Zum Inhalt springen

SIG Security

20. März 2012 in München

SIG (DB) Security

 

Security für Entwickler - Entwickler für Security


Bei der ersten Veranstaltung in diesem Jahr stehen die Entwickler im Mittelpunkt.

Trotzdem bieten die Vorträge sowohl dem DBA, als auch den Verantwortlichen für Development und IT-Security wertvolle Informationen.

Hochkarätige Referenten zeigen auf wo die Probleme sind, aber auch was getan werden kann um die Risiken zu minimieren.


Wir freuen uns auf Ihr Kommen!

 

 

 

Franz Hüll

Leiter SIG Security

 

 

***

Hotelempfehlung:

Wir haben für Sie 10 EZ (Abrufkontingent für Selbstzahler) vom 19.03. auf den 20.03.2011 im Hotel "Holiday Inn München City Centre", Hochstr. 3, 81669 München geblockt.

Unter dem Stichwort "DOAG" können Sie für sich ein Zimmer -EZ = 126,00 EUR inkl. Frühstück- buchen.

***

 

Agenda

Franz Hüll DOAG e.V.

Wie kann Software entwickelt werden, die in der Lage ist neben der eigentlichen Aufgabe auch bestimmte Angriffe zu erkennen und innerhalb von wenigen Minuten erste Abwehrmaßnahmen zu ergreifen.

Dieser höchst interessanten Frage geht Alexander Kornbrust auf den Grund.

 

Alexander Kornbrust Red Database Security GmbH

----> Krankheitsbedingt muss der Vortrag leider kurzfristig ausfallen <----

Circa 80% aller Schwachstellen sind das Ergebnis einer schlechten Programmierpraxis und nicht durchdachten Sicherheitskonzepten bei der Software-Entwicklung.  In einem typischen Software Development Lifecycle, erstellen Entwickler zehntausende Codezeilen unter enormen Zeitdruck. Das Ergebnis ist, dass die Mehrheit von Anwendungen viele Sicherheitsschwachstellen aufweist.

Viele, aber nicht alle, diese Schwachstellen können mittels Code Review entdeckt und korrigiert werden. Dieser Vortrag präsentiert Code Review aus der Sicherheitsperspektive und erläutert wie ein Review durchgeführt und bewertet wird.  Zentrale Themen sind die Vor- und Nachteile der dynamischen und statischen Codeanalyse, False Positive/False Negative, Datenflussanalyse und Mustererkennung.  Auch die praktische Umsetzung mit modernen Werkzeugen wird besprochen.  Der Vortrag wird mit praktischen Beispielen von Cross-Site-Scripting, SQL-Injection, Path Traversal und mehr untermauert.

 

Dr. Bruce J. Sams OPTIMAbit GmbH

Der Vortrag von Bruce J. Sams muss krankheitsbedingt leider kurzfristig ausfallen. Wir wünschen Bruce auf diesem Weg alles Gute und gute Besserung. Als Ersatz für den ausgefallenene Beitrag findet ein Podiumsdiskussion statt:

Theorie und Wirklichkeit: Warum Securityvorgaben in der Wirklichkeit häufig scheitern. Mit welchen Hindernissen muss man rechnen, wenn z.B. eine Secure Coding Policiy im Unternehmen umgesetzt werden sollen.

In der Diskussion mit Alexander Kornbrust und Gunther Pippérr wird aus der Praxis berichtet. Die dort gemachten Erfahrungen werden besprochen und es sind alle Teilnehmer der Veranstaltung herzlich eingeladen, sich mit den eigenen Erlebnissen oder Fragen zu beteiligen.

 

Alexander Kornbrust Red Database Security GmbH Gunter Pippèrr

Der Vortrag geht kurz auf das Thema SQL Injection ein und stellt danach vor, wie Datenbankzugriffe

sicher implementiert werden können. Vorgestellt wird insbesondere die Sicherheitsbedeutung von Bindevariablen

(PreparedStatements) - es wird aber auch auf weitergehende Aspekte wie SQL-Injection in Stored Procedures

eingegangen ...

 

 

Carsten Czarski Oracle Deutschland B.V. & Co. KG

Mit den OWASP Top 10 erscheint alle paar Jahre eine aktualisierte "Hitliste" der kritischsten Risiken für die Sicherheit von Webapplikationen. Viele der dort gelisteten Einträge sind bereits seit der ersten Ausgabe 2003 dabei. Injections, allen voran die SQL-Injection, sind so ein typisches Problem, für das es eigentlich seit vielen Jahren erfolgreiche und allgemein bekannte Gegenmaßnahmen gibt. Dennoch liegen sie jetzt auf dem ersten Rang. Aber auch auf den anderen neun Plätzen finden sich Risiken wie beispielsweise Cross-Site Scripting oder Authentifizierung und Session Management, für die bereits funktionierende und brauchbare Lösungen oder Gegenmaßnahmen existieren.


Höchste Zeit also, dass sich Java-Entwickler konkreter mit allen in den OWASP Top 10 aufgeführten Risiken beschäftigen und die dafür bekannten Lösungen und Workarounds in ihren Projekten einsetzen. Dazu sollte jeder Java-Entwickler wenigstens über grundlegendes Wissen für die sichere Softwareentwicklung verfügen. In diesem Vortrag lernen Sie dazu die aktuellen OWASP Top 10-Risiken kennen und erfahren, wie man ihnen in Java-Webapplikationen wirkungsvoll zu Leibe rückt.

 

 

Dominik Schadow Trivadis GmbH

Viele geschäftskritische Applikationen verwenden eine programmatische Zugriffssteuerung. Dies führt oft zu höheren Kosten − insbesondere im Bereich der Wartung - manchmal auch zu unberechtigten Zugriffen, da die Granularität der Bordmittel von Autorisierungsregeln nicht ausreicht.


Der Vortrag gibt Ihnen einen Einblick in die Möglichkeiten Autorisierungsregeln deklarativ zentral zu gestalten und dadurch den Applikationscode schlank zu halten. Die Nutzung von Standards, wie  XACML und WS-Security, kommen ebenfalls zum Tragen. Dadurch können Sie eine wartungsfreundliche, flexible Zugriffssteuerung sukzessive für neue Applikationen erreichen.

 

 

Abdi Mohammadi und/oder Steffo Weber Oracle Deutschland B.V. & Co. KG

Preise

Günstig reisen

Mit dem Kooperationsangebot der DOAG und der Deutschen Bahn reisen Sie kostengünstig das ganze Jahr über zu den Veranstaltungen der DOAG.

Mehr Informationen

Premium Card

Die Event-Flatrate für DOAG-Veranstaltungen: die DOAG Premium Card. Ihr Vorteil: einmal bezahlen – das ganze Jahr an vielen DOAG-Veranstaltungen teilnehmen.

Mehr Informationen

Mitglied werden

DOAG-Mitglieder erhalten ab 20 Prozent Nachlass auf die regulären Ticketpreise. Die persönliche Mitgliedschaft kostet nur 105 Euro pro Jahr. Informieren Sie sich!

Mehr Informationen

Teilnahmegebühr

  • 80,00 Mitglieder
  • 200,00 Nicht-Mitglieder

Buchungsbedingungen