[sage-hamburg] Fwd: 16.7.: OWASP-Stammtisch in Hamburg mit Websecurity-Vortrag von Sebastian Schinzel
Dirk Wetter
dirk.wetter at guug.de
Mi Jul 10 12:17:27 CEST 2013
Moin Hamburg,
im Juli machen wir Pause. Um die avisierten Sprecher dafür war es trotz
mehrmaligem Nachhaken etwas still geworden. Weiter geht's am 8.8.
mit Lenz Grimmer.
Vielleicht ist das unten ersatzweise interessant, soll ja auch Software-
Entwickler oder Sicherheitsleute in unseren Kreisen geben.
BG, Dirk Wetter
-------- Original-Nachricht --------
Betreff: 16.7.: OWASP-Stammtisch in Hamburg mit Websecurity-Vortrag von Sebastian Schinzel
Datum: Fri, 05 Jul 2013 14:06:54 +0200
Von: Dirk Wetter <dirk.wetter at owasp.org>
Organisation: Open Web Application Security Project
An: OWASP Germany <owasp-germany at lists.owasp.org>
Moin Hamburg und Umgebung,
in weniger als 14 Tagen ist es wieder soweit, ein OWASP-Treffen in Hamburg
steht im Raum.
Es freut mich besonders, dass Sebastian Schinzel auf dem Durchflug von Westen
in Hamburg landet, bevor es weiter nach Berlin geht.
Sebastian hat 'zig Vorträge auf dem Buckel im Webumfeld, einige werden ihn
vielleicht beim einen oder anderen German OWASP Day oder beim DFN-Cert-Treffen schon
gesehen haben.
Zu Gast sind wir diesmal bei Adobe (danke!) am Hafen in schöner Lokation, i.e. im
Stadtlagerhaus neben der Fischauktionshalle.
==Die Eckdaten:
* Vortragender: Sebastian Schinzel
* Ort: Adobe Systems Engineering GmbH, Große Elbstr. 27, 3. OG
* Startzeit: 18:30h
* Vortragstitel: "Lost in Translation: Missverständnisse zwischen Mensch/Mensch und Mensch/Maschine und deren Auswirkungen auf Web Security"
Abstract:
"Wir schreiben das Jahr 2013 und in vielen Web-Entwicklungsprojekten wird das Thema "Sicherheit" noch immer als notwendiges Übel angesehen. Gerade erfahrene Entwickler sind oft zu sehr überzeugt von ihrer eigenen Codequalität, als dass sie offen für Feedback und konstruktive Kritik sind. Wenn es hart-auf-hart kommt, und Sie sich als Sicherheitsexperte gegen solche Entwickler behaupten wollen, dann benötigen Sie gute Argumente.
In diesem interaktiven Vortrag stelle ich einige scheinbar trivial verständliche Quellcodebeispiele vor, die selbst von erfahrenen Programmierern (und wahrscheinlich auch vom OWASP Publikum) falsch verstanden werden. Weiterhin untersuche ich einige öffentlich gewordene Backdoors, die von Angreifern in den Quellcode der Web-Anwendungen eingeschleust wurden. Aus den Beispielen wird klar, dass viele Backdoors auf den ersten Blick (und auch auf den zweiten) harmlos aussehen, und die Schadroutine nur bei sehr genauem Hinsehen klar wird.
Die vorgestellten Beispiele verwende ich regelmäßig in Workshops, um übermäßig selbstbewussten Web-Entwicklern zu veranschaulichen, dass auch sie in ihrem Verständnis von Quellcode nicht unfehlbar sind. Das ist eine wichtige Erkenntnis, um einzusehen, dass niemand vor Sicherheitsschwachstellen gefeit ist und dass selbst erfahrene Web-Entwickler regelmäßig in sicherer Softwareentwicklung geschult werden müssen."
Bio:
Sebastian Schinzel ist Professor für IT-Sicherheit an der Fachhochschule Münster.
== Generelles:
Hier treffen sich Menschen, die sich beruflich oder privat mit
Webanwendungen und deren Sicherheit auseinandersetzen, egal ob
Entwickler, Manager, Pentester oder andere mit INteresse an (Web)
Application Security.
Die Atmosphäre bei Veranstaltungen der OWASP ist offen und locker.
Uns geht's um den Erfahrungsaustausch, der bei den regelmäßigen Treffen
durch einen Vortrag unterstützt wird. Wer Produkte verkaufen will, ist
hier falsch.
Ihr könnt gerne diese Mail an Kollegen oder Bekannte weiterleiten. Unser
Thema ist in erster Linie (Web) Application Security. Man muss dazu
nichts von OWASP wissen, ein vorhergehender Blick auf die Website (owasp,org
-- gerade offline ;) --) schadet sicher nicht.
Wir treffen uns alle zwei Monate. Mehr zum Hamburger Stammtisch: http://owasp.de/hamburg/ .
Schönen Gruß, Dirk Wetter
PS: Für die, die bislang geschlafen haben: Wir haben im August eine super Konferenz:
https://appsec.eu/ in Hamburg. Das Programm steht, wir sind hochzufrieden mit
den Vorträgen, Trainings und berühmten Sprechern, die wir an Land gezogen
haben.
--
German OWASP Board, Conference Chair AppSec EU 2013
http://appsec.eu/ | @appseceu
skype://drwetter.de | tel:+49-40-2442035-1