Am 17.11.2011 lockte die vierte Konferenz der deutschen Sektion des OWASP (Open Web Application Security Project) – der German OWASP Day – mehr als 160 Interessierte und Experten aus dem Bereich der Web- und Softwaresicherheit nach München, um sich über aktuelle und zukünftige Bedrohungen und deren Kontrolle zu informieren und Kontakt mit Vortragenden und Gleichgesinnten zu pflegen.

Nicht zuletzt durch die Datenlecks bei namhaften amerikanischen als auch bei einer Reihe von deutschen Firmen ist 2011 das Jahr der Datenlecks im Internet, die größtenteils auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Mehr als doppelt so viele Teilnehmer wie im vergangenen Jahr verdeutlichen das stark wachsende Interesse am Thema Websicherheit.

Pünktlich zum German OWASP Day hat ein engagiertes Team eine deutsche Übersetzung der bekannten OWASP Top10 fertiggestellt und als Broschüre auf der Konferenz verteilt. Sie soll helfen, Risiken im Bereich der Websicherheit Managern wie Technikern besser zu verdeutlichen.

Als Keynote konnte das German Chapter des OWASP Isabel Münch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gewinnen. Ihre Eröffnung der vierten deutschen OWASP-Konferenz bot ein Review der sich ändernden Bedrohungen im Internet und endete mit einem Kollaborationsangebot des BSI für die deutsche OWASP-Community.

Die Konferenz bot ein vielschichtiges Programm im Anschluss an die Keynote. Zwei parallele Tracks deckten von Secure Software Development Life Cycle, Statischer Code Analyse über Web-Service-Security, Mobile Security und Browser-Sicherheit sowie aktuellen Cyber-Bedrohungen ein breites Spektrum ab. Eins der Highlights war Juraj Somorovsky, der zeigte, wie unsicher XML Encryption bei Verwendung des Cipher Block Chaining Mode (CBC) aufgrund eines Orakelphänomens ist, und an welchen Stellen Eucalyptus und Amazon durch XML Signature Wrapping ein Problem hatten. Als eingeladener Sprecher markierte Thomas Roessler vom W3C den Abschluss der Konferenz, der eindringlich davor warnte, den clientseitigen Teil der Sicherheit von Webanwendungen zu vernachlässigen. Das Anwendungsparadigma heißt heute „Cloud“, JavaScript und Flash sei nun weitaus leistungsfähiger und umfangreicher, aber auch komplexer in puncto Sicherheit. Das Letztere wird auch bei weiterer Verbreitung von HTML5 gelten.

Teilnehmer, Sprecher sowie die Organisatoren vom German Chapter des OWASP äußerten sich hoch zufrieden über den Verlauf und die Qualität der Konferenz. Ort und Datum des fünften German OWASP Day wird Anfang nächsten Jahres bekannt gegeben.

OWASP ist eine offene Community mit dem Ziel, Know-How im Bereich der Websicherheit aufzubauen. Im Vordergrund stehen Best Practices, Tools und Konzepte für die sichere Entwicklung, Test und Schutz von Webanwendungen. Zielgruppe sind Entwickler, Sicherheitsberater, Projektmanager und Sicherheitsbeauftragte.

Weiterführende Links

• Orginalmeldung von Tele-Consulting security | networking | training GmbH
• Alle Meldungen von Tele-Consulting security | networking | training GmbH