[Owasp-germany] 16.7.: OWASP-Stammtisch in Hamburg mit Websecurity-Vortrag von Sebastian Schinzel

Dirk Wetter dirk.wetter at owasp.org
Fri Jul 5 17:27:24 UTC 2013


Moin Hamburg und Umgebung,

[Mail kam eben anscheinend nicht durch, daher nochmal]


in weniger als 14 Tagen ist es wieder soweit, ein OWASP-Treffen in Hamburg
steht im Raum.

Es freut mich besonders, dass Sebastian Schinzel auf dem Durchflug von Westen
in Hamburg landet, bevor es weiter nach Berlin geht.

Sebastian hat 'zig Vorträge auf dem Buckel im Websecurity-Umfeld, einige werden ihn
vielleicht beim einen oder anderen German OWASP Day oder beim DFN-Cert-Treffen
schon gesehen haben.

Zu Gast sind wir diesmal bei Adobe (danke!) am Hafen in schöner Lokation, i.e. im
Stadtlagerhaus neben der Fischauktionshalle.

==Die Eckdaten:

* Vortragender: Sebastian Schinzel
* Ort: Adobe Systems Engineering GmbH, Große Elbstr. 27, 3. OG
* Startzeit: 18:30h
* Vortragstitel: "Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web Security"


Abstract:
"Wir schreiben das Jahr 2013 und in vielen Web-Entwicklungsprojekten wird das Thema "Sicherheit" noch immer als
notwendiges Übel angesehen. Gerade erfahrene Entwickler sind oft zu sehr überzeugt von ihrer eigenen Codequalität,
als dass sie offen für Feedback und konstruktive Kritik sind. Wenn es hart-auf-hart kommt, und Sie sich als
Sicherheitsexperte gegen solche Entwickler behaupten wollen, dann benötigen Sie gute Argumente.

In diesem interaktiven Vortrag stelle ich einige scheinbar trivial verständliche Quellcodebeispiele vor, die
selbst von erfahrenen Programmierern (und wahrscheinlich auch vom Publikum) falsch verstanden werden. Weiterhin
untersuche ich einige öffentlich gewordene Backdoors, die von Angreifern in den Quellcode der Web-Anwendungen
eingeschleust wurden. Aus den Beispielen wird klar, dass viele Backdoors auf den ersten Blick (und auch auf den
zweiten) harmlos aussehen, und die Schadroutine nur bei sehr genauem Hinsehen klar wird. Die vorgestellten
Beispiele verwende ich regelmäßig in Workshops, um übermäßig selbstbewussten Web-Entwicklern zu veranschaulichen,
dass auch sie in ihrem Verständnis von Quellcode nicht unfehlbar sind. Das ist eine wichtige Erkenntnis, um
einzusehen, dass niemand vor Sicherheitsschwachstellen gefeit ist und dass selbst erfahrene Web-Entwickler
regelmäßig in sicherer Softwareentwicklung geschult werden müssen."

Bio:
Sebastian Schinzel ist Professor für IT-Sicherheit an der Fachhochschule Münster.


== Generelles:
Hier treffen sich Menschen, die sich beruflich oder privat mit
Webanwendungen und deren Sicherheit auseinandersetzen, egal ob
Entwickler, Manager, Pentester oder andere mit Interesse an (Web)
Application Security.

Die Atmosphäre bei Veranstaltungen der OWASP ist offen und locker.
Uns geht's um den Erfahrungsaustausch, der bei den regelmäßigen Treffen
durch einen Vortrag unterstützt wird. Wer Produkte verkaufen will, ist
hier falsch.

Ihr könnt gerne diese Mail an Kollegen oder Bekannte weiterleiten. Unser
Thema ist in erster Linie (Web) Application Security. Man muss dazu
nichts von OWASP wissen, ein vorhergehender Blick auf die Website owasp,org
 schadet sicher nicht.

Wir treffen uns alle zwei Monate. Mehr zum Hamburger Stammtisch: http://owasp.de/hamburg/ .


Schönen Gruß, Dirk Wetter


PS: Für die, die bislang geschlafen haben: Wir haben im August eine super Konferenz:
    https://appsec.eu/ in Hamburg. Das Programm steht, wir sind hochzufrieden mit
    den Vorträgen, Trainings und berühmten Sprechern, die wir an Land gezogen
    haben. Es fehlen nur noch die Besucher zu der Superarty ;-)



-- 
German OWASP Board, Conference Chair AppSec EU 2013
http://appsec.eu/       |                 @appseceu
skype://drwetter.de     |      tel:+49-40-2442035-1


More information about the Owasp-germany mailing list