Willkommen zu einer neuen Folge unserer Serie State of the Web. Auch in dieser vierten Folge berichten wir über spannende neue Themen aus dem Web. Der Schwerpunkt liegt dieses Mal auf dem Thema Security.

Security ist uns bei inovex sehr wichtig. Einige unserer Kolleg:innen beschäftigen sich hiermit tagtäglich in unseren Kundenprojekten und planen Anwendungen gemeinsam mit unseren Entwickler:innen, um diese möglichst sicher umzusetzen oder Schwachstellen zu finden. Das dabei erlangte Wissen und die Verprobung in Prototypen möchten wir gerne weitergeben. Insbesondere möchten wir Berührungsängste im Umgang mit Security nehmen und Awareness dafür schaffen.

Die Beitragenden zu unserer heutigen Ausgabe sind Anna Sinitsyna, Michael Fuchs und Clemens Hübner. Anna wird uns das Thema WebAuthentication näherbringen, insbesondere wie man sich passwortlos anmelden kann. Hierzu hat sie einen Prototypen erstellt und zeigt uns eine Live-Demo. Michael zeigt uns, wie man mit der WebCrypto API einen sicheren Cloud-Speicher implementiert und Clemens erklärt, wie man seine Webanwendungen vor Angriffen schützt und sich selbst mit dem Thema Security besser vertraut machen kann.

In diesem Videoformat werden wir zunächst die einzelnen Themen vorstellen und anschließend in eine Diskussionsrunde starten, sodass der Inhalt besser verstanden werden kann. Weiterführende Links zu den einzelnen Themen findet ihr im nächsten Abschnitt.

Wir wünschen viel Spaß beim Ansehen.

Passwortlose Anmeldung mit WebAuthentication (WebAuthn)

In ihrem praktischen Prototypen zeigt uns Anna, wie das in der Praxis aussieht und welche technischen Unterschiede gegenüber einer klassischen Anmeldung mit Benutzername und Passwort bestehen. Sie zeigt uns übersichtlich, was CTAP (Client To Authenticator Protocol) ist und welche Möglichkeiten es dort zur Authentifizierung mit einer Webanwendung mittels WebAuthn gibt und erzählt aus ihren Erfahrungen, die sie in ihrer erstellten Nutzerstudie zu diesem Thema.

Den ausführlichen Blogpost von Anna findet ihr hier.

Implementierung eines sicheren Cloudspeichers mit der WebCrypto API

Michael erklärt uns zunächst was sich hinter dem Begriff WebCrypto API verbirgt und zeigt uns mit seinem Prototypen, wie man diese API für einen praktischen Use-Case einsetzen kann. Er zeigt in einer Live-Demo, wie der Dateiaustausch zwischen verschiedenen Benutzern über die Weboberfläche aussieht und wie einfach der zugrundeliegende Cloudspeicher in seinem Prototypen gegen einen anderen Cloudspeicher ausgetauscht werden kann.

Die ausführlichen Blogposts von Michael findet ihr hier.

Web Security mit Open Source

Clemens erklärt welche Informationsquellen zur Verfügung stehen und stellt zunächst mit der OWASP Top Ten das wohl bekannteste Projekt der OWASP vor. Diese Liste beschreibt die zehn wichtigsten Risiken in Web-Anwendungen. Aber Vorsicht: Die Top Ten sind nur ein Ausgangspunkt zur Beschäftigung mit Web Security, keine vollständige Checkliste.

Praktische Hilfe, die eigene Anwendung sicher zu gestalten, bieten die OWASP Cheat Sheets. Hier werden thematisch sortiert Best Practices und Anleitungen zu wichtigen Bereichen der Web Security gesammelt, wie Authentifizierung oder Passwortrichtlinien.

Mit dem OWASP ZAP kann man Anwendungen black box auf Sicherheitslücken testen. Oder um selbst einmal aus Hacker-Perspektive zu agieren, kann der Juice Shop genutzt werden: Dieser bewusst verwundbare Webshop bietet eine Vielzahl an Sicherheitslücken zum selbst hacken. Zur einfachen Verwendung steht hierfür auch ein fertiges Docker-Image zur Verfügung, mit dem man ohne Konfiguration schnell auf dem eigenen Rechner damit starten kann.

Weiter pflegt die OWASP auch eine Reihe von Dokumentationen, wie beispielsweise den Application Security Verification Standard, der (im Gegensatz zu den Top 10) checklisten-artige Security-Standards für Web-Anwendungen bereitstellt.

Dein Feedback ist uns wichtig

Mit dieser vierten Folgen haben wir etwas Neues ausprobiert. Gefällt dir das neue Videoformat? Wir freuen uns über dein Feedback. Egal ob Lob oder Kritik, wir hören gern von dir und tun alles, damit diese Serie in Zukunft noch besser wird. Wenn dir die Ausgabe gefallen hat, teile sie gerne mit anderen!

Mehr zu Web Development, Security & Jobs

Weitere interessante Infos zu Tech-Themen finden sich in unserem Blog. Hier finden sich Blogposts zu Cloud, Data Science, IoT, Web, Security und vielen weiteren Themen. Reinschauen lohnt sich! Und hey, wir stellen ein! Also, nicht zögern, hier ist eine Liste mit den derzeit zu vergebenen Jobs.