[Owasp-germany] 3. OWASP Stammtisch Heilbronn-Franken

Andreas Kurtz mail at andreas-kurtz.de
Sun May 13 16:23:08 UTC 2018


Hallo OWASP Heilbronn-Franken,

es ist wieder soweit: am Dienstag, den 05.06.2018 treffen wir uns zum
"3. OWASP Stammtisch Heilbronn-Franken“. Alle Interessierten sind dazu
herzlich eingeladen!

Wir treffen uns um 18:30 Uhr an der Hochschule Heilbronn (Campus
Sontheim), Max-Planck-Straße 39, 74081 Heilbronn, im dortigen "Know
Cube" (bunter Würfel vor dem Haupteingang, siehe
https://goo.gl/maps/4ndYgWeGXkJ2). Bei unserem letzten Treffen wurde
ich darauf hingewiesen, dass ich nun mit einem Vortrag an der Reihe
sei. Der Aufforderung komme ich gerne nach und berichte in meinem
Vortrag "Error by Design" über die Probleme von Sicherheitsmaßnahmen
auf Client-Seite am Beispiel mobiler Apps (Abstract siehe unten).

Im Anschluss an den Vortrag spazieren wir in eine nahgelegene Bar
(https://www.clocks-heilbronn.de), um uns dort bei einem Abendessen
weiter kennzulernen/auszutauschen. Bitte bestätigt eure Teilnahme bis
spätestens 29.05.2018 über folgende Umfrage (ohne Registrierung, eure
Namen werden nicht öffentlich angezeigt), so dass ich unseren
Platzbedarf rechtzeitig melden kann:

https://doodle.com/poll/q43w67bk8zib9tf3

Zusammenfassung:

3. OWASP Stammtisch Heilbronn-Franken
Datum/Uhrzeit: Dienstag, den 05.06.2018, ab 18:30 Uhr (Vortrag beginnt
gegen 18:45 Uhr)
Ort: Hochschule Heilbronn (Campus Sontheim), Max-Planck-Straße 39,
74081 Heilbronn, "Know Cube" vor dem Haupteingang

Parkmöglichkeiten: Parkplätze sind direkt an der Hochschule in
ausreichender Anzahl verfügbar!

Ihr kennt OWASP-Interessierte im Großraum Heilbronn? Bitte leitet
diese E-Mail gerne weiter.

Wir freuen uns auf Euch!

Viele Grüße,
Andreas

--

Abstract zum Vortrag "Error by Design":

Spätestens seit der {Web 2.0, AJAX, JavaScript} Renaissance in den
2000er Jahren sind wir regelmäßig mit der Problematik von
Sicherheitsmaßnahmen auf Client-Seite konfrontiert. Während sich im
Web-Umfeld zwar ganz allmählich das Bewusstsein zu verbreiten scheint,
dass JavaScript-Schutzmaßnahmen im Browser ineffektiv sind, scheint es
bei mobilen Apps häufig noch ein weiter Weg dorthin zu sein.

Bei Sicherheitsüberprüfungen von Apps stoße ich daher immer wieder auf
die gleichen Designfehler: Clientseitige Sicherheitsmechanismen — von
Benutzerauthentifizierungen, die ausschließlich innerhalb einer App
erfolgen, bis hin zur Verwendung von “Shared Secrets”, die eher mehr
“Shared” als “Secret” sind.

Solche Schwachstellen habe ich in den vergangenen Jahren auch immer
wieder in populären Store-Apps entdeckt. Im Rahmen des Vortrags zeige
ich, wie ich die Schwachstellen gefunden habe, welche teils fatalen
Auswirkungen für unsere Privatsphäre daraus resultieren, und wie die
Hersteller auf die Schwachstellen-Meldungen reagiert haben (#Neuland).


More information about the Owasp-germany mailing list