Sicherheitsrisiko: Single-Page Applikationen?

Agile Day
18.05.
ab 14:30 Uhr
bis Uhr
Security
Raum
Rebland

Abstract

Single-Page Applikationen sind heutzutage sehr beliebt, aktuelle Frontends werden aus diesem Grund überwiegend als Javascript-Anwendungen vollständig im Web Browser des Anwenders ausgeführt.

Mit Blick auf die Sicherheit bringen SPAs jedoch ein weit höheres Risko mit sich im Vergleich zu server-seitig ausgeführten Webanwendungen wie z.B. Spring MVC.

In diesem Vortrag werden wir uns die beliebten SPA-Bibliotheken Angular, React und Vue ansehen und einen genaueren Blick auf deren Sicherheitsaspekte werfen. Insbesondere werden wir uns mit Sicherheitsrisiken wie Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF), Risiken bei der Token-basierten Authentifizierung und Fehlkonfigurationen von CORS beschäftigen.

Um Entwickler nicht schutzlos im Regen stehen zu lassen, werden wir die eingebauten Abwehrmechanismen der verschiedenen SPA-Bibliotheken bzw. -Frameworks analysieren und aufzeigen, welche Schritte darüber hinaus für Entwickler erforderlich sind. Bereitet Euch also darauf vor, dass in Euren beliebten SPAs einige XSS-Popups auftauchen werden.

Der Vortrag richtet sich an Softwareentwickler, Architekten und alle Sicherheitsinteressierte gleichermaßen. Zum Verständnis des Vortrags sind grundlegende Vorkenntnisse zur Funktionsweise von Webanwendungen notwendig. Kenntnisse in einer Programmiersprache wie Java oder Javascript sind hilfreich, aber nicht zwingend erforderlich.

Folien:

Speaker

Andreas Falk

Novatec Consulting GmbH, Deutschland

Andreas Falk arbeitet für die Novatec Consulting mit Sitz in Stuttgart. In verschiedenen Projekten ist er seither als Architekt, Coach, und Trainer im Einsatz. Sein Schwerpunkt liegt auf der agilen Entwicklung von Cloud-Nativen Java Anwendungen. Als Mitglied der OWASP Community und der OpenID Foundation beschäftigt er sich auch gerne mit diversen Aspekten der Anwendungssicherheit.