Sicher(er) im web #bch14
description
Transcript of Sicher(er) im web #bch14
SICHER(ER) IM WEBWie man sich (etwas) sicherer im Web bewegen kann
und wie man das Web als Entwickler (etwas) sicherer machen kann
Stefan Bauckmeier @emrox
Barcamp Hannover 2014
WAS IST SICHERHEIT?
WAS IST SICHERHEIT?
• Sicherheit von Daten
• Privatsphäre schützen
WANN IST MAN SICHER?
FRÜHER
HEUTE
“RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis”http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf
Abhören von Schlüssel-Erzeugung mit dem Handy
ABSOLUTE SICHERHEIT GIBT ES NICHT!
Aber man kann es den Angreifern schwer machen!
WICHTIGSTE REGEL: AKTUELLE SOFTWARE
• Betriebssystem aktualisieren
• Alle installierte Browser aktualisieren
• Browser PlugIns & Extensions aktualisieren
• Sonstige Software aktualisieren
VIRENSCANNER?
• Kann man - muss man nicht
• Trojaner & Viren sind optimiert sich zu verstecken / Virenscanner abzuschalten
• Wichtiger : Mitdenken bevor man auf Link klickt / Datei öffnet
VIRENSCANNER?
golem.de, 05.05.2014
DATENSPUREN VERMEIDEN * METADATEN
GHOSTERY24
GHOSTERY
GHOSTERY15 (2)
GHOSTERYhttps://www.ghostery.com/
Empfehlung:- INFOnline - VG Wort- Piwik
Evtl.:- Google Analytics- Google Adwords
?
?
OpenStreetMap Nokia here
E-MAIL TRACKING
E-MAIL TRACKING
Tracking von E-Mails durch Laden von Bildern & CSS
📱💻 ⌨
👤👤
HTTP
User: Stefan Passwort: 123456
📱💻 ⌨
HTTPS
🔒✓🔒✓
🔒✓🔒✓
• Verschlüsselter Datenverkehr
• nur noch sichtbar wohin verbunden wird, nicht was abgerufen wird
• je mehr Verschlüsselt, desto mehr haben andere zu tun
HTTPS
HTTPS EVERYWHEREhttps://www.eff.org/Https-everywhere
WIFI SICHERHEIT
WPA(2) NUTZEN
• unverschlüsselter Traffic kann von jedem mitgeschnitten werden
• wenn kein HTTPS oder ähnliche Verschlüsselungen genutzt werden Passworte + Daten im Klartext übertragen
ALTERNATIVEN
VPN
Tor
VPN
📱🔒 📄 !
"
🎬
📱
🔒
🔒
💻 ⌨
TOR💻 ⌨
"
📄 📄 📄
📄 📄 📄
📄 📄 📄
🔒🔒🔒🔒
🔒🔒
🔓 🔓
🔓
🔓
🔓🔓 🔓
🔓 🔓📱🔒🔒🔒🔒
🔒🔒
🔓
🔓 !🔓
PASSWORT
http://splashdata.blogspot.de/2014/01/worst-passwords-of-2013-our-annual-list.html
SICHERES PASSWORT (2014)
• je länger desto besser
• keine sinnvollen Sätze / Kombinationen
• jede Seite ein abweichendes Passwort
• Bonus: Zahlen & Sonderzeichen
MERKHILFEN• Eselsbrücken
• Programme:
• 1Password (proprietär, multi plattform)
• KeePass (open source, multi plattform)
• LastPass (online)
WAS MAN ALS ENTWICKLER TUN KANN
SENSITIVE DATEN SCHÜTZEN
PASSWORT VERSCHLÜSSELUNG
• Wahl einer sicheren Methode
http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html
PASSWORT VERSCHLÜSSELUNG
• + Salt: • jedes Passwort ein eigenes Salt • benutze cryptographic secure number
generator • lang
ANDERE SENSITIVE DATEN SCHÜTZEN
• z.B. mit Twofish
Passwort Bad Practices
HTTPS EINSETZEN
SECUTIRY AUDTIS
• Selbst auf Schwachstellen checken
• Automatische Tools nutzen
• andere Entwickler draufschauen lassen
• durch externe