Heute entsteht Software meist auf der Basis von Frameworks, die bereits Sicherheitstechniken enthalten. Diese zu verstehen, ist essentiell für Applikationsentwickler und Systemingenieure, die Frameworks verwenden, um Applikationen mit der jeweiligen Firmeninfrastruktur zu verbinden. Ein Schwerpunkt dieses Bandes ist die Absicherung von Enterprise-Software durch existierende Frameworks wie z. B. J2EE. Darüber hinaus werden grundsätzliche Fragen der Zuverlässigkeit von Software behandelt, etwa Safety, sicheres Funktionieren von Software und Usability.

Roland Schmitz

1986 - 1991 Studium der Mathematik an der TU Braunschweig, 1994 Promotion

1995 - 1997 Wissenschaftlicher Mitarbeiter in der Abteilung 'Software-Engineering' am Technologiezentrum der Deutschen Telekom in Darmstadt (heute Teil der T-Nova Innovationsgesellschaft Deutsche Telekom mbH)

1997 - 2001 Tätigkeit am Technologiezentrum in der Abteilung 'Sicherheitskonzepte und Kryptologie' mit den Hauptgebieten Sicherheit mobiler Kommunikation sowie Standardisierung digitaler Signaturen

Seit 2001 Professor für Internet-Security an der Hochschule der Medien, Stuttgart

Walter Kriha

1979 - 1986 Doppelstudium Soziologie, Germanistik und Geschichte an der Ludwig-Maximilians Universität München, 1986 Diplom in Soziologie

1986 - 1989 Systementwickler für Sinix Betriebssysteme im Forschungs- und Entwicklungszentrum der Firma Siemens in  München

1089 - 1991 Systemarchitekt für Firma Siemens in Santa Clara, Californien

1992 - 1994 Systemarchitekt bei Firma Litef, Freiburg. Design und Implementierung eines mobilen Multiprozessorsystems unter Berücksichtigung von Fehlertoleranz und Realtime-Anforderungen

1994 - 1996 Leiter der Software-Entwicklung der Firma IP Info Process in Buchenbach bei Freiburg. Entwicklung eines verteilten Systems für Dokument-Management

1997 - 2001 Beratertätigkeit für des Finanzkonzern UBS. Entwurf von verteilten Backbone Systemen und Unternehmensportalen

Seit 2002 Professor für Verteilte Systeme und Internet Technologien an der Hochschule der Medien, Stuttgart.

Kaufen Sie hier:

Horizontale Tabs

Blick ins Buch

Inhaltsverzeichnis

Inhaltsverzeichnis	6
Einführung und Motivation	15
Literatur	23
Angriffe	24
2.1 Eine Übersicht der Attacken	25
2.2 Die Attacken im Einzelnen	31
2.3 Grundlagen der Input-Validierung	51
2.4 Attacken auf Ebene der Semantik	74
2.5 WEB2.0-Techniken und ihre Problematik	82
2.6 Zur Psychologie der Verteidigung	97
Literatur	101
Grundprinzipien des Designs sicherer Systeme	104
3.1 Economy of Mechanism (KISS)	106
3.2 Fail-Safe-Defaults	107
3.3 Complete Mediation	107
3.4 Open Design: The Design Should Not Be Secret	110
3.5 Separation of Privilege	111
3.6 Principle of Least Privilege (POLP)	112
3.7 Least Common Mechanism	113
3.8 Psychological Acceptability	116
3.9 Zusammenfassung der Prinzipien von Saltzer und Schroeder	117
3.10 Principle of Least Authority – POLA	118
Literatur	127
Platform Security	128
4.1 Platform Security heute	129
4.2 Die „Immutable Laws of Security“: Schadensbegrenzung unmöglich?	134
4.3 Sicherheit und Zuverlässigkeit von Betriebssystemen	139
4.4 Kapselung durch virtuelle Maschinen	152
4.5 Softwarebasierte Isolation am Beispiel Singularity	158
4.6 Das Least Authority (POLA) Prinzip beim Bau von Systemen	164
4.7 Die Sicherheit von Servern	173
4.8 Administration	187
Literatur	193
Java Sprach- und Plattformsicherheit	195
5.1 Die Evolution der Java-Sicherheit	196
5.2 Sprachbasierte Sicherheit	199
5.3 Access Control Policies und ihre Implementation	207
5.4 Designaspekte der Umstellung auf Java 2 Security	230
5.5 Code Security für Enterprise-Applikationen	235
Literatur	238
Enterprise Security	240
6.1 Grundlagen von Enterprise Security	241
6.2 Problematik der Ende-zu-Ende-Sicherheit	250
6.3 JAVA EE und EJB	259
6.4 Struts	289
6.5 Light-weight Container Security: Das Spring Security ( Acegi) Framework	306
6.6 Grids	314
6.7 Integration von Conventional-off-the-Shelf (COTS) Applikationen	320
Literatur	321
Application Server Security	323
7.1 Vom Socket-Server zur Container-Architektur	324
7.2 Beispielarchitektur eines Applikationsservers	330
7.3 Security-Interfaces zwischen Server und Applikationen	338
7.4 Repräsentation von Identität: Die Erstellung eines Subjects	341
7.5 Probleme zwischen JAAS und JAVA EE	354
7.6 Absichern von Application-Servern („Hardening“)	357
7.7 Zusammenfassung	371
Literatur	372
Sichere Multi-Vendor Komponentensysteme	373
8.1 Dynamische Services und ihre Isolation in OSGI	374
8.2 Sichere Transaktionen mit FINREAD	380
Literatur	393
Web-Services und objektbasierte Sicherheit	394
9.1 Modelle sicherer Kollaboration	395
9.2 Objektbasierte Sicherheit	399
9.3 SOAP Security	405
9.4 SOA-Security	420
Literatur	422
Sichere Software: Mechanismen und Konstruktionsprinzipien	423
10.1 Rahmenbedingungen sicherer Software	425
10.2 Grundlegende Mechanismen sicherer Software	427
10.3 Sicherheit und Softwarearchitektur	440
10.4 Concurrency	470
10.5 Gegenkräfte	481
10.6 Sicherheit der Applikation	485
10.7 Sind Sicherheit und Nebenläufigkeit „Aspekte“?	489
Literatur	491
Fehleranalyse	493
11.1 Fehleranalyse als didaktisches Prinzip	493
11.2 Fehleranalyse als theoretisches Prinzip	494
11.3 Datenbasis und Hypothesenbildung	495
11.4 Die Fehler im Einzelnen	497
11.5 Klassifikation der Schwachstellen im Mozilla- Firefox- Browser	510
11.6 Browserarchitektur und Sicherheitskonzepte	512
Literatur	525
Browsersicherheit durch Object Capabilities	526
12.1 Beschreibung des Experiments	527
12.2 Architektur, Design und Implementation der Lösung	529
12.3 Sicherheitsanalyse	535
Literatur	538
Security und Usability	539
13.1 Zum Verhältnis von Usability und Security	540
13.2 Lokale vs. fremdvermittelte Sicherheit	542
Literatur	567
Bestimmung der Sicherheit durch formale Ansätze	569
14.1 Zur Frage der Entscheidbarkeit von Sicherheit	570
14.2 Der Scoll-Ansatz in der Sicherheitsanalyse (Fred Spiessens)	586
14.3 Prüfung Operationaler Umgebungen	608
Literatur	619
Schlussbetrachtungen	621
15.1 Security vs. Safety	621
15.2 Security vs. Usability	622
15.3 Mehr Sicherheit durch Einschränkung der Nutzer?	624
15.4 Prozessorientierte Security	624
15.5 Modellbasierte, integrierte Security	625
15.6 Zuverlässigkeit und Verfügbarkeit	626
Literatur	627
Index	628