Let's talk about Web Security!
Vorträge von Michael Fuchs und Clemens Hübner bei unseren Meetups in München (28.07.2022) und Karlsruhe (11.08.2022)
Abstracts
DevSecOps: In drei einfachen Schritten die eigene WebApp sicher entwickeln
Um den Begriff DevSecOps kommt kaum herum, wer sich in den letzten Jahren mit sicherer Softwareentwicklung beschäftigt hat. Doch ist DevSecOps ein sinnvolles Entwicklungskonzept oder doch mehr ein Marketing-Buzzword? Im Vortrag nähern wir uns dieser Frage von der praktischen Seite und finden Einstiegsmöglichkeiten, im Alltag den Entwicklungsprozess etwas sicherer zu machen. Dabei schauen wir uns ganz konkret drei Möglichkeiten an, die Sicherheit der eigenen Software direkt zu verbessern – und das ganz ohne langwierige Prozess-Einführung oder teure Softwarelösungen. Anhand einer Demo-Web-App wird direkt auch die praktische Umsetzung in einer Anwendung gezeigt.
Über den Speaker:
Michael Fuchs studierte Informatik und evaluierte in seiner Bachelorarbeit die Web Cryptography API Evaluation, so dass ein sicherer Cloud–Speicher implementiert werden konnte. Anschließend führte Michael den Master in IT-Sicherheit an der Hochschule München University of Applied Science fort. Seit 2019 ist er als Software Developer sowie Security Engineer bei inovex tätig und forscht zudem seit 2022 als wissenschaftlicher Mitarbeiter im Kontext von Zero-Trust sowie starken IDMs.
Security APIs im Browser
Zur Entwicklung von sicheren Webanwendungen können Webdeveloper:innen auf immer mehr Security-Funktionalitäten in gängigen Browsern zurückgreifen, anstatt sie aufwendig selbst entwickeln zu müssen oder Abhängigkeiten durch 3rd-party-Bibliotheken zu schaffen. So kann beispielsweise zur Umsetzung einer passwortlosen Authentifizierung der WebAuthn-Standard verwendet werden. Für kryptografische Operationen bietet die WebCrypto-API in allen gängigen Browsern einfache Schnittstellen für Hashing, Verschlüsseln oder Signieren an. Mit der Reporting API können Informationen zu Sicherheitsereignissen direkt aus der produktiven Nutzerumgebung gesammelt werden, etwa über CSP-Violations. Im Vortrag wird ein Überblick über die Verbreitung dieser Features gegeben und die Möglichkeiten für einen Einsatz in Entwicklungsprojekten demonstriert.
Über den Speaker:
Clemens Hübner studierte Mathematik und Informatik und schloss mit einer Masterarbeit zur Sicherheit in agilen Entwicklungsmodellen ab. Nach Tätigkeiten als Software Developer sowie im Penetration Testing ist er seit 2018 als Security Engineer bei inovex tätig. Dort begleitet er Entwicklungsprojekte auf Konzeptions- und Implementierungsebene, schult Kolleg:innen und berät zu DevSecOps. Darüber hinaus ist er regelmäßiger Gast auf Meetups und Konferenzen.