Symfony ist ein mächtiges PHP-Framework, mit dem Entwickler komplexe Webanwendungen realisieren können. Gerade diese komplexen Anwendungen haben oft auch ein hohes Bedürfnis an Sicherheit, da über sie beispielsweise Finanztransaktionen abgewickelt oder sensitive Daten gespeichert werden. Das Framework unterstützt den Entwickler dabei sehr einfach Module wie Authentifikation und Autorisierung zu implementieren und bringt von Haus aus Komponenten wie CSRF-Schutz für Formulare oder Output-Escaping in Templates mit sich. Doch lässt sich damit eine sichere Webanwendung zum Stand der Angriffstechnik realisieren? Der Vortrag zeigt auf, was durch Symfony für IT-Sicherheit getan wird und was Entwickler für sichere Webanwendungen zusätzlich beachten müssen.

Die aktuellen Angriffstechniken sind nicht neu, das zeigt auch der Talk. Leider muss man hinzufügen, weil Webanwendungen heute eigentlich sicherer sein könnten.

Comments

Comments are closed.

Rated 5

codeneuss at 16:58 on 7 Apr 2017

Sehr schöne Zusammenfassung. Schade das der CSRF-Angriff funktioniert hat.

Rated 1

EL at 20:45 on 7 Apr 2017

also, da war nichts Neues dabei und ich bin kein Sicherheitsexperte. Ziemlich langsam und langweilig vorgetragen und breitgestampft...

Rated 4

Sven Herrmann at 21:31 on 7 Apr 2017

Ich habe einige mir neue Apsekte mitgenommen, danke.
Das CSRF-Beispiel hätte mich auch interessiert.

Vortrag war okay, wenig neues für einen "alten Hasen".
Hier wäre es schön gewesen etwas mehr ins Detail zu gehen. So konnte ich leider nur den Tip zu den Content Policy Headern mitnehmen.

Leider wollte der Speaker immer wieder XSS statt CSRF sagen (beides fängt aber auch mit Cross an, das ist ja auch gemein ;))

Rated 5

Steph4n at 23:40 on 7 Apr 2017

Der Vortrag hat mir sehr gut gefallen. Guter Vortragsstil und sehr gute Folien ohne viel Text. Das mit dem csrf hätte man davor vielleicht nochmal probieren sollen ;) Meine Vorredner verstehe ich zum Teil nicht. Der Vortrag hieß ja nicht Die neusten Hacks, sondern was Symfony gegen die tut und das eben am Beispiel von häufigen Hacks.

Weiter so! Einer der besten Vorträge heute

Wenig neues für mich aber das Thema ist unverzichtbar, da immer noch nicht genügend beachtet. Einige wichtige Tipps rübergebracht.

Die Demonstrationen haben sich teilweise etwas langgezogen, das wäre vielleicht nicht nötig gewesen (die Brute Force Dictionary Attack z.B.)

Nichts was man nicht schon kennt, aber trotzdem ein gutes Fresh Up.
Schön das hier bei einem eher allgemeinen Thema auch der Bezug zu Symfony gemacht wurde.

Rated 2

BF at 10:43 on 19 Apr 2017

Nichts Neues.