Security

The Web Application strikes back

In den letzten Jahren hat die Sicherheit vieler Webanwendungen vor allem durch ein höheres Sicherheitsbewusstsein und mehr Know-how unter den Entwicklern spürbar zugenommen. Auch wenn das Optimum längst noch nicht erreicht ist, bieten sich als nächster Schritt selbst verteidigende Webanwendungen an. Diese können – in einem festgelegten Rahmen – selbst und vollautomatisiert auf laufende Angriffe reagieren und einen als Angreifer identifizierten Benutzer z.B. ausloggen oder vollständig sperren. Analog zu Intrusion Detection Systems spricht man hierbei von Application Intrusion Detection.

Problemfeld Sicherheit: Ist die Cloud besser als ihr Ruf?

Die Cloud-Entwicklung befindet sich in einer kritischen Phase. Immer mehr Unternehmen entscheiden sich für eine Migration ihrer Daten, Infrastrukturen und Projekte in immer ausgereiftere integrierte Cloud-Architekturen. Eine Studie der International Data Corporation (IDC) hat sich mit dem wichtigsten Problemfeld befasst, das Unternehmen mit Cloud-Lösungen verbinden, der Sicherheit. Woher aber stammen die Bedenken?

Oracles Chief Security Officer brüskiert Bug Hunter

Vor allem im Internet gilt bekanntermaßen: Ist die Büchse der Pandora erstmal geöffnet, kriegt man sie so leicht nicht mehr zu. Diesen Umstand erlebt Mary Ann Davidson, Chief Security Officer bei Oracle, gerade am eigenen Leib. In einem rund 3000 Zeichen umfassenden Rant hatte sie klar gemacht, dass sie die Nase voll davon habe, dass Kunden und Security Researcher eigene Sicherheitstests mit Oracle-Software durchführen.

Kampf dem Spam mit SpamAssassin 3.4.1

Nach über 1-jähriger Entwicklungszeit ist eine neue Version des populären quelloffenen Filterprogramms SpamAssassin verfügbar. Das Update enthält im Vergleich zu seiner Vorgängerversion über 500 Bugfixes, Änderungen und Upgrades, um dem Spam noch effektiver zu Leibe zu rücken.

Ohne Oracles neuesten Patch: Kritische Sicherheitslücken in Java-Anwendungen

Das neueste kritische Patch-Update zeigt eine massive Verwundbarkeit der JRE/JDK-Versionen auf, anhand derer Angreifer den Fernzugriff auf eine Java-Anwendung erlangen können, ohne dafür über einen Benutzernamen oder ein Passwort verfügen zu müssen. Dies betrifft sämtliche Java-Versionen, die nicht mit dem neuesten vierteljährlichen Patch aktualisiert wurden.

Android Security: Keine automatische Verschlüsselung in Lollipop

Google kündigte im September 2014 an, Android 5.0 alias Lollipop standardmäßig mit einer Festplattenverschlüsselung zu versehen. Wie jedoch nach dem Release von Android 5.0 im Januar ersichtlich wurde, folgte dieser Ankündigung keine Umsetzung: Die Speicherverschlüsselung bleibt optional und somit dem Endkunden überlassen.