Practical Web Application Security – Teil 2

29. August 2017 von Christoph Buchli 0 Veröffentlicht unter Digitale Transformation, Hosting/Zusatzdienste, TYPO3 Website, Intranet & Extensions, Wartung & Support, Web Applications Verschlagwortet mit , , , ,

Wie ich in meinem Blogbeitrag von vergangener Woche aufgezeigt habe, ist Software-Sicherheit kein Thema, das uns nur während der eigentlichen Implementierung der Lösung beschäftigen sollte. Um die Kosten für Security im Rahmen zu halten, muss zwingend der gesamte Lebenszyklus einer Softwarelösung berücksichtigt werden. Die Lebensabschnitte eines typischen Webprojektes habe ich dementsprechend in die vier Phasen aufgeteilt: Initiierung, Konzeption, Umsetzung und Betrieb. Die ersten beiden Phasen habe ich in Teil 1 des …

Weiterlesen

Practical Web Application Security – Teil 1

22. August 2017 von Christoph Buchli 0 Veröffentlicht unter Digitale Transformation, Hosting/Zusatzdienste, Know-how/Tipps&Tricks, TYPO3 Website, Intranet & Extensions, Wartung & Support, Web Applications Verschlagwortet mit , , , ,

In diesem zweiteiligen Blogbeitrag möchte ich einen Denkanstoss zum Thema Informationssicherheit von Webapplikationen geben. Im Fokus stehen dabei Webapplikationen im Umfang und Funktionalität, wie sie von snowflake angeboten werden. Die Überlegungen sind auch generell für die Softwareentwicklung relevant und können entsprechend optimiert angewendet werden. Websites und Applikationen sind ständiger Gefahr durch Hacker ausgesetzt TL;DR Informationssicherheit wird im Umfeld von kleinen bis mittelgrossen Webprojekten relativ wenig Aufmerksam zuteil. Dabei wissen viele …

Weiterlesen

HTTP(s) Caching mit Varnish + TLS/SSL Zertifikat + TYPO3 = ?!?

28. Januar 2015 von Kevin Häfeli 0 Veröffentlicht unter Hosting/Zusatzdienste, TYPO3 Website, Intranet & Extensions Verschlagwortet mit , , , , , ,

Oder: wie man seine (TYPO3) Webseite beschleunigt und trotzdem von einem Sicherheitszertifikat profitiert.   Die Thematik Sicherheitszertifikate für Webseiten verschlüsseln den Datenverkehr zwischen dem Server und dem Besucher, erhöhen die Vertrauenswürdigkeit sowie das Google Ranking. Doch was ist, wenn man neben verschlüsseltem Datenverkehr auch von einer beschleunigten Webseite profitieren will? Um die Website Performance zu erhöhen eignet sich ein Varnish HTTP Cache. Doch Varnish unterstützt keine sicheren TLS/SSL Verbindungen. Um auch HTTPS Inhalte cachen …

Weiterlesen

Infos zur SSL v3.0 Schwachstelle „POODLE“

16. Oktober 2014 von Kevin Häfeli 0 Veröffentlicht unter Hosting/Zusatzdienste Verschlagwortet mit , , ,

Kürzlich wurde durch Google eine erhebliche Schwachstelle (CVE-2014-3566) in der mittlerweile bald 18 Jahre alten SSL Version 3.0 entdeckt und auf den sympatischen Namen Poodle (Padding Oracle On Downgraded Legacy Encryption) getauft: SSLv3 deaktiviert Diese Schwachstelle ermöglich Angreifern sogenannte MITM (Man-in-the-Middle) Attacken. Womit geheime Daten, welche per SSL verschlüsselt werden, mitgelesen werden können. SSLv3 war auf unseren Servern aus Kompatibilitätsgründen noch aktiviert, damit Windows XP Benutzer mit Internet Explorer 6 ebenfalls von …

Weiterlesen

SSL-Zertifikate: Umstellung auf SHA-256

07. Oktober 2014 von Kevin Häfeli 0 Veröffentlicht unter Hosting/Zusatzdienste Verschlagwortet mit , , , , ,

SHA1 Hash Algorithmus Der bisher bei SSL-Zertifikaten verwendete Hash Algorithmus „SHA1“ gilt nicht mehr als 100% sicher und kann mit enormer Rechenleistung geknackt werden. Aus diesem Grund haben Google und weitere Unternehmen sich dazu entschieden, SSL Zertifikate welche SHA1 verwenden „abzuwerten“ und in einigen Monaten als „nicht sicher“ einzustufen. Neu soll der wesentlich modernere und sicherere SHA-256 Algorithmus verwendet werden. Kostenlos ersetzt snowflake unterstützt dieses Vorhaben und ersetzt alle betroffenen …

Weiterlesen

Informationen zum OpenSSL Bug „Heartbleed“

11. April 2014 von Kevin Häfeli 0 Veröffentlicht unter Hosting/Zusatzdienste Verschlagwortet mit , , , ,

Eine erhebliche Sicherheitslücke in der Verschlüsselungsbibliothek „OpenSSL“ sorgt derzeit in den Medien für viel Aufsehen. Die Sicherheitslücke gefährdet die Verschlüsslung, die privaten SSL-Schlüssel und die per SSL gesicherten Datenübertragungen. Weitere technische Informationen dazu findet man bei heise.de oder in englischer Sprache unter heartbleed.com Ein grosser Teil der snowflake Hosting-Kunden war von dieser Sicherheitslücke (CVE-2014-0160) nicht betroffen. Wie auf unserer Statusseite kommuniziert, wurden auf den wenigen, betroffenen Systemen umgehend alle nötigen Massnahmen getroffen. Das entsprechende Update …

Weiterlesen