Das Open Web Application Security Project veröffentlicht regelmäßig eine Top 10 mit den größten Security-Risiken. Wer steckt eigentlich hinter dem Non-Profit OWASP? Lisa und Christoph schauen sich außerdem an, was in der letzten Veröffentlichung so drin steht. Zu guter Letzt gibt Christoph Tipps, wie sich die Top 10 verhindern lassen und welche Konsequenzen sich für Entwickler:innen ergeben.
„Wenn es ein Open-Source-Projekt in die Tagesschau schafft, weckt das viele Leute, die sich vorher nicht dafür interessiert haben”. Wie sicher ist Open-Source-Software? Hilft (mehr) Geld, um sie sicher zu machen? Um diese und andere Fragen geht’s in dieser Folge. Außerdem teilen Christoph und Stefan ihre Erfahrungen als Maintainer von bekannten Open-Source-Projekten.
Es gibt Geschenke 🎁 Aber vorher: ein Rätsel.
Hacker:in hämmert auf Tastatur herum, schreit: „Ich bin drin!”
Die Suchmaschine, für die du kein SEO betreiben solltest.
Schlecht gemeinte Liebesbriefe.
Ein Zero-Click-Angriff ist etwas, was dir besser nicht passieren sollte. Warum das so ist, erfährst du in der heutigen Ausgabe des Security Adventskalenders.
Klopf, Klopf. Wer lauscht dort? Im Security Adventskalender geht es heute um Portscanning und Portknocking.
Heute im Security Adventskalender: Creeper und Reaper. Oder: Fressen und gefressen werden.
Türchen #17 des Security Adventskalenders: log4shell – Der Security Super-Gau des Jahres.
Du nutzt einen Fingerabdruck anstatt eines Passworts, um dein Smartphone oder deinen Rechner zu schützen? Dann solltest du heute besonders gut zuhören.
Mit Magic-Wormhole können Dateien, die während der Übertragung automatisch verschlüsselt werden, sicher von einem Rechner zum anderen übertragen werden. Wir erklären, wie das funktioniert.
Heute im Security Adventskalender: Ein Wurm namens Morris.
In der jüngst veröffentlichten Git-Version 2.34.0 können nun auch SSH-Schlüssel zur Signierung von Commits und Tags genutzt werden. Warum das sinnvoll ist und wie es funktioniert, erfährst du in der heutigen Ausgabe des Security Adventskalenders.
Halbzeit beim Security Adventskalender: Heute geht es um den Algorithmus NONE im JWT.
Türchen #11 hält heute eine Magazin-Empfehlung für euch bereit. Für alle, die schon immer in die Tiefen der Hacker-Subkultur eintauchen wollten.
Im Zusammenhang mit Sicherheitslücken liest man immer wieder von sogenannten Zero-Days. Aber was bedeutet das eigentlich genau? Das erfahrt ihr in der heutigen Ausgabe des Security Adventskalenders.
Verschlüsselte Netzverbindungen sollten heutzutage eigentlich Standard sein. Bei TCP ist die Sache ziemlich klar, man nimmt einfach TLS. Doch wie sieht das bei UDP aus?
Asymetrische Verschlüsselung und die Frage „Welchen Schlüssel kann ich nach außen geben“ verwirrt nicht nur IT-ferne Menschen gelegentlich. Wie man's richtig macht, erfahrt ihr in dieser Ausgabe des Security Podcasts.
Beim Security Adventskalender dreht sich heute alles um den Paragraphen 202c, den sogenannten Hackerparagraphen.
Hinter Türchen #6 des Security Adventskalenders wartet eine Buchempfehlung zum Thema Security Engineering auf Euch.
Beim Security Adventskalender serviert euch Lucas heute Cookies. Türchen Nummer 5 öffnen und reinhören.
Virus, Wurm, Trojaner – nichts davon möchte man haben. Doch wo liegt eigentlich der Unterschied zwischen den dreien? Das verraten wir Euch in der heutigen Ausgabe des Security Adventskalenders.
Türchen #3 enthält Wissenswertes für alle, die auch mal mit „Hackertools“ herumspielen wollen oder in das Ethical Hacking einsteigen wollen.
Türchen #2 des Security Adventskalenders: Christoph erklärt, was es mit Heartbleed, der wohl schwerwiegendsten und bekanntesten Sicherheitslücke der Internetgeschichte auf sich hat.
Es gibt die eine CIA und es gibt die andere. Welche genau wir meinen und was es damit auf sich hat, erfahrt ihr, wenn ihr das erste Türchen des Adventskalenders vom INNOQ Security Podcast öffnet.
Lisa und Christoph sprechen in dieser Folge über das Thema Zwei-Faktor-Authentifizierung mittels HOTP, TOTP und WebAuthn. Wie funktionieren die einzelnen Standards und wo liegen die Vorteile von WebAuthn gegenüber HOTP und TOTP? Außerdem: Hardware-Tokens vs. Software-Lösungen und eine Zukunft mit WebAuthn aber ohne Passwörter.
Die Sommerpause ist vorbei! In dieser Folge sprechen Lisa und Christoph über die Vorteile von Passwort-Managern. Doch nicht nur das: fortgeschrittene Features wie Safes/Vaults und Hardware Tokens werden ebenfalls besprochen. Und: Christoph überdenkt seine Empfehlung zu externen Passwort-Managern.
Machine Learning ist schon lange kein exotisches Forschungsthema mehr und taucht immer häufiger im Projektalltag auf. Isabel und Simon geben einen Überblick über neuartige, aber auch althergebrachte Security-Fallstricke, die im Umgang mit dieser Technologie auftreten.
In dieser Folge spricht Lisa mit Christoph darüber, wie man TLS im Webserver richtig konfiguriert. Denn dabei gibt es viel zu beachten: von der richtigen Cypher Suite über Perfect Forward Secrecy bis hin zu Certificate Stapling.
