Heute habe ich diese schönen Plakate zur IT-Security Vortragsreihe entdeckt, die am 18.05.2004 auch im Konrad-Zuse-Hörsaal Station machen wird.
Secure Application Development – Im Rahmen dieser halbtägigen Veranstaltung erfahren Sie alles Wissenswerte über die Entwicklung sicherer Anwendungen. Microsoft Sicherheitsexperten geben einen umfassenden Überblick zur Programmierung sowie Implementierung von sicheren Applikationen. Zahlreiche Beispiele und Live-Demos ergänzen die Expertenbeiträge und eine abschließende Q&A-Session bietet ausreichend Raum für den Austausch über die wichtigsten Sicherheitskonzepte!
Veranstaltungsübersicht
Grundlagen der Anwendungssicherheit (45 Min.)
Dieser einführende Vortrag erläutert die grundlegende Bedeutung der Anwendungssicherheit. Neben sicheren Verfahren zur Anwendungsentwicklung und diversen Sicherheitstechnologien werden auch Richtlinien für eine sichere Programmierung vorgestellt.
- Pause: 15 Min. -
Schreiben von sicherem Code (90 Min.)
Die Umsetzung eines sicheren Entwicklungsprozesses steht im Mittelpunkt dieses Beitrags. Anhand von Beispielen und Demos werden mögliche Risiken skizziert und orientiert an Lösungsmodellen wird aufgezeigt, wie man sich wirkungsvoll gegen Bedrohungen schützen kann.
- Pause: 30 Min. -
Schreiben von sicherem Code (60 Min.)
Hier werden die .NET Framework-Sicherheitsfeatures vorgestellt und die Themen Codezugriffssicherheit, funktionsbasierter Sicherheit sowie Kryptographie aufgegriffen. Außerdem die Teilnehmer mehr über die Absicherung von ASP.NET-Webanwendungen und -Webdiensten.
Q&A-Session für weitere Diskussion und Austausch (30 Min.)
(
http://www.securityroadshow.de - dort kann man sich auch anmelden und gewinnen).
Nun stelle ich mir die Frage:
Microsoft will uns etwas über Anwendungssicherheit erzählen?! Klingt das für euch auch so komisch wie für mich?[img]
http://www.fb18.de/gfx/12.gif[/img]
Ach ja…
In den Pausen stehen die Microsoft Experten bei Snacks und Getränken Rede und Antwort
Na, denn.
Anschließenbd gibt es noch eine Podiumsdiskussion.
Ja, steht auch in nem anderen Thread schon.
Lustig finde ich das die Insecurity Roadshow doch grade erst an der UniHH war?
Vielleicht hats bei den WiWis so gut geklappt das sie sich jetzt an uns rantraun? ;)
Sehr nett; ich war zwar nur im Mittelteil da, aber die belegten Broetchen waren gut und Getraenke gabs auch. Ausserdem ein nettes schwarzes T-Shirt.
Das T-Shirt ging so, werde es, durch aufsprühen von Tux, "verbessern".
Zum Inhalt der Veranstaltung:
Für eine Veranstaltung an einer Universiät fand ich das Neveau doch ziemlich niedrig.
fand ich das Neveau doch ziemlich niedrig.
Ja, ich fand das Niwo auch echt mies.
Wie jetzt Nivea? Ich dachte Mircosoft?
http://www.sternenvolk.de/fs_irre.wav
http://www.sternenvolk.de/fs_irre.wav
Dieses Ärzte-Sample ("Soll ich jetzt den Knaller zünden?…") hätte man ja fast besser nach nebenan ins
Admin-Thema stellen können. Schließlich ist der auf der "13" direkt vor "Männer sind Schweine". [img]
http://www.fb18.de/gfx/24.gif[/img]
War jemand da? Wie wars?
Der erste Teil war ganz nett: eine praktische Vorlesung zu Buffer Overflows, SQL injections, etc.
Danach eine langweilige Werbeveranstaltung für .NET, in der der Vortragende 30 Minuten brauchte um zu erklären, daß man .NET-Code mit ACLs Rechte vergeben kann.
Die Diskussion lief darauf hinaus, daß der »Alte Sack« seine Meinung gegenüber Microsoft aussprach.
Aber das T-Shirt ist cool. Und noch cooler ist es, Informatiker damit rumlaufen zu sehen. :)
Gibts n Foto vom T-Shirt?
Ah schön. Das wollte ich auch gerade schreiben.
Geht wieder. Waren Wartungsarbeiten am Server.
MoKrates
fand ich das Neveau doch ziemlich niedrig.
Ja, ich fand das Niwo auch echt mies.
Ich fand das Niveau höher als bei den meisten Haupstudium Grundlagen-Vorlesungen. Bei .Net wurde es zugegebenermaßen langweilig, aber das lag IMO eher an den teilweise etwas dummen Fragen und Zwischenbemerkungen aus dem Plenum.
Wirklich bezeichnend finde ich, dass die Sicherheitsaspekte in unserem Studium kaum eine Rolle spielen: In DIS kommen SQL-Injections nicht vor (es wird ja auch die ganze Zeit P3 wiederholt, da hat man für sowas keine Zeit…), in Projekten wo mit Datenbanken gearbeitet wird, programmieren die meisten genau so wie man es nicht machen sollte (d.h. unsicher!) und Brunnstein erzählt in GBI zwar immer davon, dass man sichere Systeme programmieren kann (also solche, die nicht von männlichen pubertierenden Jugendlichen zwischen 15 und 50 gehackt werden können…), aber er sagt nicht wie. Ich bin wirklich gespannt, ob er in seiner Vorlesung noch etwas bringt was in Richtung der von ihm versprochenen technischen Vorlesung geht.
[Mokrates im MS-Shirt]
Ahahaha! hahaha! ahahahaah! Das Bild wird dich jetzt deinen Lebtag verfolgen! [img]
http://www.fb18.de/gfx/25.gif[/img]
Wirklich bezeichnend finde ich, dass die Sicherheitsaspekte in unserem Studium kaum eine Rolle spielen
Nun, vielleicht besuchst du einfach die falschen Veranstaltungen? [img]
http://www.fb18.de/gfx/22.gif[/img] In "Aktuelle Probleme der IT- und Netzsicherheit" (Projektseminar von Brunnstein und Seedorf) kamen die Sicherheitslücken wohl dran. Insbesondere über Bufferoverflows haben wir da mal einen sehr guten Vortrag gehört.
Das ist eine Spezial-Veranstaltung. Aber sollte es nicht eher so sein, dass die jeweiligen Probleme auch in den jeweiligen Grundlagen-Veranstaltungen (also z.B. SQL-Injections in DIS) drankommen?
Ich glaube nicht, dass alles das, was in der VL behandelt wird, dann noch in selbiger unterzubringen ist, wenn man bei jedem Thema noch im Einzelnen auf eventuelle Risiken eingeht. Oder aber die Veranstaltung bekommt eine SWS mehr..
Wirklich bezeichnend finde ich, dass die Sicherheitsaspekte in unserem Studium kaum eine Rolle spielen
Nun, vielleicht besuchst du einfach die falschen Veranstaltungen? [img]http://www.fb18.de/gfx/22.gif[/img] In "Aktuelle Probleme der IT- und Netzsicherheit" (Projektseminar von Brunnstein und Seedorf) kamen die Sicherheitslücken wohl dran. Insbesondere über Bufferoverflows haben wir da mal einen sehr guten Vortrag gehört.
Wie viele machen dieses Projektseminar mit?
Wenn Sicherheit in den Grundlagen keine Rolle spielt, werden auch nur diejenigen, die ihr Wissen mit den wenigen Veranstaltungen zu diesem Thema vertieft haben, sicheren Code schreiben.
Ich glaube nicht, dass alles das, was in der VL behandelt wird, dann noch in selbiger unterzubringen ist, wenn man bei jedem Thema noch im Einzelnen auf eventuelle Risiken eingeht. Oder aber die Veranstaltung bekommt eine SWS mehr..
Man könnte auch die ganzen Wiederholungen von Stoff aus dem Grundstudium weglassen.
Letztlich ist es immer eine Frage der Priorität. Da könnte man dann auch darüber streiten, ob man in GBI stundenlang über jeden kleinen Wurm-Programmierer sprechen muss (Brunnstein in der Vorlesung: "Prüfungs-Frage: Was für eine Malware hat Mafia-Boy geschrieben?") und alle Paragraphen zum Datenschutz auswendig kennen muss. Hier wäre die Sicherheit IMO am Besten aufgehoben, nur leider ist die Vorlesung meilenweit vom gestellten Anspruch (laut Brunnstein eine technische Vorlesung und nicht nur Gelaber) entfernt.
Wie viele machen dieses Projektseminar mit?
Wenn Sicherheit in den Grundlagen keine Rolle spielt, werden auch nur diejenigen, die ihr Wissen mit den wenigen Veranstaltungen zu diesem Thema vertieft haben, sicheren Code schreiben.
Jedem steht es frei, dieses Seminar zu besuchen. Wer das nicht will, kann immernoch Bücher lesen, sofern ihm was an sicherem Code liegt.
Man könnte auch die ganzen Wiederholungen von Stoff aus dem Grundstudium weglassen.
Letztlich ist es immer eine Frage der Priorität. Da könnte man dann auch darüber streiten, ob man in GBI stundenlang über jeden kleinen Wurm-Programmierer sprechen muss (Brunnstein in der Vorlesung: "Prüfungs-Frage: Was für eine Malware hat Mafia-Boy geschrieben?") und alle Paragraphen zum Datenschutz auswendig kennen muss. Hier wäre die Sicherheit IMO am Besten aufgehoben, nur leider ist die Vorlesung meilenweit vom gestellten Anspruch (laut Brunnstein eine technische Vorlesung und nicht nur Gelaber) entfernt.
Hättest du etwas genauer geschaut, wie die VL aufgebaut ist, so hättest du feststellen können, dass zunächst die möglichen Risiken und Gefahren erörtert werden, dann die rechtlichen Grundlagen und dann die Maßnahmen zur Sicherung.. ich gehe davon aus, dass das noch kommt, auch wenn Brunni zugegebenermaßen manchmal etwas ausschweifend über die aktuellen Bedrohungen durch Viren berichtet.
Wie viele machen dieses Projektseminar mit?
Wenn Sicherheit in den Grundlagen keine Rolle spielt, werden auch nur diejenigen, die ihr Wissen mit den wenigen Veranstaltungen zu diesem Thema vertieft haben, sicheren Code schreiben.
Jedem steht es frei, dieses Seminar zu besuchen.
Das ist es ja gerade. Jedem steht es frei, das Seminar NICHT zu besuchen. Und dann wundert man sich, warum die Leute keinen sicheren Code schreiben können.
Hättest du etwas genauer geschaut, wie die VL aufgebaut ist, so hättest du feststellen können, dass zunächst die möglichen Risiken und Gefahren erörtert werden, dann die rechtlichen Grundlagen und dann die Maßnahmen zur Sicherung.. ich gehe davon aus, dass das noch kommt, auch wenn Brunni zugegebenermaßen manchmal etwas ausschweifend über die aktuellen Bedrohungen durch Viren berichtet.
Ich habe mir sehr genau angesehen, wie die Vorlesung aufgebaut ist. Und da die Hälfte des Semesters vorbei ist und wir von 11 Kapiteln gerade beim 3. angekommen sind ist zumindest mir klar, dass der Rest sehr viel weniger ausführlich dran kommt, als das bisherige.
"etwas ausschweifend" als Beschreibung von Brunnsteins Vorlesungsstil finde ich wirklich stark untertrieben. Den bisherigen Inhalt hätte man ohne Abstriche in 2 Wochen unterbringen können.
UncleOwens Kommentar geht genau auf das ein, was ich auch meine.
Die Microsoft-Programmierer müssen nicht alles Basic-Autodidakten sein, die könnten genau so gut von unserer Uni kommen und genau so viele Fehler und Sicherheitslücken produzieren wie bisher.
Die Microsoft-Programmierer müssen nicht alles Basic-Autodidakten sein, die könnten genau so gut von unserer Uni kommen und genau so viele Fehler und Sicherheitslücken produzieren wie bisher.
Jetzt gehts aber los.
1. Die Uni ist mit Sicherheit keine Programmiererschmiede.
2. Das Wissen um sicherheitsrelevante Aspekte des Programmierens hat nicht zwangsläufig sicheren Code zur Folge.
3. Tausenden von Microsoftprogrammierern mangelnde Ausbildung zu unterstellen ist einfach plump. Microsoft hat bisher zuwenig Wert auf Sicherheitsaspekte und Fehlerbereinigung gelegt; das find ich auch. Nebenbei Open-Source wird mit Sicherheit nicht sauberer programmiert.
Auf in den FW.
Joah. Das letzte Posting trifft es doch wunderbar.
Hättest du etwas genauer geschaut, wie die VL aufgebaut ist, so hättest du feststellen können, dass zunächst die möglichen Risiken und Gefahren erörtert werden, dann die rechtlichen Grundlagen und dann die Maßnahmen zur Sicherung.. ich gehe davon aus, dass das noch kommt, auch wenn Brunni zugegebenermaßen manchmal etwas ausschweifend über die aktuellen Bedrohungen durch Viren berichtet.
Ich habe schon ein paarmal von Brunnstein selbst gehört, daß er wohl nicht mehr ganz im Terminplan liegt. Ich hoffe aber auch, daß wir irgendwann noch mal zum konstruktiven Teil der Vorlesung kommen werden.
Nen FW wollte ich nicht provozieren. Deshalb jetzt mein letztes Posting, um Missverständnisse klarzustellen.
Zu 1): Das habe ich auch nie behauptet. Ich würde es aber sinnvoller finden etwas über das Schreiben von sicherem Code und die Funktionsweise von Angriffen zu lernen, als stundenlang etwas über die Autoren von Malware zu hören.
Zu 2): Es ist aber Voraussetzung dafür!
Zu 3): Das mit den Microsoft-Programmierern als Basic-Autodidakten ist ein Zitat von Brunnstein und nicht meine Meinung. Hätte ich vielleicht deutlich machen sollen, aber ich war davon ausgegangen, dass alle die hier mitdiskutieren bei der MSR dabei waren.
Ich halte ebenfalls OS nicht generell für sicherer oder sauberer programmiert. Ich nutze selbst MS-Produkte und hatte (dank regelmäßiger Updates, Zusatzprogrammen und geeigneter Konfiguration) nie Probleme mit der Sicherheit.
![http://mokrates.de/~mmolle/mo-ms-tshirt.png]http://mokrates.de/~mmolle/mo-ms-tshirt.png[/url](http://mokrates.de/~mmolle/mo-ms-tshirt.png]http://mokrates.de/~mmolle/mo-ms-tshirt.png[/url){kind=link}
![http://mokrates.de/%7Emmolle/mo-ms-tshirt.png]http://mokrates.de/%7Emmolle/mo-ms-tshirt.png[/url](http://mokrates.de/%7Emmolle/mo-ms-tshirt.png]http://mokrates.de/%7Emmolle/mo-ms-tshirt.png[/url){kind=link}
