Mobile Code Security Im Rahmen des Seminars Web Security Andreas Marx WIF 02 98.

Slides:

Advertisements

Ähnliche Präsentationen

GWT - google Web Toolkit

Advertisements

Be.as WEB Technologie

Sicherheit in Netzwerken

Surfen im Internet.

Neue VPN-Technologien für Remote Access und WLAN

WWW World Wide Web.

Basis-Architekturen für Web-Anwendungen

Kurze Einführung in ASP

CD-ROMs im Netz Direkter Zugriff auf CD-ROMs via Web-Browser Hartmut Jörg.

Seminar Internetdienste Web 2.0 und Rich Internet Applications (RIA) JavaFX Rainer Scholz.

Neuerungen in PalmOS® 5 Florian Schulze (SS 2003).

Java: Grundlagen der Sprache

Seminar Sommersemester 2002 ASP.NET Andre Margousian.

Geschichte und Funktion des Internets.

Lokale und globale Netzwerke

Anwendungen. © Prof. T. Kudraß, HTWK Leipzig Historie des WWW Grundlage Internet – Entwickelt Ende der 60er Jahre vom US-Militär (ARPA-Net) – Technische.

Hassan Bidani Jallal Alami Rahmouni FH Wiesbaden

Technik Gestaltung Navigation Daten. Übersicht Client Webbrowser InternetServer.

Introducing the .NET Framework

Sicherheit von mobilem Code Hauptseminar: Sicherheit in vernetzten Systemen Sicherheit von mobilem Code Oliver Grassow.

Seite Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.

Browser das Internet lesen.

ECDL M8 IT - Security.

Plattformunabhängige Programmiersprache

Einstellungen im Web für Outlook

Einführung in die Programmiersprache Java

PPS-Design einer eigenen WWW-Homepage SS 2003 Applets.

DB-Zugriffstechnologien im Internet Ein Referat von Marc Reinecke.

Laufzeitumgebungen – Das Beispiel der Java Virtual Machine

Seminar aus Softwareentwicklung: Inside Java and .NET

Präsentation von Sonja Pathe

HTML-Editoren Eine Präsentation von Erik Kulisch.

Seminar Internet Technologien

App-Entwicklung mit HTML5, CSS und JavaScript

Your name Bedeutung von Internet- Technologien Gruppe 1 Andreas Feuerstein Philipp Hochratner Christian Weinzinger.

UND NOCH EIN PAAR BEGRIFFE…

Eine Präsentation von Peter Rasser

CGI (Common Gateway Interface)

Ganzheitliches Projekt-, Ressourcen- und Qualitätsmanagement 1 Reports und AddOns Auf den folgenden Seiten wird Ihnen die Funktionsweise der Reports und.

Uwe Habermann Venelina Jordanova dFPUG-CeBIT-Entwicklertreffen

Java Server Pages Sergej Keterling

Oliver Spritzendorfer Thomas Fekete

Datenanbindung in Webapplikationen

© 1 T/bone XML Security Mobile Smart Card Projekt Präsentation Stand

Aufzeichnung von Usability-Daten im www. Client-Side Log : automatisch (maschinell) generiertes Protokoll Client : Rechner mit dem Browser des Users Server:

Dedizierte Systeme Typo3 Installation Dedizierte Systeme – Typo3 Installation – Christoph Stollwerk IT Zertifikat der Philosophischen Fakultät WS 2008/2009.

Kommandozeile und Batch-Dateien Molekulare Phylogenetik – Praktikum

ATLAS2000 Modellintegration in digitalen Atlanten Konzepte und Lösungsvorschläge am Beispiel ATLAS2000.

Client-Server-Modell

W W W - World Wide Web. Das World Wide Web kommt aus dem Englischen und bedeutet ‚Weltweites Netz‘ ist ein über das Internet abrufbares Hypertext-System.

AUDIO im WEB HTML & AUDIO WEB_0302 WEBDESIGN MODUL 03 h.huetter 1 Sound-Dateien können, ebenso wie Video-Dateien, auf mehrere Arten in HTML-Dateien integriert.

prof. dr. dieter steinmannfachhochschule trier © prof. dr. dieter steinmann Folie 1 vom Montag, 30. März 2015.

Viren, Würmer+ co.

7.2.4 Klassifikation mobilen Codes Nicht vergessen:  Sowohl das Fernkopieren als auch die Migration von Objekten setzt voraus, daß der Code entweder am.

JavaScript Geschichte : Netscape entwickelt LiveScript (Syntax angelehnt an Java) - Umbenennung von Live Script in JavaScript - Mircrosoft.

Datenbanken im Web 1.

Java-Applets und URLs APP Philip Graf, Andreas Bößl.

Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran

Microsoft.NET - Plattform Kurzer Überblick Vergleich mit Java Von Thomas Zahn Januar 2001.

Das Internet Ein Netzwerk, das viele Rechner miteinander verbindet

DSpace IT Zertifikat Blockseminar Dedizierte Systeme Dozentin: Susanne Kurz, M.A. Referentin: Camilla Ottnad, B.A.

Seminar Internettechnologie Prof. Dr. Lutz Wegner Julia Mikov WS 06/07

Computerviren Sie verursachen Schäden in Milliardenhöhe und die Zahl der Virenattakten steigt jährlich.

Schutz vor Viren und Würmern Von David und Michael.

Arten von Viren Es gibt verschiedene Arten von Viren.

Es gibt verschiedene Arten von Viren. Hier haben wir einige angeführt.

Pre-Beta V Build 112.

© Handwerkskammer des Saarlandes, Hohenzollernstraße 47-49, Saarbrücken IT-Sicherheit im Handwerksunternehmen Gefahr erkannt – Gefahr gebannt! IT.

JAVA - Einführung. © Übersicht Hintergrund und Geschichte Wie sieht ein JAVA Programm aus ? Was ist ein JAVA Programm ? Wie schreibt/übersetzt.

Präsentation transkript:

Mobile Code Security Im Rahmen des Seminars Web Security Andreas Marx WIF 02 98

Inhalt  Mobile Code  Schutzmöglichkeiten und -konzepte  Browser-Integration  Java  ActiveX  JavaScript & Co.  Ausblick / Diskussion

Mobile Code  Wird bei Bedarf aus dem Web heruntergeladen  Ist ausführbarer Inhalt (z. B. Programmcode)  Client-seitig, z.B. Java Applets, ActiveX Controls, JavaScript, Visual Basic Script, Safe-Tcl, Telescript  Server-seitig, z.B. Servlets  Problem: Sicherheit (u. a. Integrität, Vertraulichkeit)?!?

Schutzmöglichkeiten (1)  Alles abschalten! Am wirkungsvollsten, aber nicht der Sinn der Sache (Noch unbekannte) Sicherheitslücken? Ist wirklich alles abgeschaltet?  Digitale Zertifikate Kennzeichnen nachvollziehbar den Herausgeber Aber wer ist vertrauenswürdig?

Schutzmöglichkeiten (2)  Sandbox: Gesicherte Umgebung mit sehr eingeschränkten oder gar keinen Zugriff auf Ressourcen  (Ständige) Überwachung: Komplex und Zeitintensiv In Praxis kaum verbreitet

Schutzkonzepte (1)  Zugriffsschutz auf Systemressourcen Im Laufzeitsystem implementiert Z. B. Speicherzugriffe nur im eigenen Adressbereich  Konzeptioneller Ressourcenzugriffsschutz Bei Zugriff auf Ressourcen anderer Rechner Explizite Aufrufe, d. h. einfach zu überwachen Z. B. Datenbanken

Schutzkonzepte (2)  Systemressourcenverbrauchskontrolle Zeitintensive Überwachung Alle Änderungen am Systemzustand werden überwacht, Transaktionen Abbruch, wenn Ressourcen zu lange beansprucht werden  Konzeptionelle Ressourcenverbrauchskontrolle Kombinierbar mit Zugriffskontrolle in Abhängigkeit vom Systemzustand (z. B. Auslastung) Nur bestimmte Anzahl von DB-Zugriffen bei gewisser Auslastung zulassen

Browser-Integration  Hilfsprogramme bzw. Plug-Ins Kommen bei nicht (direkt) vom Browser unterstützten Dateiformaten zum Einsatz Z. B. AVI, MPG, MP3, RM, PDF Sind in der Regel schon vorher installiert Keine Ausführungsbeschränkungen oder Prüfungen Vertrauenswürdige Herkunft, Originale Z. T. aber auch Zugriffsschutzmodelle (kaum relevant)

Java (1)  Ursprung: Oak (1991)  Durchbruch mittels WWW als Java (1994)  Designziele: Plattform-unabhängig, Kompakt, Verfügbar, über das Netz herunterladbar  Als Programm oder im Browser startbar  Bytecode, wird interpretiert (langsam) oder per Just-in-Time-Compiler (JIT) direkt in Maschinencode übersetzt

Java (2)  JDK 1.0.x: Lokale Programme haben Vollzugriff Mobile Code läuft nur in der Sandbox  JDK 1.1.x: Einführung von digitalen Signaturen Mobilen Code kann man auch Vollzugriff ermöglich  JDK 1.2.x: Feinere Zugriffsrechte definierbar

Java (3)  Laden von Java Applets im Browser: Bytecode Verifier Applet Class Loader Applet (in eigenem Namespace) Ausführung in der Java Virtual Machine Überwachung durch den Security Manager Datenaustausch nur mit Herkunftsseite möglich  Probleme: u.a. Sicherheitslücken (insbesondere in frühen Versionen) und in „MS-Java“

ActiveX (1)  Microsoft‘s Ansatz von mobilen Anwendungen  Sammlung von Technologien, Protokollen und APIs, um ausführbaren Code über das Internet zu laden  Ursprung: OCX-Controls zur „nahtlosen“ Integration von Desktop und Netzwerk  Nur für Windows-Plattformen (Intel, 32 Bit)  Nicht auf Sicherheit ausgelegt, sondern dies wurde erst per Authenticode „drumherumgebaut“

ActiveX (2)  Arten von ActiveX-Controls: Native Code: Am gefährlichsten, direkt ausführbar, „Vollzugriff“ auf den Rechner Java Bytecode: Für JVM (Sandbox oder privilegiert), Überwachung möglich Mischform: Genauso gefährlich wie Native Code

ActiveX (3)  Authenticode: Digitale Signaturen (Public-Key-Zertifikate) Prüfung der Signatur beim Herunterladen des Controls (z.B. Unversehrtheit, Gültigkeit) Individuelle Entscheidung des Benutzers bei jedem ActiveX-Control (einzeln wählbar), ob er es ausführen möchte oder nicht  Gefahren: Keinerlei Beschränkungen, häufige Sicherheitslücken

JavaScript & Co. (1)  JavaScript: Von Netscape entwickelt (LiveScript)  JScript: Microsofts Implementierung von JavaScript  Visual Basic Script: Microsoft‘s eigene Skriptsprache

JavaScript & Co. (2)  Prozeduraler Aufbau (mit Parametern)  Werden interpretiert  Keine Klassen (Objekte) erzeugbar, aber auf vorhandene kann zugegriffen werden  Kann zwar nicht auf Dateien zugreifen, dafür aber auf andere Elemente (z.B. History, URLs)  Keine unterschiedlichen Sicherheitsrichtlinien für einzelne Skripte einer Webseite möglich, entweder alles oder nichts  Gefahren: DoS-Attacken (Fenster öffnen, Endlosschleifen), Generierung von anderem Code (Skripte oder Java), Web- Spoofing

Ausblick / Diskussion  Die Zukunft ist voller Überraschungen...  Was ist nun die „beste Möglichkeit“ für Mobile Codes, wie müsste sie aussehen und wie wäre sie zu implementieren?  Ist so etwas überhaupt realisierbar?