Dienstag, 09:30 Uhr

Webapplikationssicherheit für JavaScript-Entwickler

Haben Sie sich schon immer gefragt, wie Sicherheitsfeatures JavaScript-Frameworks und Browsern genau funktionieren und welche für Sie als JavaScript-Entwickler relevant sind? Könnte Ihr Detailwissen zur Same-Origin Policy (SOP), Cross-Origin Resource Sharing (CORS), Cross-Site Scripting (XSS), Content Security Policy (CSP), Websocket Security, etc. noch eine Nachschärfung gebrauchen oder sind diese Begriffe neu für Sie? Wollten Sie immer schon die Security-Features von JavaScript-Frameworks verstehen und wissen, wie die Frameworks da abschneiden?

Dann wird ein Besuch dieses Kurses Sie weiterbringen. Das Thema Sicherheit in Webapplikationen betriff auch das Frontend, und es ist nicht absehbar, dass es weniger wichtig wird.

Holen Sie sich Ihren Wettbewerbsvorteil, indem Sie über Sicherheitsthemen im Detail Bescheid wissen, einen sicheren Programmierstil finden, richtige JavaScript-Technologieentscheidungen aus Sicherheitssicht treffen und genau einschätzen können, wo ein echtes Sicherheitsproblem liegt und wo nicht. Lernen Sie die Angreiferdenkweise und adäquate Sicherheitsmaßnahmen in einem praxisorientierten Workshop kennen.

Ablauf (vorläufig):

* Das HTTP-Protokoll im Detail
* Same-Origin Policy in Webbrowsern
* Cross-Site Request Forgery (CSRF) und nachhaltige Gegenmaßnahmen für moderne Applikationen

Kaffeepause

* Cross-Site Scripting (XSS): Angriffsszenarien und Schutzmaßnahmen in Frontend-Frameworks

Mittagessen

* Content Security Policy (CSP) als zweite Verteidigungsschicht gegen XSS

Kaffeepause

* Cross-Origin Resource Sharing (CORS) und Websocket Security
* Wrap-up

Vorkenntnisse:
* Grundlegendes Verständnis des HTTP-Protokolls
* Grundlegende JavaScript-Programmierkenntnisse (kein spezielles Framework erforderlich)
* Backend-Programmierkenntnisse sind hilfreich, aber nicht erforderlich

Lernziele:
* Sicherheitsaspekte von Frontend-Softwareentwicklung gut verstehen
* Eine Angreiferdenkweise lernen (nur so kann man Applikationen effektiv schützen)
* Richtige Technologieentscheidungen aus Sicherheitssicht treffen können
* Effektive und elegante Maßnahmen gegen Sicherheitsprobleme entwickeln können

Thomas Konrad
(SBA Research)

Thomas arbeitet seit acht Jahren im Software-Security-Team bei SBA Research in Wien. Dort beschäftigt er sich mit Themen wie sichere Softwareentwicklung, Webapplikationssicherheit, Penetration-Testing und Schulungen in diesen Bereichen. Er hat mehrere Jahre Erfahrung als Trainer und Softwareentwickler.