Hasso-Plattner-Institut
 
    • de
 

Softwaresicherheit in verteilten Web-Anwendungen

Wir konzentrieren uns auf das Thema Software- und Anwendungssicherheit im Kontext von Client/Server-basierten Web-Anwendungen und motivieren dessen Relevanz anhand einiger Beispiele aus der Praxis: insbesondere Angriffstechniken wie Cross-site Scripting und Session Hijacking stellen eine signifikante Bedrohung für viele E-Commerce Anwendungen dar, gegen die heute meist nur symptomatische Schutzmaßnahmen eingesetzt werden können.

Eine Analyse der Ursachen der entsprechenden Verwundbarkeiten in Web-basierten Systemen offenbart zunächst einmal grundsätzliche Probleme im Bereich des Session-Handlings, die auf technische Spezifika der zugrundeliegenden Web-Technologien (HTTP, JavaScript, etc.) zurückzuführen sind. Wir klassifizieren die bestehenden Probleme und stellen einen neuen Ansatz vor, um Anwendungen vor solchen Angriffen zu schützen, der weitgehend ohne Modifikation der Anwendungen selbst auskommt.

Danach diskutieren wir eine ursächlichen Herangehensweise an das Problem, die darin besteht, sicherheitsrelevante Eigenschaften verteilter, Web-basierter Systeme auf der Anwendungsebene miteinander zu koordinieren. Unter realistischen Randbedingungen erfordert dies geeignete Werkzeuge für Entwicklungsumgebungen und Anwendungsplattformen, die heute zwar noch nicht zur Verfügung stehen, an deren Konzeption jedoch gearbeitet wird.

Zur Person

Joachim Posegga received his diploma in computer science in 1987 from the University of Kaiserslautern. He worked for two years for the R&D Division of AEG Informationstechnik in Konstanz on pattern recognition techniques; in 1988 he went back to academia and joined the Department of Computer Science at Karlsruhe University as a Research Assistant and PhD student. His main research interests were Deduction System and Formal Methods.

He moved to the Department of Artificial Intelligence the University of Edinburgh in 1990, came back to Karlsruhe in 1991, and earned a PhD from Karlsruhe University in 1993: his thesis in theoretical computer science covered the relation between Binary Decision Diagrams and Tableau-based calculi.

Joachim Posegga went to Industry in 1995 and became a project manager at Deutsche Telekom's Research Organization (FTZ-FI); he was in charge of security projects for mobile networks and in particular working on smartcard technolgies like JavaCard.

In 2000, Joachim Posegga joined SAP Corporate Research and founded their security research program, intitially consisting of a group in Karlsruhe that expanded to SAP Labs France in Sophia Antipolis. The focus of research was security technologies for future e-business systems, in particular for mobile and pervasive applications and for collaborative scenarios.

In 2004 Joachim Posegga moved to the Department of Computer Science at the University of Hamburg, and became a full professor for Security in Distributed Systems. Since 2008 he took over the newly created Chair of IT security at the Institute for IT-Security and Security Law at the University of Passau.