[sage] Fwd: Re: [sage-hamburg] Vortrag Donnerstag, 12.11.: "Über die Herausforderungen SSL-Testing in einer Skriptsprache zu implementieren"

Dirk Wetter dirk.wetter at guug.de
Sun Nov 8 18:41:40 CET 2015 

FYI, falls jemand in der Nähe sein
sollte.

BG, Dirk


-------- Weitergeleitete Nachricht --------
Betreff: Re: [sage-hamburg] Vortrag Donnerstag, 12.11.: "Über die Herausforderungen SSL-Testing
in einer Skriptsprache zu implementieren"
Datum: Sun, 8 Nov 2015 18:37:25 +0100
Von: Dirk Wetter <dirk.wetter at guug.de>
Organisation: German Unix User Group e.V.
An: sage-hamburg at guug.de


Moin Hamburg,

hier nochmal die Details nachgeschoben:

Eckdaten
========
Lokation:        Uni RZ, Seminarraum 304, Schlüterstraße 7
Zeit:            19 Uhr
Vortragender:    Dirk Wetter
Titel:           Über die Herausforderungen SSL-Testing in einer Skriptsprache zu implementieren
Das Bier danach: TBD nach dem Vortrag


Da der Vortrag etwas dauern wird, werden wir sehen, dass wir noch
Kleinigkeiten zu Essen und zu Trinken organisieren.


Abstract:
========
Heute gibt es eine Reihe mehr oder weniger guter Werkzeuge zum Testen der
Transportverschlüsselung.

Vor 10 Jahren sah das anders aus. Eine Reihe OpenSSL-Kommandos genügten
allerdings auch, der Verschlüsselung auf den Zahn zu fühlen. 2015,
im Post-Heartbleed-Zeitalter und Zeit der Massenüberwachung, funktionieren
viele Checks mit einem Standard-OpenSSL-Client nicht mehr und es
genügt nicht.

Testssl ist mit den Anforderungen gewachsen, obwohl es in /bin/bash
entwickelt ist.  Seit 2014 ist die Entwicklung von testssl.sh auf
github zu Hause.  Was die Funktionen angeht, muss es sich nicht z.B. vor
SSLlabs verstecken, testssl ist nicht auf Port 443 oder Webserver beschränkt,
versteht STARTTLS, kann es in seinem eigenen LAN betreiben ohne Dritte
zu involvieren, ist ist 100% Open Source und läuft unter allen Unixoiden
Betriebssystemen, auch MacOS X und Cygwin/MSYS2.

Der Vortrag zeigt, was man mit testssl anfangen kann, dass /bin/bash
eher wieder was modernes geworden ist, was sogar einfache Stringmanipulation
ohne sed oder awk kann. Socket-Programmierung ist auch kein Ding, es gibt sogar
so etwas wie eine statische Source-Code-Analyse zu bash.

Damit die Praxis nicht zu kurz kommt: Es gibt eine Reihe Demos.

Wenn noch Zeit bleibt, geht er auf einige Abgründe  von SSL-Handshakes
und Bugs ein, die Browser und andere Clients glücklicherweise von uns fernhalten.


Bio
===
Dirk Wetter hat nach seiner Promotion fast zwei Berufsdekaden in der IT
verbracht – mit den Schwerpunkten (Web/Application) Security, Linux,
Unix, ein bisschen Projektmanagement. Er ist selbständiger Berater
für IT-Sicherheit, hat viele Publikationen verfasst und spricht auf
internationalen Konferenzen. Er ist in dem Open Web Application Security
Project (OWASP) und der German Unix User Group (GUUG e.V.) engagiert.

Wann immer möglich, verwendet er Open Source Software. In seinem
FOSS-Projekt testssl.sh zeigte er, dass Unix-Shell-Programmierung
alles andere als out ist.


-------------------
Wie immer: Alle Treffen sind frei und kostenlos. Falls Vortrag
oder Treffen möglicherweise für Kollegen/Bekannte interessant sein
könnte, leitet diese Mail gerne weiter. Auch sie sind herzlich
willkommen.

Über eine kurze Mail ~"Ja ich bin dabei" würden Olo und ich uns
freuen. Sie hilft bei der Planung, besonders bei dem Einkauf (s.o.)
Formlose E-Mail bitte an hamburg at guug.de .

Mehr zur GUUG-Lokalgruppe Hamburg, zur öffentlichen Mailing-Liste und
mehr unter http://guug.de/lokal/hamburg/


Schönen Gruß, Dirk

More information about the SAGE mailing list