Security Track – Sicherheit im .NET-Universum auf der BASTA!

A Perfect Match: Passkeys in ASP.NET Core 10

Tue, 09 Dec 2025 12:41:57 +0000

The post A Perfect Match: Passkeys in ASP.NET Core 10 appeared first on BASTA!.

Simplifying Thread Safety

Tue, 09 Dec 2025 12:41:57 +0000

The post Simplifying Thread Safety appeared first on BASTA!.

DSGVO konforme Cloud Security

Wed, 08 Oct 2025 12:13:52 +0000

The post DSGVO konforme Cloud Security appeared first on BASTA!.

Single Page Applications vor Cross-Site Scripting schützen: Die Lage der Nation

Wed, 08 Oct 2025 12:13:52 +0000

The post Single Page Applications vor Cross-Site Scripting schützen: Die Lage der Nation appeared first on BASTA!.

Sichere Webanwendungen mit ASP.NET Core: Die OWASP Top Ten 2025

Wed, 08 Oct 2025 12:13:52 +0000

The post Sichere Webanwendungen mit ASP.NET Core: Die OWASP Top Ten 2025 appeared first on BASTA!.

How Banks Protect Their Applications with FAPI 2.0

Wed, 08 Oct 2025 12:13:52 +0000

The post How Banks Protect Their Applications with FAPI 2.0 appeared first on BASTA!.

Protect Your Data: Azure Networking Essentials for Developers

Tue, 24 Jun 2025 06:33:42 +0000

The post Protect Your Data: Azure Networking Essentials for Developers appeared first on BASTA!.

APIs, aber sicher: Die OWASP API Security Top Ten

Tue, 18 Mar 2025 14:33:24 +0000

The post APIs, aber sicher: Die OWASP API Security Top Ten appeared first on BASTA!.

Post-Quantum Cryptography for .NET Developers

Tue, 18 Mar 2025 14:33:23 +0000

The post Post-Quantum Cryptography for .NET Developers appeared first on BASTA!.

Blazor Authentication? Hold My Beer!

Tue, 18 Mar 2025 14:33:23 +0000

The post Blazor Authentication? Hold My Beer! appeared first on BASTA!.

Level Up Your Security: OpenID Connect/OAuth Update

Tue, 18 Mar 2025 14:33:23 +0000

The post Level Up Your Security: OpenID Connect/OAuth Update appeared first on BASTA!.

OWASP Top Ten 2025: Hat sich das Warten gelohnt?

Tue, 18 Mar 2025 14:33:22 +0000

The post OWASP Top Ten 2025: Hat sich das Warten gelohnt? appeared first on BASTA!.

Begrüßung zur BASTA! Spring 2025 mit Eröffnungskeynote zu Web-Security 2025

Fri, 07 Feb 2025 11:50:37 +0000

The post Begrüßung zur BASTA! Spring 2025 mit Eröffnungskeynote zu Web-Security 2025 appeared first on BASTA!.

KI-Schutzschild: Automatisierte Codeprüfung mit GitHub Actions & OpenAI

Fri, 18 Oct 2024 06:13:30 +0000

The post KI-Schutzschild: Automatisierte Codeprüfung mit GitHub Actions & OpenAI appeared first on BASTA!.

Hätte ich das nur früher gewusst! Content Security Policy, Lektion(en) gelernt

Fri, 18 Oct 2024 06:13:29 +0000

The post Hätte ich das nur früher gewusst! Content Security Policy, Lektion(en) gelernt appeared first on BASTA!.

Workshop: Web Application Security Bootcamp [Montag, 03.03.2025]

Fri, 18 Oct 2024 06:13:29 +0000

The post Workshop: Web Application Security Bootcamp [Montag, 03.03.2025] appeared first on BASTA!.

APIs, aber sicher: Die OWASP API Security Top Ten

Fri, 18 Oct 2024 06:13:29 +0000

The post APIs, aber sicher: Die OWASP API Security Top Ten appeared first on BASTA!.

Passkeys für Entwickler:innen – Die Zukunft ohne Passwörter

Mon, 07 Oct 2024 16:21:40 +0000

The post Passkeys für Entwickler:innen – Die Zukunft ohne Passwörter appeared first on BASTA!.

.NET Testing Best Practices

Mon, 10 Jun 2024 06:58:35 +0000

The post .NET Testing Best Practices appeared first on BASTA!.

Sicherheit im Fokus: Azure Copilot for Security

Tue, 04 Jun 2024 14:41:13 +0000

The post Sicherheit im Fokus: Azure Copilot for Security appeared first on BASTA!.

Von Anfang an sicher: GitHub Advanced Security mit GitHub und Azure DevOps

Fri, 03 May 2024 08:28:38 +0000

The post Von Anfang an sicher: GitHub Advanced Security mit GitHub und Azure DevOps appeared first on BASTA!.

Passierschein, bitte – sichere und skalierbare Authentifizierung mit Microsoft Entra ID

Tue, 05 Mar 2024 09:50:00 +0000

The post Passierschein, bitte – sichere und skalierbare Authentifizierung mit Microsoft Entra ID appeared first on BASTA!.

JSON Web Tokens: alles, was schief gehen kann

Tue, 05 Mar 2024 09:50:00 +0000

The post JSON Web Tokens: alles, was schief gehen kann appeared first on BASTA!.

Hands-on Workshop: Einstieg ins Pentesting für Web-Apps und Web-APIs

Tue, 05 Mar 2024 09:49:59 +0000

The post Hands-on Workshop: Einstieg ins Pentesting für Web-Apps und Web-APIs appeared first on BASTA!.

Passkeys für Entwickler – die Zukunft ohne Passwörter

Tue, 05 Mar 2024 09:49:59 +0000

The post Passkeys für Entwickler – die Zukunft ohne Passwörter appeared first on BASTA!.

OAuth2 and OpenID Connect: Easy Now

Tue, 05 Mar 2024 09:49:59 +0000

The post OAuth2 and OpenID Connect: Easy Now appeared first on BASTA!.

Rumble in the (Browser) Jungle: SPA vs. XSS

Tue, 05 Mar 2024 09:49:58 +0000

The post Rumble in the (Browser) Jungle: SPA vs. XSS appeared first on BASTA!.

Cross Site Scripting ist Schnee von gestern, oder?

Wed, 25 Oct 2023 05:49:02 +0000

The post Cross Site Scripting ist Schnee von gestern, oder? appeared first on BASTA!.

Sichere Webanwendungen für das Frontend entwickeln

Wed, 25 Oct 2023 05:49:02 +0000

The post Sichere Webanwendungen für das Frontend entwickeln appeared first on BASTA!.

AuthNZ für APIs und Web-Apps mit IdentityServer

Wed, 25 Oct 2023 05:49:02 +0000

The post AuthNZ für APIs und Web-Apps mit IdentityServer appeared first on BASTA!.

Workshop: Einstieg in Pentesting für Web-Apps & Web-APIs

Wed, 25 Oct 2023 05:49:01 +0000

The post Workshop: Einstieg in Pentesting für Web-Apps & Web-APIs appeared first on BASTA!.

DoS-Schutz für Websites: ASP.NET Core Rate Limiting

Thu, 12 Oct 2023 06:24:03 +0000

The post DoS-Schutz für Websites: ASP.NET Core Rate Limiting appeared first on BASTA!.

OpenID Connect (fast) selbstgemacht mit IdentityServer

Thu, 04 May 2023 08:37:40 +0000

The post OpenID Connect (fast) selbstgemacht mit IdentityServer appeared first on BASTA!.

Letzte Hoffnung Browser: Sicherheitsfeatures in modernen Clients

Thu, 09 Mar 2023 11:25:24 +0000

The post Letzte Hoffnung Browser: Sicherheitsfeatures in modernen Clients appeared first on BASTA!.

Ich mach’ mir einen Identity Server, Widdewidde wie er mir gefällt

Mon, 16 Jan 2023 06:51:55 +0000

The post Ich mach’ mir einen Identity Server, Widdewidde wie er mir gefällt appeared first on BASTA!.

Quantum Computing and the Future of Cryptography

Wed, 05 Oct 2022 10:45:14 +0000

The post Quantum Computing and the Future of Cryptography appeared first on BASTA!.

Sicherheit im Web mit ASP.NET Core, Angular und Auth0

Wed, 05 Oct 2022 10:45:14 +0000

The post Sicherheit im Web mit ASP.NET Core, Angular und Auth0 appeared first on BASTA!.

Begrüßung zur BASTA! Herbst 2022 in Mainz und Eröffnungs-Keynote: Die Zukunft der Web-Entwicklung

datasyncer@sandsmedia.com — Thu, 08 Sep 2022 14:16:44 +0000

Begrüßung:
Die BASTA! Herbst 2022 beginnt mit vollem Programm auf mehreren Tracks. Wir möchten Sie begrüßen, wichtige Informationen über den Ablauf der Konferenz mit Ihnen teilen und einen Blick auf die Highlights des Tages werfen.

Eröffnungs-Keynote:
Seit ein paar Jahren ist die JavaScript-Welt ziemlich stabil. Die drei großen Technologien, Angular, React und Vue, dominieren das Geschehen. Das heißt aber nicht, dass die Welt stillsteht! Gerade in der letzten Zeit sind einige neue Frameworks mit frischen Ideen aufgekommen. Manche Leute sprechen hierbei von einer neuen Welle an Frameworks, andere sogar von einer neuen Generation.
In dieser Keynote zeigen wir, was diese neuen Technologien ausmacht, welche Probleme sie lösen aber auch welche Konsequenzen damit einhergehen. Zusammen erlaubt das einen Ausblick auf die Zukunft der Web-Entwicklung, aber auch auf die Zukunft der großen etablierten Web-Frameworks, die derzeit in Hinblick auf diese Trends erweitert werden.

The post Begrüßung zur BASTA! Herbst 2022 in Mainz und Eröffnungs-Keynote: Die Zukunft der Web-Entwicklung appeared first on BASTA!.

Level-up your Testing

datasyncer@sandsmedia.com — Mon, 14 Mar 2022 14:08:28 +0000

Alle Unit-Tests erscheinen grün, die Testabdeckung beträgt fast 80 Prozent und auch die Ausführungszeit der Unit-Tests bewegt sich im Sekundenbereich. Diese Fakten klingen sehr gut und suggerieren das die Qualität der Software nicht so schlecht sein kann. Oft werden diese Metriken auch prominent auf Dashboards platziert, um auch den Kollegen und Stakeholdern ein gutes Gefühl zu vermitteln. Doch wie stellen wir eigentlich die Qualität der Tests sicher? Haben wir an unseren Tests die gleiche Qualitätsmaßstäbe wie an unseren eigentlich Produktcode? Kombinieren wir TDD mit Pair-Programing und sind die Tests auch Bestandteil des Codereviews? In dieser Session schauen wir uns an, wie die Qualität von Unit-Tests erhöht und geprüft werden kann. Wir fokussieren uns neben den Soft-Skills vor allem darauf, Techniken um Unit-Tests zu testen (test the tests). Die Qualität von Unit-Tests kann mit der Nutzung von Mutation Tests oder Property-based Testing deutlich gesteigert bzw. überprüft werden. Zudem kann es uns bei der Fehlersuche von entstanden Bugs sehr hilfreich sein.

The post Level-up your Testing appeared first on BASTA!.

OWASP Top Ten 2021: besser paranoid als offline

datasyncer@sandsmedia.com — Mon, 14 Mar 2022 14:08:25 +0000

Das Open Web Application Security Project (OWASP) ist insbesondere für die regelmäßig erscheinende Top-Ten-Liste der größten Sicherheitsrisiken für Webanwendungen bekannt. Nach langer Wartezeit steht endlich die Ausgabe von 2021 zur Verfügung. Wir werfen einen Blick auf den Entstehungsprozess der Liste sowie auf jeden einzelnen Eintrag. Was ist neu, was ist anders, was fehlt möglicherweise und...

The post OWASP Top Ten 2021: besser paranoid als offline appeared first on BASTA!.

Begrüßung zur BASTA! Spring 2022 in Frankfurt und Eröffnungs-Keynote: .NET 6 ist da

datasyncer@sandsmedia.com — Wed, 02 Feb 2022 14:07:26 +0000

Begrüßung:
Die BASTA! Spring 2022 beginnt mit vollem Programm auf mehreren Tracks. Wir möchten Sie begrüßen, wichtige Informationen über den Ablauf der Konferenz mit Ihnen teilen und einen Blick auf die Highlights des Tages werfen.

Eröffnungs-Keynote:
Mit der Version 6 liegt seit kurzem ein ganz besonderes .NET-Release vor: ein sogenanntes Long Term Support (LTS) Release. Da zu erwarten ist, dass eine größere Zahl an Nutzern auf .NET 6 umsteigen wird, glänzt es nicht so sehr mit neuen Features als vielmehr mit Tugenden, die es für den langfristigen Einsatz attraktiv macht. Grund genug, genauer hinzusehen.
Ergänzend zu den Workshops und den verschiedenen Sessions im Konferenzprogramm bieten unsere BASTA!-Experten einen kurzen und knackigen Einblick in ausgewählte Aspekte von .NET 6 und geben vor allem wertvolle Hinweise für den Einsatz in der Praxis. Vorhang auf für das neue .NET auch in Ihrem Projekt!

The post Begrüßung zur BASTA! Spring 2022 in Frankfurt und Eröffnungs-Keynote: .NET 6 ist da appeared first on BASTA!.

Bridging the Gap

datasyncer@sandsmedia.com — Mon, 24 Jan 2022 07:56:44 +0000

Introvert and extrovert, frontend and backend, this language or that one, with children or without. There are so many gaps in our industry that can have consequences if not bridged – will you get the promotion? Will you get the new job? Will your voice be heard? There are many ways to bridge a gap, and often the best way isn’t obvious. Layla and Alyssa hope, that through their stories and experiences, they can bring mindfulness and compassion to the forefront of your thoughts and help you bridge the gaps in your career and life.

The post Bridging the Gap appeared first on BASTA!.

BASTA! Spring 2022 Verlosung

datasyncer@sandsmedia.com — Thu, 16 Dec 2021 15:01:00 +0000

Nehmen Sie an der Verlosung teil und gewinnen Sie tolle Preise. Viel Glück!

Join the raffle for the chance to win some great prizes. Good luck!

The post BASTA! Spring 2022 Verlosung appeared first on BASTA!.

Begrüßung zur BASTA! Spring 2022 in Frankfurt

datasyncer@sandsmedia.com — Thu, 16 Dec 2021 15:01:00 +0000

Die BASTA! Spring 2022 beginnt mit vollem Programm auf mehreren Tracks. Wir möchten Sie begrüßen, wichtige Informationen über den Ablauf der Konferenz mit Ihnen teilen und einen Blick auf die Highlights des Tages werfen.

The post Begrüßung zur BASTA! Spring 2022 in Frankfurt appeared first on BASTA!.

OWASP Top Ten 2021: Hat sich das Warten gelohnt?

datasyncer@sandsmedia.com — Mon, 18 Oct 2021 09:30:46 +0000

Nach vier Jahren (und einigen Verzögerungen) war es Ende September 2021 endlich wieder so weit: Die neuen OWASP Top Ten sind da. Die bekannte Liste der zehn größten Sicherheitsrisiken für Webapplikationen wurde aktualisiert, mit zahlreichen Neuerungen: eine neue Prioritätenreihenfolge, neue Kategorien, aber auch alten Bekannten. Grund genug, einen Blick auf alle Einträge der Liste zu...

The post OWASP Top Ten 2021: Hat sich das Warten gelohnt? appeared first on BASTA!.

Sichern von JavaScript- und Blazor-Apps mit dem BFF-(Backend-for-Frontend-)Pattern

datasyncer@sandsmedia.com — Mon, 18 Oct 2021 09:30:46 +0000

Moderne Webentwicklung bedeutet, dass immer mehr Anwendungscode im Browser ausgeführt wird. Traditionell war das JavaScript, aber im Microsoft-Kosmos ist dank Blazor auch C# möglich. Diese modernen Anwendungen werden oft mit tokenbasierter Sicherheit unter Verwendung von OpenID Connect und OAuth gesichert. Es gibt jedoch unterschiedliche Muster für die Verwendung von tokenbasierter Sicherheit und diese Session behandelt einige der Fallstricke der verschiedenen Ansätze, insbesondere angesichts der sich ständig ändernden Browserlandschaft. Wir werden uns auf das Backend-for-Frontend-(BFF-)Muster konzentrieren, das sich zum sichersten und stabilsten dieser Ansätze entwickelt hat.

The post Sichern von JavaScript- und Blazor-Apps mit dem BFF-(Backend-for-Frontend-)Pattern appeared first on BASTA!.

BASTA! Herbst 2021 Verlosung

datasyncer@sandsmedia.com — Wed, 22 Sep 2021 07:07:38 +0000

Nehmen Sie an der Verlosung teil und gewinnen Sie tolle Preise. Viel Glück!

Join the raffle for the chance to win some great prizes. Good luck!

The post BASTA! Herbst 2021 Verlosung appeared first on BASTA!.

Begrüßung zum dritten Tag der BASTA!

datasyncer@sandsmedia.com — Mon, 19 Jul 2021 08:23:47 +0000

Auch zum dritten und letzten Hauptkonferenztag der BASTA! möchten wir Sie herzlich zu einem morgendlichen Plausch begrüßen, wichtige Dinge zum Ablauf der Onlinekonferenz mitteilen und einen Ausblick auf den Tag geben. Wir freuen uns!

The post Begrüßung zum dritten Tag der BASTA! appeared first on BASTA!.

Begrüßung zum zweiten Tag der BASTA!

datasyncer@sandsmedia.com — Mon, 19 Jul 2021 08:23:46 +0000

Und wieder beginnt ein BASTA!-Tag mit vollem Programm auf mehreren Tracks. Wir möchten Sie begrüßen, wichtige Informationen über den Ablauf der Konferenz mit Ihnen teilen und einen Blick auf die Highlights des Tages werfen.

The post Begrüßung zum zweiten Tag der BASTA! appeared first on BASTA!.

OAuth – the Good Parts

datasyncer@sandsmedia.com — Thu, 24 Jun 2021 12:51:43 +0000

OAuth existiert nun seit mehr als 10 Jahren und ist zum Standardprotokoll für Token-basierte Sicherheit geworden. Wie bei jeder populären Technologie, die mit ihren Anforderungen gewachsen ist, gibt es einige Dinge, die wirklich gut funktionieren, und einige, die den Test der Zeit nicht ganz bestanden haben. In diesem Vortrag geht es um das Wesentliche, das Sie wissen sollten, wenn Sie heute anfangen sich mit OAuth zu beschäftigen. Welche Protokollabläufe und -erweiterungen sollten Sie studieren, welche „Dialekte“ wie OpenID Connect sind wichtig, und was kann ich „sicher“ ignorieren.

The post OAuth – the Good Parts appeared first on BASTA!.

Begrüßung zur BASTA! Herbst 2021 in Mainz

datasyncer@sandsmedia.com — Mon, 12 Apr 2021 11:52:45 +0000

Die BASTA! Herbst 2021 beginnt mit vollem Programm auf mehreren Tracks. Wir möchten Sie begrüßen, wichtige Informationen über den Ablauf der Konferenz mit Ihnen teilen und einen Blick auf die Highlights des Tages werfen.

The post Begrüßung zur BASTA! Herbst 2021 in Mainz appeared first on BASTA!.

Sichern von JavaScript und Blazor Anwendungen mit dem BFF (Backend for Frontend) Pattern

datasyncer@sandsmedia.com — Tue, 16 Mar 2021 14:42:24 +0000

Moderne Webentwicklung bedeutet, dass immer mehr Anwendungscode im Browser ausgeführt wird. Traditionell war dies JavaScript, aber in jüngerer Zeit gibt es den Trend, C# mit Blazor zu verwenden. Diese modernen Anwendungen werden oft mit Token-basierter Sicherheit unter Verwendung der OpenID Connect- und OAuth gesichert. Es gibt jedoch unterschiedliche Muster für die Verwendung von Token-basierter Sicherheit, und diese Session behandelt einige der Fallstricke der verschiedenen Ansätze, insbesondere angesichts der sich ständig ändernden Browserlandschaft. Wir werden uns auf das „Backend for Frontend“ (oder BFF)-Muster konzentrieren, das sich zu dem sichersten und stabilsten dieser Ansätze entwickelt hat.

The post Sichern von JavaScript und Blazor Anwendungen mit dem BFF (Backend for Frontend) Pattern appeared first on BASTA!.

Letzte Hoffnung Client: Sicherheitsfeatures und -header im Browser

datasyncer@sandsmedia.com — Tue, 16 Mar 2021 14:42:16 +0000

Moderne Webbrowser unterstützen eine große Menge an Sicherheitsfeatures, die aus Entwicklungssicht genutzt werden können: HTTP Header, JavaScript APIs und mehr. Diese Mechanismen können effektiv Cross-Site Scripting, Clickjacking, Cross-Site Request Forgery und andere Angriffe verhindern und vieles mehr. Diese Session zeigt viele dieser Features, diskutiert die Browserunterstützung und zeigt aktuelle Entwicklungen auf, etwa Features, die vor der Einstellung stehen und ersetzt werden müssen.

The post Letzte Hoffnung Client: Sicherheitsfeatures und -header im Browser appeared first on BASTA!.

Begrüßung zum 3. Tag der BASTA!

datasyncer@sandsmedia.com — Mon, 22 Feb 2021 11:31:58 +0000

Auch zum dritten und letzten Hauptkonferenztag der BASTA! möchten wir Sie herzlich zu einem morgendlichen Plausch begrüßen und wichtige Dinge zum Ablauf der Online-Konferenz mitteilen sowie einen Ausblick auf den Tag geben. Wir freuen uns!

The post Begrüßung zum 3. Tag der BASTA! appeared first on BASTA!.

Begrüßung zum 2. Tag der BASTA!

datasyncer@sandsmedia.com — Mon, 22 Feb 2021 11:31:57 +0000

Und wieder beginnt ein BASTA!-Tag mit vollem Programm auf mehreren Tracks. Wir möchten Sie begrüßen, wichtige Informationen über den Ablauf der Konferenz mit Ihnen teilen und gemeinsam mit unseren Advisors einen Blick auf die Highlights des Tages werfen.

The post Begrüßung zum 2. Tag der BASTA! appeared first on BASTA!.

Content Security Policy: gestern, heute, morgen

datasyncer@sandsmedia.com — Mon, 16 Nov 2020 16:46:04 +0000

Content Security Policy ist seit einer Dekade die effektivste Sicherheitsmaßnahme für Webbrowser, und einer der Gründe, wieso alle Webbrowser sukzessive ihren eingebauten Schutz vor Cross-Site Scripting entfernen. Aber die Erstellung einer effektiven Content Security Policy ist nicht trivial. In diesem Vortrag diskutieren wir Lektionen aus zahlreichen CSP-Projekten: Was funktioniert, wo gibt es Probleme, und auf welche Features...

The post Content Security Policy: gestern, heute, morgen appeared first on BASTA!.

Geheimniskrämerei im Releaseprozess mit Azure DevOps und Azure

datasyncer@sandsmedia.com — Fri, 30 Oct 2020 16:19:46 +0000

Für das Deployment werden oft verschiedenste vertrauliche Konfigurationseinträge wie Datenbank-Connection-Strings oder Client-Secrets benötigt. Wie werden diese sicher aufbewahrt und zum Deployment-Zeitpunkt der Applikation übergeben? Diese Session zeigt verschiedene Möglichkeiten der Secret-Verwaltung und ihr Management mit Azure DevOps und anderen Azure-Diensten. Zudem wird auf Themen wie Passwortrotation oder Azure-spezifische Authentisierung mittels Managed Identities eingegangen.

The post Geheimniskrämerei im Releaseprozess mit Azure DevOps und Azure appeared first on BASTA!.

Verlosungen: Online-Sponsoren-Gewinnspiel & Live Verlosung BASTA! 2020 Aussteller Stempelkarte

datasyncer@sandsmedia.com — Thu, 01 Oct 2020 13:08:46 +0000

Live Verlosung BASTA! 2020 Aussteller Stempelkarte

Liebe Teilnehmer nutzen Sie noch die Zeit und lassen Sie sich Ihre Stempelkarte von 6 Ausstellern der BASTA! abstempeln und werfen Sie die Karte vollständig ausgefüllt in die Losbox am Check In Counter.
Ein Besuch der Aussteller lohnt sich in jedem Fall. Zu gewinnen gibt es Gutscheine für Schulungen, Softwarelizenzen, Gaming-Devices, Gadgets und vieles mehr.
Den Gewinn können Sie gleich vor Ort im Empfang nehmen oder er wird Ihnen persönlich zugeschickt. Wir freuen uns, dass Sie mit dabei sind und wünschen schon jetzt viel Glück.

Online Sponsoren Gewinnspiel auf der BASTA 2020

Ziehung der Gewinner, die am Online-Gewinnspiel teilgenommen haben. Zu gewinnen gibt es:
·       DJI Mavic-2-Pro-Drohne im Wert von 1499 €
·       Lego Mindstorms EV3-Set im Wert von 350 €
·       Beats Solo3 Wireless Bluetooth On-Ear Kopfhörer im Wert von 195 €

The post Verlosungen: Online-Sponsoren-Gewinnspiel & Live Verlosung BASTA! 2020 Aussteller Stempelkarte appeared first on BASTA!.

Begrüßung und Eröffnung der BASTA! 2020

datasyncer@sandsmedia.com — Thu, 01 Oct 2020 13:08:45 +0000

Sebastian Meyen, Program Chair, begrüßt die Teilnehmer der BASTA! 2020, führt in das Programm ein und gibt wichtige Hinweise zum Ablauf der Hybrid Konferenz.

The post Begrüßung und Eröffnung der BASTA! 2020 appeared first on BASTA!.

OpenID Connect & OAuth 2.0 – Security Best Practices

datasyncer@sandsmedia.com — Wed, 08 Apr 2020 06:08:14 +0000

Seit seiner Veröffentlichung in RFC6749 und RFC6750 hat OAuth 2.0 auf dem Markt massiv an Zugkraft gewonnen und wurde zum Standard für den API-Schutz und zur Grundlage von OpenID Connect. In der Zwischenzeit wurden die Protokolle durch bekannte Implementierungsschwächen und Anti-Patterns angegriffen, die Technologie hat sich geändert und ihre Verwendung wurde auf Anwendungsfälle und höhere Sicherheitsumgebungen ausgeweitet als ursprünglich angenommen und erwartet. Aus diesem Grund hat die IETF eine Reihe so genannter "Best Current Practices" (BCPs) veröffentlicht, die die ursprünglichen Spezifikationen und Bedrohungsmodelle aktualisieren und mehr präskriptive Anleitungen geben. Dieser Vortrag gibt einen Überblick über diese BCPs und greift einige der Themen für eine vertiefende Diskussion auf.

The post OpenID Connect & OAuth 2.0 – Security Best Practices appeared first on BASTA!.

Implementierung von OpenID Connect und OAuth 2.0 – Tips from the Trenches

datasyncer@sandsmedia.com — Wed, 08 Apr 2020 06:08:14 +0000

Es gibt typische Architekturmuster rund um Identitäts- und Zugangskontrolle für moderne Anwendungen (Mikroservices oder Cloud-native Anwendungen – oder wie immer man sie nennen möchte). OpenID Connect und OAuth 2.0 sind die Wegbereiter für diese Architekturen. Wenn Sie ein solches Anwendungssystem aufbauen, werden Sie unweigerlich auf einige Herausforderungen und Fragen stoßen, wie z.B. welchen protokol flow Sie wählen, wie Sie Ihre Ressourcen und Token gestalten, wie Sie Ihre verschiedenen (neuen und alten) Clients mit dem Token-basierten System verbinden, wie Sie das Session- und Token-Lifetime-Management gestalten, wie Sie mit Widerruf, Authentifizierung vs. Autorisierung umgehen usw. In dieser Sitzung werden wir uns einige übliche Muster (und vielleicht auch Anti-Muster) für den Entwurf token-basierter Systeme ansehen und einige Antworten auf die obigen Fragen erhalten.

The post Implementierung von OpenID Connect und OAuth 2.0 – Tips from the Trenches appeared first on BASTA!.

OWASP Top Ten 2017-2020

datasyncer@sandsmedia.com — Wed, 25 Mar 2020 13:34:44 +0000

Die Top Ten des Open Web Application Security Project bemüht sich seit siebzehn Jahren, eine jährliche Liste der zehn relevantesten Sicherheitsrisiken für Webanwendungen zusammenzustellen. Für Ende 2020 ist eine neue Ausgabe geplant, wenngleich dieser Termin bereits einmal verschoben wurde. In Ermangelung einer Vorab-Version werfen einen Blick auf die Punkte der aktuellen Ausgabe von 2017 und als nächstes schauen wir in die Glaskugel, ob etwa etwas in der Liste fehlt, und was sich im Bereich Web Application Security in den letzten Jahren getan hat. Zudem diskutieren wir die Relevanz der Risiken durch die ASP.NET-Brille und besprechen technologiespezifische Gegenmaßnahmen. Ob als Einstieg in die Websecurity oder zur Auffrischung: Die gezeigten Sicherheitsrisiken gehören zum Grund-Know-how der Webentwicklung.

The post OWASP Top Ten 2017-2020 appeared first on BASTA!.

Von DevOps zu Rugged DevOps – schnell und mit Built-in-Sicherheit ausliefern

datasyncer@sandsmedia.com — Wed, 25 Mar 2020 13:34:41 +0000

Entwickler und IT-Profis in einem Team zu vereinen macht sie nicht gleich zu einem DevOps-Team. Und selbst wenn sie reibungslos zusammenarbeiten, gibt es immer wieder das Spannungsfeld Sicherheit. Build- und Release-Pipelines kümmern sich um die Erstellung und Bereitstellung Ihrer Anwendung, aber sind Ihre Pipelines sicher? Und der Code, den Sie bereitstellen? Bei vielen Releases pro Tag können Sicherheitsverantwortliche nicht jedes Release überprüfen. Bei Rugged DevOps geht es darum, Ihre Assets und Ihre Pipeline zu sichern und Sicherheit wirklich in Ihren DevOps-Prozess einzubetten. In diesem Vortrag führe ich Sie durch die Konzepte von Rugged DevOps, die Risiken, denen Unternehmen derzeit ausgesetzt sind, und spreche über einige Strategien und Tools, die Ihnen helfen können, Sicherheit in Ihre DevOps-Prozesse zu integrieren.

The post Von DevOps zu Rugged DevOps – schnell und mit Built-in-Sicherheit ausliefern appeared first on BASTA!.

Secure Event Sourcing

datasyncer@sandsmedia.com — Wed, 25 Mar 2020 13:34:36 +0000

In Zeiten zunehmender Sicherheitsverletzungen und Einbrüchen in Unternehmensnetzwerken werden sichere Datenaufbewahrung und Schutz von Daten immer wichtiger. Zum einen muss sichergestellt werden, dass Daten im Falle eines Einbruchs nicht gelesen werden können, zum anderen sollte das System damit zurechtkommen, dass Daten gelöscht werden, wenn ein Nutzer einen Löschantrag stellt. Datenbankenmodelle wie Event Sourcing oder Blockchain haben aber den Anspruch, dass Datenfragmente nicht gelöscht werden. Um diese Datenbanken gegen Zugriffe zu sichern und gleichzeitig die Rechte der Nutzer einzuhalten, eignet sich eine Datenverschlüsselung. Das bringt aber auch Komplexität und Latenz mit sich, daher ist eine gute Planung und Architektur nötig. In diesem Vortrag schauen wir uns Secure Event Sourcing an einem Praxisbeispiel an und besprechen die Hürden und Herausforderungen.

The post Secure Event Sourcing appeared first on BASTA!.

Security-Fails in moderner Software

datasyncer@sandsmedia.com — Mon, 06 Jan 2020 09:50:44 +0000

Die immer ansteigende Komplexität von Software erhöht zunehmend die Wahrscheinlichkeit von sicherheitskritischen Bugs. Buffer-Overflows sind im Vergleich zu früher seltener anzutreffen, dennoch sind sie selbst in Java noch vorhanden. Inkonsistente Validierung und unzureichende Verwendung von Daten haben zu einigen Sicherheitsproblemen in z. B. LibreOffice geführt. Sandboxes sind auch anfällig, darunter z. B. die Jenkins Groovy Sandbox, die bereits Probleme mit exotischen Groovy-Funktionalitäten hatte. Im Rahmen des Vortrags werden wir uns an diesen (und weiteren) Fällen im Detail anschauen, was konkret schief gelaufen ist und wie man es hätte verhindern können.

The post Security-Fails in moderner Software appeared first on BASTA!.

Die letzte Verteidigungslinie: Sicherheitsfeatures in Webbrowsern

datasyncer@sandsmedia.com — Thu, 17 Oct 2019 10:16:16 +0000

Moderne Webbrowser unterstützen eine große Menge an Sicherheitsfeatures, die aus Entwicklungssicht genutzt werden können: HTTP-Header, JavaScript-APIs und mehr. Diese Mechanismen können effektiv Cross-Site Scripting, ClickJacking, Cross-Site Request Forgery und andere Angriffe verhindern und vieles mehr. Diese Session zeigt viele dieser Features, diskutiert die Browserunterstützung und zeigt aktuelle Entwicklungen auf, etwa Features, die vor der Einstellung stehen und ersetzt werden müssen.

The post Die letzte Verteidigungslinie: Sicherheitsfeatures in Webbrowsern appeared first on BASTA!.

Von DevOps zu Rugged DevOps – schnell und mit Sicherheit built-in ausliefern

datasyncer@sandsmedia.com — Thu, 17 Oct 2019 10:16:10 +0000

Entwickler und IT-Profis in einem Team zu vereinen, macht sie nicht gleich zu einem DevOps-Team. Und selbst wenn sie reibungslos zusammenarbeiten, gibt es immer wieder das Spannungsfeld Sicherheit. Build and Release Pipelines kümmern sich um die Erstellung und Bereitstellung Ihrer Anwendung, aber sind Ihre Pipelines sicher? Und der Code, den Sie bereitstellen? Bei vielen Releases pro Tag können Sicherheitsverantwortliche nicht jedes Release überprüfen. Bei Rugged DevOps geht es darum, Ihre Assets und Ihre Pipeline zu sichern und Sicherheit wirklich in Ihren DevOps-Prozess einzubetten. In diesem Vortrag führe ich Sie durch die Konzepte von Rugged DevOps, die Risiken, denen Unternehmen derzeit ausgesetzt sind, und spreche über einige Strategien und Tools, die Ihnen helfen können, Sicherheit in Ihre DevOps-Prozesse zu integrieren.

The post Von DevOps zu Rugged DevOps – schnell und mit Sicherheit built-in ausliefern appeared first on BASTA!.

Open-Source-Software und Quellcode aus dem Internet rechtssicher einbinden und nutzen

datasyncer@sandsmedia.com — Thu, 17 Oct 2019 10:16:03 +0000

Gibt es heute noch ein Projekt, das ohne Open-Source-Software auskommt? Doch wann darf ich Open-Source-Software nutzen, wann muss ich meinen Source Code ebenfalls veröffentlichen? Wie verstehe ich die Vielzahl an Lizenzen und welche Feinheiten gilt es zu beachten? Hafte ich oder haftet mein Unternehmen für die eingebundene Software? Und wer kennt das nicht: in Stack Overflow steht die Lösung für mein Problem, also füge ich das Codebeispiel in meinen Source Code ein – doch darf ich das überhaupt? Der Vortrag gibt einen verständlichen Einblick mit detaillierten rechtlichen und technischen Hintergründen zu den geläufigen Open-Source-Lizenzen, Fragen in der Haftung, in lizenz- und urheberrechtliche Fragestellungen wie auch der prozessualen Einbindung in den Entwickler- und Unternehmensalltag in Build Pipelines mit Lösungen wie Blackduck & Co.

The post Open-Source-Software und Quellcode aus dem Internet rechtssicher einbinden und nutzen appeared first on BASTA!.

Das “s” in DevOps steht für Security

datasyncer@sandsmedia.com — Tue, 30 Apr 2019 14:26:55 +0000

DevOps ermöglicht Unternehmen Programmbausteine schneller, zuverlässiger und reproduzierbarer zu entwickeln und in die Software zu integrieren. Häufig bleibt jedoch die Frage ungeklärt, wer sich um die Sicherheit innerhalb des DevOps-Prozesses kümmert. Aufgrund der kurzen Releasezyklen ist die Durchführung von umfänglichen Sicherheitsüberprüfungen für jedes Release der Software nicht praktikabel. In diesem Vortrag wird eine Methode zur Etablierung von Sicherheitsmaßnahmen in modernen DevOps-Umgebungen vorgestellt und aufgezeigt, wie durch Standardisierung die Kontrolle über agile Entwicklungsprozesse erreicht werden kann, ohne diese zu sehr zu beschränken. Durch den Vortrag wird der Zuhörer in die Lage versetzt, Security-Quality-Gates in seiner Entwicklungs-Pipeline zu etablieren.

The post Das “s” in DevOps steht für Security appeared first on BASTA!.

Sicherheit in ASP.NET Core 2.2 und 3.0

datasyncer@sandsmedia.com — Mon, 25 Mar 2019 11:21:40 +0000

ASP.NET Core ist in der aktuellen Version eine stabile und ausgereifte Plattform für Webanwendungen und APIs. Dieser Vortrag gibt einen Überblick über die heutigen und zukünftigen Securityfeatures von ASP.NET Core. Dies soll Ihnen die Evaluierung von ASP.NET Core aus Sicherheitssicht erleichtern.

The post Sicherheit in ASP.NET Core 2.2 und 3.0 appeared first on BASTA!.

Entwickeln von Clients für OpenID Connect und OAuth-2-basierte Architekturen

datasyncer@sandsmedia.com — Mon, 25 Mar 2019 11:21:40 +0000

Tokenbasierte Systeme sind heutzutage die Standardarchitektur. Clients für solche Systeme benötigen eine Strategie, um Tokens zu beantragen und zu verwenden – doch der mit Abstand komplexeste Teil ist die Verwaltung dieser Tokens. In diesem Vortrag beleuchten wir typische Patterns für serverbasierte Anwendungen, mobile Clients und SPAs.

The post Entwickeln von Clients für OpenID Connect und OAuth-2-basierte Architekturen appeared first on BASTA!.

Web Application Security Trends: alte Technik, neue Gefahren

datasyncer@sandsmedia.com — Mon, 25 Mar 2019 11:21:39 +0000

Angriffe wie etwa SQL Injection, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) sind teils zwei Dekaden alt, man sollte sie also kennen. Doch verschärfte Varianten bestehender Methoden sind bereits im Anmarsch: CSRF ohne Nutzerinteraktion, längst vergessene XSS-Varianten, und JavaScript APIs aus dem letzten Jahrtausend. Natürlich gibt es auch neuartigere Angriffe wie etwa unsichere JSON-Deserialisierung, überraschende XML-Injektionen, XSS in SPA-Templates und vieles mehr. Diese Session zeigt zahlreiche dieser Angriffe in Aktion und erläutert selbstverständlich Gegenmaßnahmen. Seien Sie bereit für ein paar überraschende Ansätze, eine Menge Code und eine To-do-Liste, sobald Sie von der Konferenz nach Hause kommen.

The post Web Application Security Trends: alte Technik, neue Gefahren appeared first on BASTA!.

Add Security into your Agile Process

datasyncer@sandsmedia.com — Mon, 25 Mar 2019 11:21:38 +0000

Security is often treated the same way we don’t like to do development, as waterfall: in the beginning or just at the end as a last gateway/check. But of course that isn’t the best way to do it! How can you incorporate security thinking into you daily work together with your customers? How can you...

The post Add Security into your Agile Process appeared first on BASTA!.

Securityevaluierung von Public-Cloud-Anbietern

datasyncer@sandsmedia.com — Mon, 29 Oct 2018 11:12:43 +0000

Die explosionsartige Verbreitung von Cloud Computing führt immer noch zu offenen Fragen, wenn es um die Sicherheit der eigenen Daten und Dienste geht: Daten werden nicht mehr in der eigenen Infrastruktur verarbeitet, sondern verlassen diese und entziehen sich somit der eigenen Kontrolle. Der Vortrag behandelt die generellen Sicherheitsaspekte bei der Nutzung von Public-Cloud-Diensten. Dazu zählen u. a. eine detaillierte Betrachtung der Grundlagen, Bedrohungen und Risiken im Public-Cloud-Umfeld. Vorgestellt werden außerdem selbst entwickelte Securitymodelle, Risiko- und Trust-Metriken, die basierend auf der Erfahrung aus einer Reihe von Sicherheitsevaluierungen entstanden sind. Weiterhin wird behandelt, wie die Automatisierungsmöglichkeiten von Cloud-Umgebungen für eine Verbesserung der allgemeinen IT-Security-Lage genutzt werden können.

The post Securityevaluierung von Public-Cloud-Anbietern appeared first on BASTA!.

Das unbekannte Verteidigungsmittel: sicherheitsrelevante APIs im Browser

datasyncer@sandsmedia.com — Thu, 18 Oct 2018 10:57:07 +0000

Früher galten Webbrowser als das Sicherheitsproblem #1 im World Wide Web. Heutzutage sind sie der letzte Schutzwall. In den vergangenen Jahren wurden zahlreiche Schutzmechanismen und APIs in die Webbrowser integriert, die entweder vor Angriffen schützen, Sicherheitsprotokolle umsetzen oder andere sicherheitsrelevante Funktionalitäten wie etwa Verschlüsselung anbieten. Wir gehen sechzig Minuten lang auf die Reise durch die...

The post Das unbekannte Verteidigungsmittel: sicherheitsrelevante APIs im Browser appeared first on BASTA!.

Was gibt es Neues in der Web Application Security?

datasyncer@sandsmedia.com — Thu, 18 Oct 2018 10:57:07 +0000

Angriffe wie etwa SQL Injection, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) sind teils über eine Dekade alt, man sollte sie also kennen. Doch verschärfte Varianten bestehender Methoden sind bereits im Anmarsch: CSRF ohne Nutzerinteraktion, längst vergessene XSS-Varianten, und JavaScript-APIs aus dem letzten Jahrtausend. Natürlich gibt es auch neuartigere Angriffe wie etwa unsichere JSON-Deserialisierung, überraschende XML-Injektionen und vieles mehr. Diese Session zeigt zahlreiche dieser Angriffe in Aktion und erläutert selbstverständlich Gegenmaßnahmen. Seien Sie bereit für ein paar überraschende Ansätze, eine Menge Code und eine To-do-Liste, sobald Sie von der Konferenz nach Hause kommen.

The post Was gibt es Neues in der Web Application Security? appeared first on BASTA!.

Linux-Sicherheit für .NET-Entwickler

datasyncer@sandsmedia.com — Fri, 20 Apr 2018 13:34:17 +0000

Die traditionelle Hacking Night School präsentiert regelmäßig aktuelle Angriffstechniken, erläutert neue Bedrohungen und stellt mögliche Gegenmaßnahmen dar. In dieser Iteration werden wir uns mit
Sicherheitsmaßnahmen und -schwachstellen unter Linux beschäftigen. Mit der Verfügbarkeit von .NET Core auf Linux ergibt sich für viele .NET-Entwickler und -Architekten erstmals die Notwendigkeit, sich mit
(Sicherheits-)Features der Linux-Plattform auseinanderzusetzen. Wir werden daher diverse Fehlkonfigurationen, Antipatterns und Schwachstellen unter Linux beleuchten und klare Hardening-Anweisungen geben, die für den sicheren Linux-Betrieb (mit einem besonderen Fokus auf .NET Core) notwendig sind.

The post Linux-Sicherheit für .NET-Entwickler appeared first on BASTA!.

Autorisierung in Webanwendungen und APIs

datasyncer@sandsmedia.com — Fri, 24 Nov 2017 15:27:23 +0000

Authentifizierung ist einfach, Autorisierung ist der komplizierte Teil. Der Grund dafür ist, dass es hier oftmals kein „Rezept“ gibt und vieles vom konkreten Anwendungsfall abhängt. Der Vortrag betrachtet verschiedene Ansätze, Fallstricke und Do’s and Dont’s. Abschließend wird ein Vorschlag einer Referenzarchitektur für moderne Anwendungen vorgestellt, die Konzepte wie OpenID Connect, OAuth 2.0, Tokens und Claims...

The post Autorisierung in Webanwendungen und APIs appeared first on BASTA!.

Night School: Einführung in Linux-Sicherheit

datasyncer@sandsmedia.com — Tue, 07 Nov 2017 18:12:07 +0000

Die traditionelle Hacking Night School präsentiert regelmäßig aktuelle Angriffstechniken, erläutert neue Bedrohungen und stellt mögliche Gegenmaßnahmen dar. In dieser Iteration werden wir uns mit Sicherheitsmaßnahmen und -Schwachstellen unter Linux beschäftigen. Mit der Verfügbarkeit von .NET Core auf Linux ergibt sich für viele .NET-Entwickler und Architekten erstmals die Notwendigkeit, sich mit (Sicherheits-)Features der Linux-Plattform auseinanderzusetzen. Wir werden daher diverse Fehlkonfigurationen, Antipatterns und Schwachstellen unter Linux beleuchten und klare Hardening-Anweisungen geben, die für den sicheren Linux-Betrieb notwendig sind.

The post Night School: Einführung in Linux-Sicherheit appeared first on BASTA!.

Websicherheit: Browser schlagen zurück

datasyncer@sandsmedia.com — Wed, 18 Oct 2017 15:27:55 +0000

Noch immer ist das Thema Web-Application-Security omnipräsent, nicht nur aufgrund aktueller Vorfälle bei großen Firmen und bekannten Websites. Und da es Entwickler offensichtlich nicht hinbekommen, ihre Websites abzusichern, stellen sich mittlerweile die Browser an ihre Seite und bieten eigene Schutzmaßnahmen. Hierzu gehören eingebaute XSS-Filter, Support für neue HTTP-Header als Gegenmittel für zahlreiche Angriffsvektoren und vieles...

The post Websicherheit: Browser schlagen zurück appeared first on BASTA!.

ASP.NET Core 2 und MVC-Sicherheit – eine Übersicht

datasyncer@sandsmedia.com — Wed, 18 Oct 2017 15:27:54 +0000

ASP.NET Core 2 ist Microsofts nagelneue Cross-Plattform-Runtime zum Entwickeln von serverseitigen .NET-Anwendungen. MVC Core ist das dazugehörige Framework für Webanwendungen und APIs. Entsprechend neu sind auch die Konzepte für das Absichern von Anwendungen: Authentifizierung, Autorisierung, Datenschutz – es gibt eine Menge zu lernen.

The post ASP.NET Core 2 und MVC-Sicherheit – eine Übersicht appeared first on BASTA!.

OWASP Top Ten 2017 – jetzt erst recht

datasyncer@sandsmedia.com — Wed, 18 Oct 2017 15:27:54 +0000

Seit 2003 ist die Top-Ten-Liste des Open Web Application Security Projects die bekannteste Veröffentlichung zum Thema Risiken für Webanwendungen. Eigentlich 2016 geplant, dann auf Anfang 2017 verschoben und nach diversen internen Streitereien doch erst Ende 2017 erschienen, verbindet die aktuelle Liste klassische Angriffe mit Risiken für moderne Webapplikationen. Wir werfen einen Blick auf die zehn Punkte der Liste, stellen die dahinter liegenden Risiken vor und analysieren, was das für die Entwicklung von ASP.NET-Webanwendungen bedeutet.

The post OWASP Top Ten 2017 – jetzt erst recht appeared first on BASTA!.

Abomodelle für Software aus Business- und Techniksicht

datasyncer@sandsmedia.com — Wed, 02 Aug 2017 06:07:39 +0000

Seit einigen Jahren haben Abomodelle einen festen Platz ganz oben in der Liste der beliebtesten Lizenzmodelle von Softwareherstellern. Warum ist das so? Für den Endanwender bieten sie eine Möglichkeit zu einem kostengünstigen Einstieg mit einer flexiblen Laufzeit und einer Aktualitätsgarantie. Der Hersteller benötigt auf der anderen Seite einen längeren Atem, verfügt aber über eine kontinuierliche Einnahmequelle. Auch im B2B-Segment sind die Abomodelle nicht mehr wegzudenken. Die Session beleuchtet verschiedene bewährte Businessansätze und zeigt auch technische Ansätze der Realisierung. Dabei werden sowohl die Sicht des Entwicklers, aber auch die der Endanwender und des Softwareherstellers berücksichtigt.

The post Abomodelle für Software aus Business- und Techniksicht appeared first on BASTA!.

Cybersecurity – Understand the Microsoft Secure Mission

datasyncer@sandsmedia.com — Wed, 21 Jun 2017 08:15:54 +0000

There is not one single day where the topic security is not creating top headlines in the press creating a tremendous damage to our economy. Microsoft is one of the most important security companies worldwide even we are not broadly known for this skill set. The knowledge we are gaining from operating and securing a huge number of heavily used cloud services flows back into security initiatives, partnerships and our products and positions us as the company that leads with security. We are one step ahead of cybersecurity attacks as we are facing billions of daily authentications, transactions, devices updates and search requests in our cloud services and therefore are front row with every new attack coming up. In this session we want to give you a comprehensive view on security requirements in the world of digital transformation. We will enlighten why security requirements have drastically changed from past times in todays innovative and mobile work environment. We will show you convincing demos demonstrating the protect – detect – respond pattern we use in our security approach.

The post Cybersecurity – Understand the Microsoft Secure Mission appeared first on BASTA!.

IT-Sicherheit und agile Entwicklung? Geht das? Sicher!

datasyncer@sandsmedia.com — Wed, 26 Apr 2017 07:04:08 +0000

Unit-Tests, Integrationstests und Co. machen es möglich, zu überprüfen, ob entwickelte Software den funktionalen Anforderungen entspricht. Durch die zunehmende Vernetzung von Softwaresystemen und die Auslagerung von Anwendungen in die Cloud und das Internet werden aber auch Securityanforderungen immer relevanter. Traditionelle Qualitätssicherungsmethoden laufen hier oft ins Leere. Wenn überhaupt, wird meist nur am Ende stichprobenartig getestet, ob eine Software sicher ist. Fallen Sicherheitsmängel erst so spät auf, sind sie in der Regel aber nur schwierig zu beheben, und schlimmstenfalls müssen sogar ganze Anwendungsteile neu entwickelt werden. Deshalb ist es sinnvoll, IT-Sicherheit möglichst früh im Entwicklungsprozess zu berücksichtigen, um teure Schwachstellen zu vermeiden. Aber wie können Sicherheitsrisiken frühzeitig ermittelt und bei der agilen Entwicklung berücksichtigt werden? Eine Lösung ist ein Security Aware Development, bei dem IT-Sicherheitsanforderungen fest in den agilen Entwicklungsprozess integriert werden.

The post IT-Sicherheit und agile Entwicklung? Geht das? Sicher! appeared first on BASTA!.

Content Security Policy – Tod dem Cross-Site Scripting!

datasyncer@sandsmedia.com — Fri, 24 Mar 2017 09:28:45 +0000

Cross-Site Scripting (XSS) ist seit Bestehen der OWASP Top 10 immer auf einem der drei vorderen Plätze vertreten gewesen. Nach über einem Jahrzehnt voller furchtbarer Angriffe und Probleme gibt es endlich Hoffnung. Mit Content Security Policy (CSP) gibt es einen aktuellen Standard, der von den meisten Browsern umgesetzt wird und XSS Einhalt gebieten kann – wenn man weiß, wie. Doch nicht jede Website kann von CSP profitieren, teilweise sind erhebliche Umbauarbeiten notwendig. In dieser Session werfen wir einen kurzen Blick auf den aktuellen Stand von XSS und analysieren dann alle wichtigen Aspekte von CSP inklusive Features, Beschränkungen, Einsatzmöglichkeiten und Browserunterstützung.

The post Content Security Policy – Tod dem Cross-Site Scripting! appeared first on BASTA!.

Hacking Night School: Docker Security und DevOps Fails

datasyncer@sandsmedia.com — Fri, 24 Mar 2017 09:28:45 +0000

In dieser Hacking Night School werden wir uns mit dem Thema Docker und DevOps beschäftigen. Dabei beleuchten wir zunächst Sicherheitslücken, die sich beim Betrieb von Docker ergeben können, und wie diese (auch in einer praktischen Demo) ausgenutzt werden können. Darauf aufbauend werden verschiedene Dev-Ooops War Stories vorgestellt, die in der eigenen Entwicklungslandschaft vermieden werden sollten.

The post Hacking Night School: Docker Security und DevOps Fails appeared first on BASTA!.

ASP.NET-Core- und MVC-Sicherheit – eine Übersicht

datasyncer@sandsmedia.com — Fri, 24 Mar 2017 09:28:44 +0000

ASP.NET Core ist Microsofts nagelneue Cross-Plattform-Runtime zum Entwickeln von serverseitigen .NET-Anwendungen. MVC Core ist das dazugehörige Framework für Webanwendungen und APIs. Entsprechend neu sind auch die Konzepte für das Absichern von Anwendungen: Authentifizierung, Autorisierung, Datenschutz – es gibt eine Menge zu lernen.

The post ASP.NET-Core- und MVC-Sicherheit – eine Übersicht appeared first on BASTA!.

Data Access Q&A

datasyncer@sandsmedia.com — Fri, 24 Mar 2017 09:28:43 +0000

Die ursprünglich für diesen Slot vorgesehen Session fällt leider aus. Die gute Nachricht dabei: André Krämer und Dr. Holger Schwichtenberg beantworten Ihre Fragen rund um das Thema Datenzugriff, z.B. EF oder EFCore? Oder doch noch nHibernate? Wann ist EFCore reif? Lieber selbst einen ORM schreiben? Was ist mit dem DataSet? Was mache ich in verteilten...

The post Data Access Q&A appeared first on BASTA!.

2FA, WTF?

datasyncer@sandsmedia.com — Tue, 07 Feb 2017 13:32:38 +0000

Everyone is hacking everything. Everything is vulnerable: Your site, your users, even you. Are you worried about this? You should be! Don’t worry, I’m not trying to scare you (that much). We have plenty of safeguards against attempts on our applications’ user data. We all (hopefully) recognise Two Factor Auth as one of those safeguards, but what actually goes on under the hood of 2FA? We’ll take a look into generating one time passwords, implementing 2FA in web applications and the only real life compelling use case for QR codes. Together, we’ll make the web a more secure place.

The post 2FA, WTF? appeared first on BASTA!.

Eröffnung und Panel: Veränderung in der IT – notwendiges Übel oder Chance?

datasyncer@sandsmedia.com — Tue, 31 Jan 2017 11:46:19 +0000

Veränderung gehört in der IT zur Normalität, aber nicht immer passiert sie so schnell wie im Moment. Was macht man, wenn die Möglichkeiten zur Veränderung wachsen, wie erkennt man die Notwendigkeit, die Veränderung mitzugehen, und wie verändert man sich als Entwickler und Unternehmen überhaupt?
Muss man wirklich jeden Hype mitmachen und jede neue Technologie mitnehmen? Wie prüft man, welche Vorteile sich auftun, und wie erkennt man offensichtliche Nachteile? Manchmal ist ein bisschen Beharrungsvermögen und Sturheit doch auch nicht schlecht. Oder ist der Ruf nach Veränderung das reine Ärgernis? An den drei beispielhaften Themen Angular, Docker und Conversational UI werden Rainer Stropek, Manfred Steyer und Roman Schacherl die technologischen und persönlichen Gründe vorstellen und diskutieren, die sie über die Jahre immer wieder dazu bewogen haben, ihre Arbeitsweise, die Arbeit ihrer Kunden und sich selbst zu verändern.

The post Eröffnung und Panel: Veränderung in der IT – notwendiges Übel oder Chance? appeared first on BASTA!.

Blurry-Box-Kryptografie – Softwareschutz nach dem Kerckhoffs’schen Prinzip

datasyncer@sandsmedia.com — Tue, 13 Dec 2016 10:37:15 +0000

Der Vortrag stellt die Theorie hinter der Blurry-Box-Kryptografie vor. Blurry-Box-Kryptografie ist eine Technologie, die von Karlsruher Instituts für Technologie (KIT), WIBU-Systems und FZI Forschungszentrums Informatik entwickelt und mit dem 5. Deutschen IT-Sicherheitspreis ausgezeichnet wurde. Herkömmliche Ansätze um Software gegen Reverse Engineering zu schützen wie Obfuskierung (Verschleierung) und Verschlüsslung mit einem Wrapper basieren auf der Geheimhaltung der Verfahren. Im Gegensatz dazu ist bei Blurry-Box-Kryptografie, ganz im Einklang mit dem Kerckhoffs’schen Prinzip, nur der Schlüssel geheim und das komplette Verfahren öffentlich bekannt. Neben der Theorie wird im Vortrag gezeigt, welche Teile und Methoden der Blurry-Box-Kryptografie bereits heute in einer .NET-Anwendung verwendet werden können.

The post Blurry-Box-Kryptografie – Softwareschutz nach dem Kerckhoffs’schen Prinzip appeared first on BASTA!.

ASP.NET-Core- und MVC-Sicherheit – what’s new?

datasyncer@sandsmedia.com — Thu, 27 Oct 2016 10:44:45 +0000

ASP.NET Core ist Microsofts nagelneue Cross-Plattform Runtime zum Entwickeln von serverseitigen .NET-Anwendungen. MVC Core ist das dazugehörige Framework für Webanwendungen und APIs. Entsprechend neu sind auch die Konzepte für das Absichern von Anwendungen: Authentifizierung, Autorisierung, Datenschutz – es gibt eine Menge zu lernen.

The post ASP.NET-Core- und MVC-Sicherheit – what’s new? appeared first on BASTA!.

Night School: Security Appliances: Sicherheitsfeature oder Schwachstelle?

datasyncer@sandsmedia.com — Thu, 27 Oct 2016 10:44:45 +0000

Die traditionelle Hacking Night School präsentiert regelmäßig aktuelle Angriffstechniken, erläutert neue Bedrohungen und stellt mögliche Gegenmaßnahmen dar. In dieser Iteration werden wir Security Appliances kritisch beleuchten. Produkte, die eigentlich zum Schutz von Netzwerken entworfen werden, enthalten häufig kritische Schwachstellen, die sogar zu neuen Einfallstoren in Umgebungen werden können. Wir werden diverse dieser Schwachstellen vorstellen und...

The post Night School: Security Appliances: Sicherheitsfeature oder Schwachstelle? appeared first on BASTA!.

Security-Workshop: Identity und Access Control für moderne Anwendungen und APIs

datasyncer@sandsmedia.com — Mon, 17 Oct 2016 12:55:18 +0000

Moderne Anwendungen brauchen moderne Sicherheit – das gilt umso mehr für die heutzutage sehr typischen Mobile-Web-/Native-basierenden Architekturen und die dazugehörigen API-Backends. Wer solche Anwendungen realisieren möchte, sollte sich mit dem modernen Securitystack bestehend aus OpenID Connect, OAuth 2.0 und JSON Web Tokens auskennen sowie deren Implementierung in ASP.NET und MVC und Web-API. Dieser Workshop gibt...

The post Security-Workshop: Identity und Access Control für moderne Anwendungen und APIs appeared first on BASTA!.

OWASP Top Ten 2017

datasyncer@sandsmedia.com — Mon, 17 Oct 2016 12:55:18 +0000

Seit 2003 ist die Top-Ten-Liste des Open Web Application Security Projects die bekannteste Veröffentlichung zum Thema Risiken für Webanwendungen. Eigentlich 2016, aber dann doch erst 2017 ist turnusmäßig die nächste Ausgabe erscheinen. Wir werfen einen Blick auf die zehn Punkte der Liste, stellen die dahinter liegenden Risiken vor und analysieren, was das für die Entwicklung von ASP.NET-Webanwendungen bedeutet. Und wenn die Liste wider Erwarten nicht rechtzeitig fertig werden sollte, nehmen wir die vorherige Ausgabe von 2013, ergänzt um neue Entwicklungen rund um das Thema Web Application Security.

The post OWASP Top Ten 2017 appeared first on BASTA!.