Zum Hauptinhalt
Heise Mastering Websecurity

Die Online-Konferenz von Heise

Mastering
Websecurity

Moderne Webanwendungen sicher gestalten

21. April 2021

MEHR ERFAHREN

SECURITY-RISIKEN ERKENNEN
UND ABSICHERN

Nahezu jedes Unternehmen muss sich heutzutage mit der Entwicklung von Webanwendungen beschäftigen – und macht sich damit allzu leicht angreifbar für Angriffe von außen. Oft verkannt wird die Herausforderung, Security-Schwachstellen abzusichern und Eindringlinge dadurch präventiv abzuwehren. In dieser Online-Konferenz zeigen Ihnen erfahrene Entwickler und Security-Experten die wichtigsten Techniken, mit denen Sie Ihre Webanwendungen sicher gestalten können – und zwar auf dem neuesten Stand!

Angefangen bei einer Analyse der aktuellen OWASP Top Ten bekommen Sie praktisch anwendbares Wissen über kryptografische Verfahren und zur Grundabsicherung von Webanwendungen. Die Experten zeigen, wie agiles Threat Modeling in puncto Security helfen kann und welche Sicherheitslücken in Node.js und npm lauern. Ein Blick auf zeitgemäße Authentifizierungstechniken rundet die Konferenz ab und gibt Ihnen das notwendige Know-how an die Hand, Ihre Webanwendungen effektiv vor Angreifern zu schützen.

DAS KÖNNEN SIE LERNEN

  • Die wichtigsten Security-Maßnahmen für Webanwendungen
  • Fokus JavaScript: Sicherheitsrisiken in npm und Node.js aufdecken
  • Kontinuierliches Threat Modeling in der Praxis
  • So schützen Sie sich gegen die aktuellen OWASP-Schwachstellen
  • Kryptografie richtig verstehen und praktisch anwenden
  • So geht Authentifizierung mit OAuth und OpenID
ZUM PROGRAMM

DIE KONFERENZ

  • 09:00 Uhr bis 09:15 Uhr

    Begrüßung

    Björn Bohn, heise Knowledge

    Wir heißen Sie herzlich willkommen zu unserer Online-Konferenz und geben Ihnen einen Ausblick auf den Tag.

  • 09:15 Uhr bis 10:00 Uhr

    OWASP Top Ten – heute und morgen

    Christian Wenz, Arrabiata Solutions

    2021 wird die neueste Version der OWASP Top Ten erscheinen, das bekannteste Awareness-Dokument für Webapplikationssicherheit. Das Open Web Application Security Project priorisiert die zehn größten Risiken für Webapplikationen und stellt Handlungsanweisungen und technische Dokumentation zur Verfügung. Wir werfen einen Blick auf die aktuellste Variante der OWASP Top Ten und diskutieren nicht nur alle Punkte der Liste, sondern auch, was fehlt, was vielleicht gar nicht auf die Liste gehört und was die Zukunft bringt.

  • 10:15 Uhr bis 11:00 Uhr

    Kryptografie – von Cäsar zu elliptischen Kurven

    Golo Roden, the native web

    Kryptografie ist ein weites Feld – es geht um Verschlüsselung, Hashwerte, digitale Signaturen, Zertifikate und vieles andere mehr. Obwohl diese Themen insbesondere im Web und der Cloud zum Alltag gehören, mangelt es häufig am grundlegenden Verständnis. Dabei geht es nicht darum, AES aus mathematischer Sicht im Detail erklären zu können, sondern um eine konzeptionelle Vorstellung: Was ist denn überhaupt symmetrische, was asymmetrische Verschlüsselung? Warum funktioniert das? Wofür ist es gut? Genau um diese Fragen geht es in diesem Vortrag. Kommen Sie mit auf eine anschauliche Reise, von Cäsar bis hin zur modernen Verschlüsselung auf Basis elliptischer Kurven!

  • 11:15 Uhr bis 12:00 Uhr

    Unverzichtbare Sicherheitsmaßnahmen für Webanwendungen

    Lisa Maria Moritz & Christoph Iserlohn, INNOQ

    Im Web lauert eine Vielzahl von Sicherheitsgefahren. Deshalb sollten ein paar grundlegende Vorkehrungen getroffen werden: Angefangen bei der richtigen TLS-Konfiguration, über Schutzmaßnahmen wie dem Einrichten einer Content-Security-Policy und dem Überprüfen nachgeladener Ressourcen mittels Subresource Integrity, bis hin zur Absicherung von Cookies sowie dem Schicken oder Vermeiden bestimmter HTTP-Header. Welche grundlegenden Maßnahmen es zu beachten gilt und wie man diese umsetzt, erfahren Sie in diesem Vortrag.

  • 12:15 Uhr bis 13:00 Uhr

    To be Announced

    TBA

    Die Vortragsinformationen werden noch bekannt gegeben.

  • 13:00 Uhr bis 14:00 Uhr

    Mittagspause

    Nutzen Sie die Mittagspause gerne zum Austausch mit anderen Teilnehmern der Konferenz.

  • 14:00 Uhr bis 14:45 Uhr

    Agiles Threat Modeling für Webanwendungen

    Christian Schneider, Software-Architekt, Hacker, Trainer

    Agile Softwareentwicklung und kontinuierliches Threat Modeling: Geht das? Ja, und zwar ganz getreu dem DevSecOps-Sinne mittels “Threat-Model-as-Code”! Sehen Sie in dem Vortrag die Ideen hinter dem Ansatz: entwicklerfreundliches Bedrohungsmodellieren der Architektur von Webanwendungen direkt aus der IDE heraus, ganz stilecht mit einer Live-Demo mittels Open-Source-Werkzeugen. In IDEs editierbare und in Git diffbare Modelle, interaktive Modellerstellung, automatisch regel-basiert abgeleitete Risiken sowie grafische Diagramm- und Reportgenerierung inklusive Mitigationsmaßnahmen.

  • 15:00 Uhr bis 15:45 Uhr

    Stranger Danger: Finding Security Vulnerabilities Before They Find You!

    Liran Tal, Snyk

    Open-source modules on the NPM ecosystem are undoubtedly awesome. However, they also represent an undeniable and massive risk. You’re introducing someone else’s code into your system, often with little or no scrutiny. The wrong package can introduce critical vulnerabilities into your application, exposing your application and your user’s data. This talk will use a sample application, Goof, which uses various vulnerable dependencies, which we will exploit as an attacker would. For each issue, we’ll explain why it happened, show its impact, and – most importantly – see how to avoid or fix it.

  • 16:00 Uhr bis 16:45 Uhr

    Richtig sicher: OAuth und OpenID Connect in Webanwendungen

    Jörg Krause, www.IT-Visions.de

    Authentifizierung von Benutzern in modernen Webanwendungen ist nicht trivial, denn neben allgemeinen Sicherheitsanforderungen gilt es auch die DSGVO zu beachten und gleichzeitig ausreichend komfortabel zu sein. In diesem Vortrag stellt Jörg Krause die grundlegenden Protokolle OAuth und OpenID Connect und deren praktische Funktionsweise vor. Zudem zeigt er die Implementierung am Beispiel des Cloud-Dienstes „Azure B2C“.

  • 17:00 Uhr

    Abschluss und Networking

    Björn Bohn, heise Knowledge

    Wir hoffen, Sie haben viel gelernt und nutzen den restlichen Abend für Austausch und Networking mit Teilnehmern und Speakern.

IHRE EXPERTEN

  • Christian Wenz

    Christian Wenz

    Co-Founder, Arrabiata Solutions

    Christian Wenz ist Berater, Trainer und Autor für Webtechnologien. Als Teilhaber der Arrabiata Solutions sorgt er für schnellere und sicherere Webanwendungen. Er ist ASP.NET MVP und ASPInsider, Hauptautor der offiziellen PHP-Zertifizierung, Kontributor mehrerer Open-Source-Projekte und spricht regelmäßig auf Entwicklerkonferenzen rund um den Globus.

  • Golo Roden

    Golo Roden

    CTO, the native web

    Golo Roden ist Gründer und CTO der the native web GmbH. Er berät Unternehmen zu Technologien und Architekturen im Web- und Cloud-Umfeld, unter anderem zu TypeScript, Node.js, React, CQRS, Event-Sourcing und Domain-Driven Design (DDD).

  • Christian Schneider

    Christian Schneider

    Software-Architekt, Hacker, Trainer

    Christian Schneider ist als freiberuflicher Whitehat-Hacker, Trainer und Security-Coach tätig. Als Softwareentwickler mit mittlerweile zwanzig Jahren Erfahrung – ein Großteil davon im Java-Umfeld – fand er 2005 seinen Themenschwerpunkt im Bereich IT-Security. Er berät DAX-Konzerne und mittelständische Unternehmen im Bereich der sicheren Softwareentwicklung durch Security Architecture Consulting und Penetrationtesting.

  • Lisa Moritz

    Lisa Maria Moritz

    Consultant, INNOQ

    Lisa Moritz ist Consultant bei INNOQ. Ihre Schwerpunkte liegen in Web-Architekturen und der Programmierung mit Java sowie JavaScript. Sie ist sowohl im Backend als auch im Frontend unterwegs. Neben der Programmierung und Konzipierung von Architekturen engagiert sie sich im Bereich Sketchnotes und macht seit Juni 2020 regelmäßig Sketchnotes für Software-Architektur im Stream. Dort steht sie auch gelegentlich als Gast oder Interviewer vor der Kamera.

  • Christoph Iserlohn

    Christoph Iserlohn

    Senior Consultant, INNOQ

    Christoph Iserlohn ist Senior Consultant bei INNOQ. Er hat langjährige Erfahrung mit der Entwicklung und Architektur verteilter Systeme. Sein Hauptaugenmerk liegt dabei auf den Themen Skalierbarkeit, Verfügbarkeit und Sicherheit.

  • Lyran Tal

    Liran Tal

    Developer Advocate, Snyk

    Liran Tal is an application security activist and long-time proponent of open-source software. He is a member of the Node.js security working group, an OWASP project lead, and author of Essential Node.js Security, and O’Reilly’s Serverless Security. At Snyk, he is leading the developer advocacy team and in a mission to empower developers with better dev-first security.

  • Jörg Krause

    Jörg Krause

    Softwarearchitekt, www.IT-Visions.de

    Jörg Krause arbeitet im Expertenteam von www.IT-Visions.de als Softwarearchitekt, Berater und Softwareentwickler mit Schwerpunkt Web- und Cloud-Anwendungen. Neben der Beratung zu aktuellen Technologien vermittelt Jörg auch Wissen über Optimierung und Sicherheit in Schulungen und Workshops

TICKETS BUCHEN

  • Ein ganzer Tag Security-Know-how für Entwickler
  • Sieben Praxisvorträge renommierter Experten
  • Websecurity von den Grundlagen bis zur Praxis
  • Online-Teilnahme vom eigenen Schreibtisch aus
  • Tauschen Sie sich mit anderen Teilnehmern aus
  • Stellen Sie den Experten Fragen über den Chat
  • Unbefristeter Zugang zu allen Videos & Materialien
  • Ideal für Teams und Unternehmen

Frühbucherpreis: 149 €*

Profitieren Sie bis zum 9. April von unserem Frühbucher-Rabatt und sparen Sie 50 €!

Sie wollen mit Ihrem Team oder Ihrem Unternehmen an der Konferenz teilnehmen? Kontaktieren Sie Björn Bohn für ein exklusives Angebot!

JETZT BUCHEN

*Alle Preise verstehen sich inkl. gesetzl. MwSt. (kann je nach Bestimmungsland im Bestellverlauf variieren).

SPONSORING

Sie haben Interesse an einer Partnerschaft? Kontaktieren Sie uns und profitieren Sie als Sponsor von unseren maßgeschneiderten Paketen.

Gern erstellen wir Ihnen ein Angebot!

Tarik El-Badaoui // +49 [0] 511 5352-395 // teb@heise.de