den ersten beiden Folien misstrauisch gegenüber gestanden bin hat sich meine Meinung im weiteren Verlauf des Vortrages wieder etwas relativiert. mod_security, ein Modul für den Apache übernimmt im Endeffekt die Funktion einer Application-Level-Firewall mit einem umfangreichen Zusatzangebot. Funktionell lassen sich zwei Kategorien abgrenzen: Sinnvoll und weniger sinnvoll. Zu den weniger sinnvollen zählen meiner Meinung nach alle Methoden, welche sich mit Input Validierung und Filterung beschäftigen - die Zeit bis das sinnvoll konfiguriert ist sollte meiner Meinung nach lieber in die Reparatur der eigentlichen Web-Anwendung gesteckt werden. Schick hingegen fand ich Funktionen wie Comment-Stripping, Link- und Cookie-Signing. Beim Link-Signing werden alle Hyperlinks auf der ausgelieferten Seite mit einem kryptographischem Hash versehen - wird nun einer dieser Links aufgerufen wird er nur als gültig bearbeitet wenn keiner der Parameter vom Benutzer editiert worden ist.
Alles in allem ein vielversprechneder Anfang, hoffentlich halten sich die Vorträge im weiteren Verlauf des Tages auf einem ähnlichen Niveau.
