Illustation eines offenen Programms mit Schlüsselloch-Symbol und eines Programms mit Schlüssel, das unten auseinanderfällt

Let’s talk about Web Security!

Vorträge von Clemens Hübner und Michael Gerhäuser bei unserem ersten Meetup am 15.11.2022 in unserem neuen Office in Erlangen

Abstracts

1. Vortrag: Security APIs im Browser

Zur Entwicklung sicherer Web-Anwendungen können Web Developer auf immer mehr Security-Funktionalitäten in gängigen Browsern zurückgreifen, anstatt sie aufwendig selbst entwickeln zu müssen oder Abhängigkeiten durch 3rd-party-Bibliotheken zu schaffen. So kann beispielsweise zur Umsetzung einer passwortlosen Authentifizierung der WebAuthn-Standard verwendet werden. Für kryptografische Operationen bietet die WebCrypto-API in allen gängigen Browsern einfache Schnittstellen für Hashing, Verschlüsseln oder Signieren an. Mit der Reporting API können Informationen zu Sicherheitsereignissen direkt aus der produktiven Nutzerumgebung gesammelt werden, etwa über CSP-Violations. Im Vortrag wird ein Überblick über die Verbreitung dieser Features gegeben und die Möglichkeiten für einen Einsatz in Entwicklungsprojekten demonstriert.

Über den Speaker:
Clemens Hübner studierte Mathematik und Informatik und schloss mit einer Masterarbeit zur Sicherheit in agilen Entwicklungsmodellen ab. Nach Tätigkeiten als Software Developer sowie im Penetration Testing ist er seit 2018 als Security Engineer bei inovex tätig. Dort begleitet er Entwicklungsprojekte auf Konzeptions- und Implementierungsebene, schult Kolleg:innen und berät zu DevSecOps. Darüber hinaus ist er regelmäßiger Gast auf Meetups und Konferenzen.

 

2. Vortrag: Wir hacken einen Saftladen (OWASP Juice Shop)

Cross-Site Scripting, SQL Injection, Remote Code Execution – von diesen Begriffen haben wir als Entwickler:innen zumindest schon einmal gehört und können uns grob etwas darunter vorstellen. Aber wer hat schon mal einen solchen Angriff durchgeführt? Neben ethischen gibt es vor allem rechtliche Gründe, die uns beim Erkunden dieses Themengebiets einschränken. Das Open Web Application Security Project (OWASP) stellt mit dem OWASP Juice Shop eine Plattform bereit, mit der wir dieses Themengebiet problemlos erkunden können. Im Vortrag verschaffen wir uns erst einen Überblick über das Projekt, richten uns eine eigene lokale Instanz ein und untersuchen gemeinsam eine Auswahl von Lücken.

Über den Speaker:
Michael Gerhäuser ist seit dem Ende seines Studiums der Mathematik vor 9 Jahren Software Engineer. Bislang hauptsächlich im Bereich der medizinischen Software tätig, interessiert er sich für Security und dafür, Kolleg:innen und Kunden für das Thema zu sensibilisieren.

Wie kann ich Sie unterstützen?

Clemens Hübner

Security Engineer