Neuigkeiten von trion.
Immer gut informiert.

Artikel in der Kategorie 'security'

CSP Nonce Header für Angular Anwendungen mit nginx Container 20 Jun

Geschrieben von Karsten Sitterberg am 20. Juni 2024
Angular

Durch CSP Header (Content Security Policy) lassen sich verschiedene Funktionen des Webbrowsers konfigurieren, um das Verhalten von Nachladen und auch Ausführen zusätzlicher oder dynamischer Inhalte zu beeinflussen. Damit lassen sich typische Einfallstore für Angriffe wie Cross-Site-Scripting (XSS) wirksam abstellen.
Ist die Webanwendung jedoch eine Single Page Anwendung (SPA) und auf dynamische Erzeugung von Inhalten angewiesen, führt eine globale Deaktivierung der Dynamik dazu, dass die Anwendung nicht mehr funktioniert. Es stellt sich daher die Frage, wie zwischen guten und potentiell schädlichen externen und dynamischen Inhalten unterschieden werden kann.

Dazu ist in allen Browsern inzwischen ein Verfahren implementiert, mit dem Entwickler solche Inhalte, die erwünscht sind, expliziert markieren können: sogenannte "Nonce" Markierungen. Aktuelle Frameworks, so auch Angular, bringen dazu auch speziellen Support mit.
Die Implementierung wird in diesem Beitrag anhand von nginx gezeigt.

Container Image Signing 15 Jun

Geschrieben von Thomas Kruse am 15. Juni 2024
Kubernetes

Container Images sind inzwischen etabliert, um darüber Anwendungen bereitzustellen. Durch das standardisierte Format, einheitliche Schnittstellen und das insgesamt bestehende Ökosystem wird es sehr einfach, Artefakte zu konsumieren und auch bereitzustellen. Jedoch hat das auch Konsequenzen: Die Verantwortung für Patchmanagement, Fehlerbehebungen und Security-Updates verschiebt sich zum Anbieter der jeweiligen Images, da diese mehr, als lediglich die Anwendung selbst beinhalten. Gleichzeitig obligt es dem Konsumenten bzw. Nutzer der Images, sicherzustellen, dass diese aus einer vertrauenswürdigen Quelle stammen und auch nicht zwischendurch verändert wurden.
Diese Aspekte der "Supply-Chain-Security", einem Unterbereich der IT-Sicherheit im Kontext von Containeranwendungen wollen wir uns in diesem und folgenden Artikel widmen.

Keycloak-Admins mit reduzierten Rechten 9 Apr

Geschrieben von Stefan Reuter am 9. April 2024
Keycloak

Bei der Erstinstallation von Keycloak wird im Master-Realm ein Benutzerkonto für einen globalen Administrator angelegt, der über alle Rechte verfügt. Dieser Benutzer darf neue Realms anlegen und alle Realms verwalten. Er ist ungefähr vergleichbar mit dem Superuser root unter Linux. Der Zugang erfolgt über die Admin-Konsole des Master-Realms unter <base_url>/admin bzw. <base_url>/admin/master/console.

Der Master-Realm ist ein spezieller Realm, der es Administratoren erlaubt, mehr als einen Realm auf dem System zu verwalten. Daneben verfügt aber jeder Realm, der in Keycloak erstellt wird, über eigene Admin-Konsole, von der aus dieser Realm verwaltet werden kann.

Sowohl im Master-Realm als auch in jedem anderen Realm können weitere Benutzer mit abgestuften administrativen Rechten angelegt werden.

Benutzerprofile erweitern in Keycloak 24 29 Mär

Geschrieben von Stefan Reuter am 29. März 2024
Keycloak

Im Auslieferungszustand von Keycloak umfassen Benutzerinformationen den Benutzernamen, Vor- und Zunamen sowie die E-Mail-Adresse. Diese Felder waren bis einschließlich Version 23 fest vorgegeben. Kundenspezifische Key-Value-Paare für Benutzer, Rollen und Gruppen konnten zwar definiert werden, aber Keycloak bot weder Validierung noch die Möglichkeit für Benutzer, diese in der Account-Konsole selbst zu ändern. Mit der Einführung von Version 24 werden Benutzerprofile wesentlich flexibler. Deklarative Benutzerprofile, bisher nur hinter einem Feature-Flag verfügbar, werden nun voll unterstützt und erlauben es Administratoren, beliebige Felder zu definieren und zu bestimmen, wer sie bearbeiten darf.

Zertifikate mit Traefik und Google Trust Services in Docker 15 Mär

Geschrieben von Patrick Fuchs am 15. März 2024
Illustration SecOps Fox

Gerade wenn es um Side-Projects oder Hobbyprojekte geht, ist das Budget oft begrenzt. Dann ist es besonders wichtig, dass keine zusätzlichen Kosten für TLS Zertifikate anfallen.
Im Zentrum eines solchen Projekts steht ein Vue.js-Frontend, das sich mit einer HTTP API verbinden soll. Natürlich mit der erforderlichen Sicherheit, die Transport Layer Security (TLS) bieten kann.

Bislang war ZeroSSL besonders deswegen attraktiv, da keine Rate-Limits kreativer Forschung entgegen standen. Allerdings liefert ZeroSSL seit einiger Zeit fehlerhafte (abgelaufene) Zertifikate aus der Vergangenheit oder auch API Fehler.

Da ACME ein Standard ist, sollte das auch mit anderen Anbietern gehen, und ein weiterer Anbieter ist Google.

DSGVO konforme self-hosted Newsletter Software Vergleich: Listmonk, Keila und Mautic 5 Jan

Geschrieben von Patrick Fuchs am 5. Januar 2024
Der Fuchs testet

Die Suche nach dem idealen Self-Hosted Newsletter-Tool kann herausfordernd sein. Es gibt inzwischen auch sehr viele Produkte mit (im grossen und ganzen) ähnlichem Funktionsumfang. In diesem Beitrag werden drei populäre Lösungen verglichen:

  • Listmonk, ein leistungsstarkes und schnelles Tool, bekannt für seine hohe Skalierbarkeit und einfache Bedienung,

  • Keila, welches in Deutschland entwickelt wird und sich durch seine Benutzerfreundlichkeit und Flexibilität auszeichnet.

  • Mautic, eine umfassende und flexible Lösung, die eine breite Palette an Marketing-Automatisierungsfunktionen bietet.

Jedes dieser Tools bietet unterschiedliche Funktionen und Vorteile, aber welches passt am besten zu den Anforderungen moderner Systeme?

Passkeys mit Keycloak 1 Dez

Geschrieben von Stefan Reuter am 1. Dezember 2023
WebAuthn

Seit Version 23 werden Passkeys in der Dokumentation von Keycloak offiziell erwähnt. Keycloak übernimmt dabei die Rolle einer Passkeys Relying Party (RP). Zur Umsetzung von Passkeys mit Keycloak nutzt man die Unterstützung von WebAuthn in Keycloak...

Salesforce als IdP für Keycloak 29 Nov

Geschrieben von Stefan Reuter am 29. November 2023
Salesforce

Ein starkes Identity and Access Management (IAM) ist entscheidend für die Sicherheit und Effizienz moderner Anwendungen. In diesem Blogbeitrag tauchen wir in die Welt der Konfiguration von Salesforce als Identity Provider für Keycloak ein, insbesondere...

Spring Security SPA und Angular CSRF Schutz 9 Aug

Geschrieben von Thomas Kruse am 9. August 2023
Spring Framework Logo

Cross-Site-Request-Forgery oder kurz CSRF ist ein Angriff, bei dem der Browser eines Nutzers auf einer böswilligen Webseite dazu veranlasst wird, einen Request gegen eine andere Webseite durchzuführen. Ist der Nutzer auf der Zielwebseite eingeloggt, sendet der Browser bei manchen Verfahren die notwendigen Informationen automatisch mit, sodass der Request ebenfalls authentifiziert erfolgt. Dadurch kann der Angreifer Aktionen im Namen des Nutzers ausführen.

Ein populärer CSRF Angriff ist z.B. der Facebook "like" Angriff, bei dem Nutzer unbeabsichtigt und unwissentlich "Like" für Inhalte abgaben. Dies führte zur Verbreitung von unerwünschten Inhalten und Manipulation des Rankings.

In diesem Beitrag wird der CSRF Angriff im Detail erläutert und in Kombination von Spring Security und einer Browser Anwendung auf Basis von Angular diskutiert, wie ein entsprechender Schutz implementiert werden kann.

WebAuthn mit Keycloak 18 Jul

Geschrieben von Stefan Reuter am 18. Juli 2023
WebAuthn

In der heutigen digitalen Welt, in der Passwortlecks, Phishing-Angriffe und Identitätsdiebstahl an der Tagesordnung sind, ist die Sicherheit unserer Online-Konten von größter Bedeutung. Gleichzeitig streben Nutzer nach bequemen und nahtlosen...

Keycloak Login mit Magic Links 27 Jun

Geschrieben von Stefan Reuter am 27. Juni 2023
Keycloak

Magic Links sind ein Authentifizierungsverfahren, das eine passwortlose Anmeldung ermöglicht. Statt eines Passworts erhalten Benutzer per E-Mail einen speziellen Link, der eine Sitzung mit ihrem Konto startet. Indem sie einfach auf den Link klicken...

Keycloak Passwordless - Authentifizierung ohne Passwort 6 Jun

Geschrieben von Stefan Reuter am 6. Juni 2023
Keycloak

Passwordless-Authentifizierung, auch als passwortlose Authentifizierung bezeichnet, bietet einige Vorteile gegenüber klassischen Authentifizierungsverfahren und kann aus verschiedenen Gründen implementiert werden. Häufige Gründe für den Wunsch passwortlose Authentifizierung mit Tools wie Keycloak zu nutzen sind:

Erhöhte Sicherheit

Passwörter können anfällig für Diebstahl, Phishing-Angriffe und Brute-Force-Angriffe sein. Passwordless-Authentifizierung bietet eine sicherere Alternative, da keine Passwörter im Umlauf sind, die gestohlen oder kompromittiert werden könnten.

Los geht's!

Bitte teilen Sie uns mit, wie wir Sie am besten erreichen können.