Hasso-Plattner-Institut
 
    • de
 

SOA Sicherheit: Dienstbasierte Zugriffskontrolle?

Dienste (Services) sind ein zentrales Konzept in SOA. Damit liegt es nahe, sich bei Zugriffsregeln (Security Policies) direkt auf die Dienste zu beziehen, die auf Daten zugreifen oder andere Dienste aufrufen, und nicht wie sonst üblich auf Benutzer oder Rollen.

Beispiele für dienstbasierte Zugriffskontrolle können heute im Bereich von Web Services gefunden werden. Angriffe von Cross-Site Scripting bis JavaScript Hijacking nützen Schwachstellen der aktuellen Ansätze aus, und sind in den letzten Jahren zu einem Hauptproblem in der Software-Sicherheit geworden.

Im Vortrag werden die wesentlichen Angriffsmuster, die grundlegenden Probleme der heutigen Systeme, prinzipielle Lösungsansätze, und aktuelle Entwicklungen im Gebiet der dienstbasierten Zugriffskontrolle behandelt.

Zur Person

Dieter Gollmann, geboren in Graz, Steiermark, am 4.1.1955

Studium der Technischen Mathematik an der Universität Linz; Promotion über ein Thema in der Kryptographie (1984).

Lecturer in Computer Science am Royal Holloway College, University of London; danach wissenschaftlicher Mitarbeiter an der Universität Karlsruhe (1986-1990), Habilitation für das Gebiet Informatik (1991); seit 1990 wieder in Royal Holloway, dort maßgeblich mitbeteiligt an der Einrichtung eines Masters-Studiengangs „Information Security“ und bis 1997 Course Director für diesen Studiengang. 1998 Wechsel zum neu gegründeten Microsoft Research Laboratory in Cambridge. Seit September 2003 Professor für Sicherheit in verteilten Anwendungen an der TU Hamburg-Harburg.

Gastprofessor School of Software, Tsinghua Universität, Peking, Gastprofessor Royal Holloway, University of London, und adjungierter Professor an der DTU (Technische Universität Dänemarks).

Mitherausgeber des International Journal of Information Security (Springer Verlag) und Associate Editor des IEEE Security & Privacy Magazins.

Lehrbuch „Computer Security“ (John Wiley & Sons, zweite Auflage 2006.)

Arbeitsgebiete: Kryptographie, Sicherheitsprotokolle, Systemsicherheit