Upload
emrox
View
369
Download
2
Embed Size (px)
DESCRIPTION
Wege sich etwas sicherer im Internet zu bewegen
Citation preview
SICHER(ER) IM WEBWie man sich (etwas) sicherer im Web bewegen kann
und wie man das Web als Entwickler (etwas) sicherer machen kann
Stefan Bauckmeier @emrox
Barcamp Hannover 2014
WAS IST SICHERHEIT?
WAS IST SICHERHEIT?
• Sicherheit von Daten
• Privatsphäre schützen
WANN IST MAN SICHER?
FRÜHER
HEUTE
“RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis”http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf
Abhören von Schlüssel-Erzeugung mit dem Handy
ABSOLUTE SICHERHEIT GIBT ES NICHT!
Aber man kann es den Angreifern schwer machen!
WICHTIGSTE REGEL: AKTUELLE SOFTWARE
• Betriebssystem aktualisieren
• Alle installierte Browser aktualisieren
• Browser PlugIns & Extensions aktualisieren
• Sonstige Software aktualisieren
VIRENSCANNER?
• Kann man - muss man nicht
• Trojaner & Viren sind optimiert sich zu verstecken / Virenscanner abzuschalten
• Wichtiger : Mitdenken bevor man auf Link klickt / Datei öffnet
VIRENSCANNER?
golem.de, 05.05.2014
DATENSPUREN VERMEIDEN * METADATEN
GHOSTERY24
GHOSTERY
GHOSTERY15 (2)
GHOSTERYhttps://www.ghostery.com/
Empfehlung:- INFOnline - VG Wort- Piwik
Evtl.:- Google Analytics- Google Adwords
?
?
OpenStreetMap Nokia here
E-MAIL TRACKING
E-MAIL TRACKING
Tracking von E-Mails durch Laden von Bildern & CSS
📱💻 ⌨
👤👤
HTTP
User: Stefan Passwort: 123456
📱💻 ⌨
HTTPS
🔒✓🔒✓
🔒✓🔒✓
• Verschlüsselter Datenverkehr
• nur noch sichtbar wohin verbunden wird, nicht was abgerufen wird
• je mehr Verschlüsselt, desto mehr haben andere zu tun
HTTPS
HTTPS EVERYWHEREhttps://www.eff.org/Https-everywhere
WIFI SICHERHEIT
WPA(2) NUTZEN
• unverschlüsselter Traffic kann von jedem mitgeschnitten werden
• wenn kein HTTPS oder ähnliche Verschlüsselungen genutzt werden Passworte + Daten im Klartext übertragen
ALTERNATIVEN
VPN
Tor
VPN
📱🔒 📄 !
"
🎬
📱
🔒
🔒
💻 ⌨
TOR💻 ⌨
"
📄 📄 📄
📄 📄 📄
📄 📄 📄
🔒🔒🔒🔒
🔒🔒
🔓 🔓
🔓
🔓
🔓🔓 🔓
🔓 🔓📱🔒🔒🔒🔒
🔒🔒
🔓
🔓 !🔓
PASSWORT
http://splashdata.blogspot.de/2014/01/worst-passwords-of-2013-our-annual-list.html
SICHERES PASSWORT (2014)
• je länger desto besser
• keine sinnvollen Sätze / Kombinationen
• jede Seite ein abweichendes Passwort
• Bonus: Zahlen & Sonderzeichen
MERKHILFEN• Eselsbrücken
• Programme:
• 1Password (proprietär, multi plattform)
• KeePass (open source, multi plattform)
• LastPass (online)
WAS MAN ALS ENTWICKLER TUN KANN
SENSITIVE DATEN SCHÜTZEN
PASSWORT VERSCHLÜSSELUNG
• Wahl einer sicheren Methode
http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html
PASSWORT VERSCHLÜSSELUNG
• + Salt: • jedes Passwort ein eigenes Salt • benutze cryptographic secure number
generator • lang
ANDERE SENSITIVE DATEN SCHÜTZEN
• z.B. mit Twofish
Passwort Bad Practices
HTTPS EINSETZEN
SECUTIRY AUDTIS
• Selbst auf Schwachstellen checken
• Automatische Tools nutzen
• andere Entwickler draufschauen lassen
• durch externe