| | |
5.1.2004 | Passwörter speichern - aber richtig!
In sehr vielen - um nicht zu sagen fast allen - Webanwendungen werden Benutzerdaten verwaltet, vom Webforum bis hin zum Webshop. Diese Benutzerdaten umfassen auch die Logininformationen der User, welche neben dem Usernamen auch das Passwort enthalten - und das als Plain Text. Eine Sicherheitslücke par excellence. Autor: Christoph Wille
| |
1.9.2003 | Spam wirkungsvoll bekämpfen
Spam ist die Pest des Internet. Wie kann man sie wirkungsvoll bekämpfen? Das ist die Frage die sich fast jeder Internetbenutzer und -provider stellt. In den letzten Jahren hat die Anzahl der unerwünschten kommerziellen Emails Ausmaße angenommen, die Email als Kommunikationsmedium inzwischen ernsthaft gefährden und die auch für die ISPs über deren Server diese Emails geleitet werden ein ernsthaftes ökonomisches und technisches Problem darstellen. Autor: Bernhard Spuida
| |
12.4.2002 | Der Microsoft Baseline Security Analyzer (MBSA) 1.0
Die Hotfixes für Windows, SQL Server und IIS werden in ihrer Anzahl nahezu täglich mehr. Auch Security Guidelines zur korrekten sicheren Konfiguration des Betriebssystems und seiner Services sind über viele Best Practices Dokumente verstreut. Und wenn man alles beisammen hat, muß man darauf achten, auch wirklich alle Maschinen entsprechend upzudaten und zu sichern. Autor: Christoph Wille
| |
31.1.2002 | Vorsicht Falle: Dateien, die keine sind
Eigentlich dürfte jedem das FileSystemObject ein Begriff sein - mit diesem kann man Dateien auslesen und schreiben, sowie einige wichtige Operationen (löschen zB) auf Dateien und Verzeichnissen ausführen. Allerdings ist kaum bekannt, was Windows (NT/2000) so alles unter Dateien versteht - nämlich keineswegs nur Dateien die auf der Festplatte liegen. Autor: Christoph Wille
| |
29.1.2002 | Komponentenverwendung einschränken
Wer mehr als eine Site pro Server betreibt - und nicht nur ISP's sind davon betroffen - kommt möglicherweise irgendwann einmal in die Situation, daß eine am Server installierte Komponente nur bestimmten Websites zur Verfügung stehen soll. Entweder ist der Grund, daß nur der zahlende Kunde diese verwenden können soll (und keine andere zufällig am gleichen Server laufende Site), oder daß bestimmte Komponenten sicherheitssensitiv sind (Businesslogikkomponenten zum Beispiel). Autor: Christoph Wille
| |
23.1.2002 | Impersonation mit ASP.NET
Geschützte Bereiche auf einer Website kann man auf viele Arten implementieren. Will man aber daß Seiten im geschützen Bereich unter dem Account des eingeloggten Benutzers laufen (Impersonation), dann helfen nur noch Windows Accounts. Anwendungen der Impersonation gibt es unzählige, aber sie wird immer dort notwendig, wo der normale Account des Webservers nicht mehr genug Rechte hat: zB anlegen von Usern im Active Directory, managen von DNS Servern via WMI, oder auch so einfache Dinge wie das Auslesen von mit NTFS Rechten geschützten Dateien. Autor: Christoph Wille
| |
15.1.2002 | CAPICOM One
Relativ unbemerkt hat Microsoft im Vorjahr CAPICOM - einen COM Client für das CryptoAPI - im "Windschatten" von Windows XP released. Dabei handelt sich um ein Set sehr nützlicher kryptographischer Komponenten, die in jeder Programmiersprache mit Automation Unterstützung verwendet werden können - von Visual Basic bis hin zur kleinen Verwandtschaft in ASP, VBScript. Autor: Christoph Wille
| |
7.12.2001 | On Demand Zugriffsrechte für Web Sites vergeben
Sicher haben Sie auf Ihrer Web Site Content, der nicht von jedem 08/15 User eingesehen werden soll, zum Beispiel eine "Members Only Area". IIS beziehungsweise Windows 2000 bieten hierfür auch genügend (ausreichend sichere) Möglichkeiten, um gewisse Bereiche einer Web Site zu sperren. Wie wäre es aber, solche Aufgaben on-demand, also im laufenden Betrieb des Web Servers zu erledigen - ohne NTFS Berechtigungen setzen zu müssen. Das gratis downloadbare AccessControl Tool bietet eine einfache Lösung mittels ISAPI Filter und ASP. Autor: Christian Holm
| |
3.12.2001 | Verhinderung von SQL Injection Marke .NET
Was SQL Injection ist, hat der erste Artikel dieser Serie ausführlich erklärt und auch demonstriert. In Gegengifte für SQL Injection, ging es dann um Wege mittels Inputvalidierung SQL Injection zu verhindern, und auch mittels ADO eine Art letzte Bastion zu errichten. Heute wechseln wir von ASP nach ASP.NET, und von ADO zu ADO.NET - und sehen uns die dortigen Abwehrmethoden an. Autor: Christoph Wille
| |
23.11.2001 | MS Script Encoder dekodiert
Im Artikel ASP Scripts verschlüsseln habe ich beschrieben, wie
man ASP Scripts mittels MS Script Encoder unlesbar machen kann. Ich habe darauf hingewiesen, daß dies nur für den durchschnittlichen Benutzer als Abwehrmittel taugt, nicht aber gegen den, der wirklich den Sourcecode will. Um dieser Warnung Nachdruck zu verleihen, stelle ich heute ein Tool zur Umkehrung der
Verschlüsselung vor. Autor: Christoph Wille
| |
19.11.2001 | Schritt-für-Schritt Debuggen von Sicherheitsproblemen
Eines der lästigsten Probleme beim Entwicklen und Administrieren von Web Sites ist das Troubleshooten von Sicherheitsproblemen. Die absolute #1 ist hierbei Access Denied - Zugriff verweigert. Effizient herauszufinden warum man einen solchen Fehler erhält ist Ziel des heutigen Artikels. Und wenn man den Grund kennt, ist die Lösung auch nicht mehr weit. Autor: Christoph Wille
| |
31.10.2001 | Gegengifte für SQL Injection
Im Artikel SQL Injection habe ich demonstriert, was darunter zu verstehen ist, und wie es funktioniert. Heute wollen wir uns die diversen Gegenstrategien ansehen, um SQL Injection in Zukunft zu verhindern. Darunter fällt wie schon im gestrigen Artikel erwähnt validieren, validieren, validieren und ein Umstellen des Codes auf nicht anfällige
Konstrukte. Autor: Christoph Wille
| |
30.10.2001 | SQL Injection
Ein wie immer brillanter Michael Howard (Program Manager, Secure Windows Initiative, Microsoft Corporation) hat auf der Professional Developers Conference (PDC) 2001 in Los Angeles zwei Vorträge über Sicherheit gehalten -
einen über Windows-, den anderen über Websicherheit. Der letztere hat mich davon überzeugt, wie wichtig es ist, Programmierer verstärkt über das Sicherheitsrisiko #1 für ASP Datenbankapplikationen zu informieren: SQL Injection. Autor: Christoph Wille
| |
28.9.2001 | Schluß mit lustig Teil 3 - das Hfnetchk Tool
Im dritten Teil dieser "Wie sichere ich meinen Web Server gegen 'Se Evil Folks' ab" Serie stelle ich Ihnen das Hfnetchk Tool oder ausgeschrieben das Microsoft Network Security Hotfix Checker Tool vor. Die Vorgängerversion, das "IIS 5.0 Hotfix Checking Tool", hatte den Nachteil daß "nur" der IIS auf das Vorhandensein von Hotfixes hin uuml;berprüft wurde. Das Hfnetchk Tool hingegen kann nun einiges mehr. Dies und wie man eine Überprüfung automatisert bzw. per Email versenden kann, lesen Sie in diesem Artikel. Autor: Christian Holm
| |
27.9.2001 | Schluß mit lustig Teil 2 - das URLScan Tool
Um Administratoren die Arbeit zu erleichtern hat Microsoft ein weiteres Sicherheitstool bereitgestellt - das URLScan Tool. Dieses analysiert die Requests auf den IIS Web Server und je nach Konfiguration werden die Requests akzeptiert oder
oder verweigert. Dieser Artikel zeigt Ihnen wie man das Tool je nach Firmen-Webseitencontent anpaßt und wie es auf potentielle Attacken reagiert. Autor: Christian Holm
| |
26.9.2001 | Schluß mit lustig - das IIS Lockdown Tool
Das Leben eines Administators ist von ständigen Herausforderungen und großer Verantwortung geprägt. Besonders wenn dieser neben der Wartung des Firmennetzwerkes (und den damit verbundenen Problemen) zusätzlich für die Wartung der Firmen-Webserver verantwortlich ist. Im Moment ist der Nimda Virus aktuell, der den Administratoren wieder einiges an Arbeit beschert, damit diese einen eventuellen Schaden gering halten. Dieser Artikel soll u.a. die Risken und Nebenwirkungen des von Microsoft downloadbaren "IIS Lockdown Tool" besprechen. Autor: Christian Holm
| |
24.9.2001 | Unknackbare Verschlüsselung mit Onetime Pads
Im Zuge der Terrorangriffe auf das World Trade Center ist - wieder einmal - eine Debatte zur Rolle von Verschlüsselungstechnologien in der Kommunikation von Terroristen ins Laufen gekommen. Hauptaugenmerk wird in solchen Debatten immer auf sogenannte Hintertüren (Backdoors) für die Regierungsbehörden in Verschlüsselungsalgorithmen gelegt. Allerdings entbehrt die gesamte Diskussion nicht einer gewissen Lächerlichkeit: es gibt nämlich einen unknackbaren Verschlüsselungsalgorithmus Autor: Christoph Wille
| |
8.6.2001 | Formular-basierte Basic Authentication
Basic Authentication ist an und für sich eine sehr praktische und einfache Möglichkeit ganze Verzeichnisse (und deren Inhalt - unabhängig welchen Dateiformats) zu schützen. Die im nachfolgenden gezeigte Methode soll nun zwei entscheidende Nachteile von Basic Authentication beheben: die unschöne Login-Dialogbox und die Verzeichnisauswahl via URL.
| |
1.6.2001 | Sicherheitsaspekte bei der Gestaltung von ASP Sites ohne Cookies
Jeder, der sich mit der Erstellung komplexer ASP-Anwendungen beschäftigt, hat sich die Frage beantworten müssen, ob er denn nun Cookies einsetzt oder nicht. Denn häufig besteht das Problem, wie sich die ASP-Anwendung z.B. den Anmeldestatus eines Besuchers der Website merkt. Eine Lösung sind die Session-Variablen. Doch da wären wir wieder beim (temporären) Cookie. Autor: Rene Drescher-Hackel
| |
28.5.2001 | Aber bitte mit Rijndael
DES ist mittlerweile sehr in die Jahre gekommen, und die jährlichen Challenges beweisen, daß die (Verschlüsselungs-)Stärke von DES den heutigen Anforderungen an Sicherheit nicht mehr gewachsen ist. Daher wurde vom NIST eine Ausschreibung für den Nachfolger AES (Advanced Encryption Standard) gestartet, den der Algorithmus Rijndael gewann. Autor: Christoph Wille
| |
21.5.2001 | ASP-basierte Basic Authentication
Die verschiedenen Authentifizierungsmethoden des IIS sollten zumindest grob bekannt sein: Integrated, Digest und Basic Authentication, absteigend gelistet nach ihrer sicherheitstechnischen Integration mit Windows NT. Alle haben eines gemeinsam - sie greifen für die Validierung der Benutzeraccounts auf NT Accounts durch. Heute wollen wir Basic Authentication dazu überreden, unsere von NT unabhängigen Accounts zu validieren. Autor: Christoph Wille
| |
8.5.2001 | Dateizugriff auf Netzlaufwerken
Ein beliebtes Sorgenkind unter ASP Programmierern ist der Zugriff auf Dateien, die sich auf Netzlaufwerken (Shares) befinden. Der Grund der Probleme ist die NT Sicherheit, und heute werde ich Ansätze vorstellen, um den Zugriff auf Netzlaufwerke (a) zu ermöglichen, und (b) möglichst sicher zu bewerkstelligen. Autor: Christoph Wille
| |
2.4.2001 | NT Account Management via ASP
Suchen Sie nach einer einfachen Möglichkeit Windows NT/2000 Benutzerkonten mittels ASP zu verwalten? Wenn ja, dann zeigt dieser Artikel genau das, wonach Sie suchen. Die heute vorgestellte AspUser Komponente bietet die Möglichkeit Benutzerkonten zu managen. Der heutige Artikel beschreibt die grundlegendsten Funktionen der Komponente - also das Anlegen und Konfigurieren eines Benutzerkontos, sowie dessen Löschung. Autor: Christian Holm
| |
30.3.2001 | Passwörter mit SHA1 absichern
Daß man bestimmte Teile einer Website nur für authentifizierte Benutzer zugänglich macht, ist mittlerweile bereits ein üblicher Vorgang. Das Einloggen der Benutzer findet (meist) über ein ASP Formular statt, das nicht über SSL abgesichert ist - und dabei wird das Passwort im Klartext über das Netzwerk übertragen - zur freien Entnahme sozusagen. Der heutige Artikel zeigt, wie man den potentiellen
Mitlesern die Arbeit erschweren kann. Autor: Christoph Wille
| |
9.11.2000 | Verzeichnissicherheit mit NTFS und IIS Authentifizierung
Gerüchteweise habe ich gehört, daß Firmen hin und wieder den Zugang zu bestimmten Bereichen Ihrer Website absichern möchten. Um dies umzusetzen, bietet der Internet Information Server zusammen mit Windows NT/2000 einiges an Verzeichnissicherheit. Und diese Unterstützung ist dergestalt, daß man als ASP Programmierer mitbekommt, wer gerade berechtigtermaßen auf der Seite "surft". Autor: Christoph Wille
| |
21.9.2000 | Ver- und entschlüsseln von Texten mit PGP
Man kann in ASP Seiten mit Hilfe einer Komponente Texte mittels PGP ver- und
entschlüsseln. Leider ist mir keine ActiveX-Komponente bekannt, die diese
Funktionalität direkt integriert hat.
Jedoch kann man die Funktionalität der NSDPGP Komponente dazu benutzen,
um beliebige PGP-verschlüsselte Texte zu entschlüsseln,
oder Texte mittels PGP zu verschlüsseln. Autor: Christian Koller
| |
20.9.2000 | PGP-Verschlüsselung bei Dateien
PGP ist ein Verschlüsselungssystem, mit dessen Hilfe man
vertrauliche Daten Ver- und Entschlüsseln kann. Dies ist besonders hilfreich, wenn man Nachrichten in Emails oder Attachments verschlüsseln will. Ein anderes Anwendungsgebiet wäre, Dateien am Webserver zu verschlüsseln, um diese gefahrlos zum Download zur Verfügung zu stellen. Autor: Christian Koller
| |
14.9.2000 | Hotfix Check Tool für IIS 5.0
Speziell für Internet Information Services 5.0 unter Windows 2000 hat Microsoft ein Tool herausgebracht, das dem Webmaster einige Sorgen bezüglich Webserver-Sicherheit abnimmt: das Hotfix Check Tool erlaubt es, die Webserver Konfiguration auf Hotfixes zu untersuchen. Autor: Christian Koller
| |
5.9.2000 | Beteiligte Komponenten bei SET Transaktionen (Teil 2)
Im letzten Artikel, Beteiligte Komponenten bei SET Transaktionen (Teil 1), haben wir das Gateway und das Wallet kennengelernt. Jetzt kommen wir zum "Zentrum" der gesamten SET-Trilogie, dem Point Of Sale, kurz POS genannt. Autor: Christian Weissengruber
| |
4.9.2000 | Beteiligte Komponenten bei SET Transaktionen (Teil 1)
Nachdem der ersten Teil dieser Artikelserie sich mit der SET-Technologie im Allgemeinen beschäftigt hat, so geht dieser Artikel auf die einzelnen SET-Komponenten, wie das Payment Gateway und das Wallet genauer ein. Autor: Christian Weissengruber
| |
1.9.2000 | Sichere Zahlungen im Internet mit SET
Die Abwicklung geschäftlicher Transaktionen im Internet funktioniert nur, wenn auch der Zahlungsverkehr für den Kunden wie für den Händler sichergestellt ist und er darauf vertrauen kann, daß Mißbrauch ausgeschlossen ist. Niemand wirft gerne seine Kreditkartendaten in ein schwarzes Loch. Autor: Christian Weissengruber
| |
7.8.2000 | Windows 2000 Internet Server Security Configuration Tool
Sicherheit ist ein Thema, das man nie aus den Augen lassen sollte. Spätestens bei einem großen E-Commerce Project auf einem
Webserver unter IIS 5.0 sollte man sich ernsthaft Gedanken über die Absicherung des Webservers machen. Auch in einem Intranet, das Informationen über den IIS 5.0 zur Verfügung stellt, ist es ratsam, den Webserver abzusichern. Autor: Christian Koller
| |
30.6.2000 | Verwendung von SSL Test-Certificates
Sie entwickeln gerade eine eCommerce Site für einen Kunden, und der Shop soll natürlich mit SSL (Secure Socket Layer) abgesichert werden. Dieser Artikel zeigt alle Schritte - von der Generierung des Certificate Antrags, Abholen des Certificates und anschließendem Installieren. Autor: Christoph Wille
| |
10.5.2000 | ASP Scripts verschlüsseln
Der Schutz geistigen Eigentums (Urheberrecht) ist besonders am Internet ein sehr heißes Thema. Und wir als ASP Programmierer sind mitbetroffen - unsere Scripts sind für jedermann lesbar, der Zugriff auf die lokale Festplatte hat. Autor: Christoph Wille
| |