Dienstag, 09:30 Uhr

Webapplikationssicherheit für JavaScript-Entwickler

Haben Sie sich schon immer gefragt, wie Sicherheitsfeatures JavaScript-Frameworks und Browsern genau funktionieren und welche für Sie als JavaScript-Entwickler relevant sind? Könnte Ihr Detailwissen zur Same-Origin Policy (SOP), Cross-Origin Resource Sharing (CORS), Cross-Site Scripting (XSS), Content Security Policy (CSP), Websocket Security, etc. noch eine Nachschärfung gebrauchen oder sind diese Begriffe neu für Sie? Wollten Sie immer schon die Security-Features von JavaScript-Frameworks verstehen und wissen, wie die Frameworks da abschneiden?

Dann wird ein Besuch dieses Kurses Sie weiterbringen. Das Thema Sicherheit in Webapplikationen betriff auch das Frontend, und es ist nicht absehbar, dass es weniger wichtig wird.

Holen Sie sich Ihren Wettbewerbsvorteil, indem Sie über Sicherheitsthemen im Detail Bescheid wissen, einen sicheren Programmierstil finden, richtige JavaScript-Technologieentscheidungen aus Sicherheitssicht treffen und genau einschätzen können, wo ein echtes Sicherheitsproblem liegt und wo nicht. Lernen Sie die Angreiferdenkweise und adäquate Sicherheitsmaßnahmen in einem praxisorientierten Workshop kennen.

Agenda

• ab 08.30 Uhr: Registrierung und Begrüßungskaffee


• 09.30 Uhr - 10.45 Uhr: Das HTTP-Protokoll im Detail, die Same-Origin Policy in Webbrowsern, Cross-Site Request Forgery (CSRF)


• 10.45 Uhr - 11.00 Uhr: Kaffeepause


• 11.00 Uhr - 11.30 Uhr: Fortsetzung CSRF, nachhaltige CSRF-Gegenmaßnahmen für moderne Applikationen


• 11.30 Uhr - 12.30 Uhr: Cross-Origin Resource Sharing (CORS)


• 12.30 Uhr - 13.30 Uhr: Mittagspause


• 13.30 Uhr - 14.45 Uhr: Cross-Site Scripting (XSS): Angriffsszenarien und Schutzmaßnahmen in Frontend-Frameworks, CSP


• 14.45 Uhr - 15.15 Uhr: Kaffeepause


• 15.15 Uhr - 16.45 Uhr: Websocket Security und Subresource Integrity


• 16.45 Uhr - 17.00 Uhr: Wrap-up


• ca. 17.00 Uhr: Ende

Technische Anforderungen:

• Installieren Sie das Java Runtime Environment (http://www.oracle.com/technetwork/java/javase/downloads/jre9-downloads-3848532.html)


• Installieren Sie Mozilla Firefox (https://www.mozilla.org/en-US/firefox/new/)


• Installieren Sie die Burp Suite Community Edition (https://portswigger.net/burp/)


• Halten Sie sich mindestens 200 MB Festplattenspeicher frei (nach Installation der Tools)

Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte:

• Workshop-Teilnehmer hat keine Administrator-Rechte.


• Corporate Laptops mit übermäßig penibler Sicherheitssoftware


• Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Vorkenntnisse:
* Grundlegendes Verständnis des HTTP-Protokolls
* Grundlegende JavaScript-Programmierkenntnisse (kein spezielles Framework erforderlich)
* Backend-Programmierkenntnisse sind hilfreich, aber nicht erforderlich

Lernziele:
* Sicherheitsaspekte von Frontend-Softwareentwicklung gut verstehen
* Eine Angreiferdenkweise lernen (nur so kann man Applikationen effektiv schützen)
* Richtige Technologieentscheidungen aus Sicherheitssicht treffen können
* Effektive und elegante Maßnahmen gegen Sicherheitsprobleme entwickeln können