PHPUGFFM » Security

Neue Sicherheit bringt der Mai

Tom — Thu, 23 Apr 2009 09:03:24 +0000

Eine Referenzimplementierung der OWASP Enterprise Security API (ESAPI) soll es laut Bericht vom Linux Magazin bald auch für PHP geben.

ESAPI definiert Sicherheitsmaßnahmen, die eine Webanwendungen gegen typische Angriffe wie Cross-Site-Scripting und SQL-Injection schützen.

Ein erster Termin ist mit Mai 2009 angegeben. Dabei handelt es sich um eine Portierung der JAVA Referenzimplementierung. Mehr Infos auch im Blog von Andrew van der Stock.

Hackerteen InternetBlackout (PHP for Kids)

dc7590 — Mon, 09 Jun 2008 10:50:19 +0000

We recently received a copy of Internet Blackout, which is a new comic series from O’Reilly aimed at young adults.
In a nutshell, I think the concept is brilliant. The graphic story addresses the excessive use of computers by teens and
encourages the utilisation of that time and energy into a more productive environment which is known as the Hackerteen Academy.

At the academy, hacker mentors lead the youngsters away from gaming sites and focus on IT challenges, rewarding their progress with rank and recognition. While keeping the kids off the cyber streets, they are simultaneously creating future mentors and potential hackers. I like the focus on moral and ethical aspects which are vital to the IT education of kids who have regular access to cyberspace.

At the same time Hackerteen also addresses the less tech savvy users and educates them about Internet related security risks such as social networking. The comic has links to the live site which makes it more interactive and forges the hybrid online and offline concept. Behind the project is 4linux with a real academy which offers real courses for real Hackerteens. The first class has already graduated. Personally I’d like to know more about the courses and possibilities of integrating them into an existing IT curriculum, I think this could easily compete with the logo turtles and be of more use.

As a parent I like the idea too, I think the next generation of viruses will breed in school yards not at the office and while I’m still struggling to get a firewall working on my sons mobile device, he has less problem getting round my parent proxy at home. This addresses the third and final target audience in my eyes, the less tech savvy parents who need an easy way to learn what the mumbo-jumbo means that the kids bring home.

While the comic is slightly out of the comic price range and the graphics themselves have room for improvement, I still think it’s worth buying for someone in one of the potential target groups. On the whole, projects like Hackerteen promote a healthy Internet culture while introducing modern concepts such as sustainable software and in doing so, help bridge IT and generation divides using the Internet as a common denominator. I think this is a great idea and look forward to the next episode.

PHPIDS Vortrag

Tom — Fri, 15 Feb 2008 11:03:44 +0000

IDS steht für Intrusion Detection System frei übersetzt ins Deutsche sowas wie die Alarmzentrale für Netzwerkanwendungen. Für PHP Anwendungen steht seit Ende Januar 2008 das neue Release von PHPIDS zur Verfügung.

PHPIDS ermöglich Entwicklern auf einfache Weise einen zusätzliche Sicherheitsebene in PHP Anwendungen zu integrieren.

Der Vortrag von Tom Klingenberg stellte die Konzepte hinter und in PHPIDS vor. Anhand von zwei Beispielen aus dem richtigen Leben wurde die Funktionsweise zusätzlich erläutert.

PHPIDS Vortrag PHPUGFFM 14. Februar 2008 (PDF)
PHPIDS offizielle Webseite
PHPIDS Forum
PHPIDS Google group
Whitepaper in Vorbereitung

Mod Security

Tom — Sun, 24 Jun 2007 20:40:18 +0000

Lars hat auf dem Meeting im April 2007 einen Vortrag über Mod-Security gemacht. Es ist ein Apache-Modul, mit dem eine Web-Application-Firewall realisiert werden kann. Diese kann auf dem Webserver oder auf einem vorgelagerten Proxy installiert werden. Eine solche Firewall erfüllt folgende Funktionen:

Schutz des Web-Servers und seiner Module (außer mod_ssl) vor Angriffen auf den Server (vor allem Buffer-Overflows).
Kontrolle des HTTP-Protokolls (z.B. zu alte oder fehlkonfigurierte Clients auf FAQ-Seiten umleiten, Sperrung aller nicht benötigten Funktionen)
Generischer Schutz vor bekannten Angriffsformen (XSS-Angriffe, SQL-Injections, PHP-Code-Injections) durch ein negative Secuirity-Modell.
Zeitweiliges Patchen unsicherer Anwendungen bis das Problem im Code gefixt ist.
Nachbau der kompletten Validierung der Web-Software durch ein positive Secuirity-Modell. Hierbei wird definiert, welche Zugriffe erlaubt sind. Alle anderen Zugriffe werden verboten.
Kontrolle des Servers auf Angriffsmuster und auf erfolgreiche Angriffe.
Reaktion auf DDoS-Angriffe durch automatische Zusammenarbeit mit Paketfilter-Firewalls, Nutzung von RBL’s.

Eine Web-Application-Firewall ist wie jedes Security-Tool kein Allheilmittel. Es ist keine Software, die man einmalig konfiguriert und um die man sich weiter nicht kümmern braucht.

Mod-Security ist ohne Regelsatz vollkommen wirkungslos und nichts für Leute, die eine setup.exe brauchen. Zwar wird eine umfangreicher Regelsatz mitgeliefert. Dieser ist aber an die eigenen Bedürfnisse anzupassen. Inzwischen erfolgt dies relativ komfortabel, so dass die mitgelieferten Dateien nicht einmal mehr editiert werden müssen.

Am Sinnvollsten ist die Verwendung eines positive Secuirity-Modells. Dieses Modell hat die geringsten Performanceanforderungen. Die Schwierigkeit besteht hierbei jedoch oftmals darin, dass die Web-Schnittstelle der Anwendung nicht ausreichend beschrieben ist.

Generell muss in jedem Fall das Logfile nach false-positivs kontrolliert werden, um den Regelsatz gegebenenfalls anzupassen.