[sage-hamburg] Vortrag Donnerstag, 12.11.: "Über die Herausforderungen SSL-Testing in einer Skriptsprache zu implementieren"
Dirk Wetter
dirk.wetter at guug.de
Do Nov 12 19:04:08 CET 2015
Schlüterstraße SIEBZIG, nicht 7.
Sorry! Dirk
Am 11/08/2015 um 06:37 PM schrieb Dirk Wetter:
>
> Moin Hamburg,
>
> hier nochmal die Details nachgeschoben:
>
> Eckdaten
> ========
> Lokation: Uni RZ, Seminarraum 304, Schlüterstraße 7
> Zeit: 19 Uhr
> Vortragender: Dirk Wetter
> Titel: Über die Herausforderungen SSL-Testing in einer Skriptsprache zu implementieren
> Das Bier danach: TBD nach dem Vortrag
>
>
> Da der Vortrag etwas dauern wird, werden wir sehen, dass wir noch
> Kleinigkeiten zu Essen und zu Trinken organisieren.
>
>
> Abstract:
> ========
> Heute gibt es eine Reihe mehr oder weniger guter Werkzeuge zum Testen der
> Transportverschlüsselung.
>
> Vor 10 Jahren sah das anders aus. Eine Reihe OpenSSL-Kommandos genügten
> allerdings auch, der Verschlüsselung auf den Zahn zu fühlen. 2015,
> im Post-Heartbleed-Zeitalter und Zeit der Massenüberwachung, funktionieren
> viele Checks mit einem Standard-OpenSSL-Client nicht mehr und es
> genügt nicht.
>
> Testssl ist mit den Anforderungen gewachsen, obwohl es in /bin/bash
> entwickelt ist. Seit 2014 ist die Entwicklung von testssl.sh auf
> github zu Hause. Was die Funktionen angeht, muss es sich nicht z.B. vor
> SSLlabs verstecken, testssl ist nicht auf Port 443 oder Webserver beschränkt,
> versteht STARTTLS, kann es in seinem eigenen LAN betreiben ohne Dritte
> zu involvieren, ist ist 100% Open Source und läuft unter allen Unixoiden
> Betriebssystemen, auch MacOS X und Cygwin/MSYS2.
>
> Der Vortrag zeigt, was man mit testssl anfangen kann, dass /bin/bash
> eher wieder was modernes geworden ist, was sogar einfache Stringmanipulation
> ohne sed oder awk kann. Socket-Programmierung ist auch kein Ding, es gibt sogar
> so etwas wie eine statische Source-Code-Analyse zu bash.
>
> Damit die Praxis nicht zu kurz kommt: Es gibt eine Reihe Demos.
>
> Wenn noch Zeit bleibt, geht er auf einige Abgründe von SSL-Handshakes
> und Bugs ein, die Browser und andere Clients glücklicherweise von uns fernhalten.
>
>
> Bio
> ===
> Dirk Wetter hat nach seiner Promotion fast zwei Berufsdekaden in der IT
> verbracht – mit den Schwerpunkten (Web/Application) Security, Linux,
> Unix, ein bisschen Projektmanagement. Er ist selbständiger Berater
> für IT-Sicherheit, hat viele Publikationen verfasst und spricht auf
> internationalen Konferenzen. Er ist in dem Open Web Application Security
> Project (OWASP) und der German Unix User Group (GUUG e.V.) engagiert.
>
> Wann immer möglich, verwendet er Open Source Software. In seinem
> FOSS-Projekt testssl.sh zeigte er, dass Unix-Shell-Programmierung
> alles andere als out ist.
>
>
> -------------------
> Wie immer: Alle Treffen sind frei und kostenlos. Falls Vortrag
> oder Treffen möglicherweise für Kollegen/Bekannte interessant sein
> könnte, leitet diese Mail gerne weiter. Auch sie sind herzlich
> willkommen.
>
> Über eine kurze Mail ~"Ja ich bin dabei" würden Olo und ich uns
> freuen. Sie hilft bei der Planung, besonders bei dem Einkauf (s.o.)
> Formlose E-Mail bitte an hamburg at guug.de .
>
> Mehr zur GUUG-Lokalgruppe Hamburg, zur öffentlichen Mailing-Liste und
> mehr unter http://guug.de/lokal/hamburg/
>
>
> Schönen Gruß, Dirk
>
>
> Am 10/14/2015 um 04:28 PM schrieb Dirk Wetter:
>>
>> Moin Hamburg,
>>
>> nächstes Mal (12.11.) gibt's einen Vortrag zum SSL-Testing, a.k,a, "Wie man
>> mit bash die Welt rettet". ;-)
>>
>> Den finalen Titel und einen Abstract reiche ich nach.
>>
>> Es geht um das Projekt https://testssl.sh/, dass der Vortragende
>> (das bin mal ich) vorstellt. Da es vermutlich länger dauern wird,
>> werden wir wieder für Getränke und etwas Essen sorgen.
>>
>>
>> Schönen Gruß, Dirk
>
> _______________________________________________
> SAGE-Hamburg mailing list
> SAGE-Hamburg at guug.de
> https://lists.guug.de/cgi-bin/mailman/listinfo/sage-hamburg
>
Mehr Informationen über die Mailingliste SAGE-Hamburg