|
|
|
|
|
|
Nach log4j ist nichts mehr wie es war
|
Der Alte
Worum geht's?
Weil es hier im Forum ja doch eine ganze Menge Entwicklerinnen und Entwickler jeglicher Couleur gibt, fand ich, es sei mal an der Zeit, ihnen einen eigenen Sammelthread zu widmen.
Egal, was Du entwickelst - .NET, JavaScript, XCode, Java, PHP, R oder was auch immer - hier bist Du richtig. Teile Dein Wissen, Deine Erfahrungen, Deine besten Geschichten aus dem Beruf oder frage nach Rat.
Aber gibt's doch schon?
Ne. Es gibt schon:
Das pOT erstellt Spiele - nur Videospieleentwicklung
Informatiker helfen PC-Neulingen - geht um alles rund um IT, aber eigentlich Laienhilfethread
Mathematik, Physik, Informatik - Geht vor allem ums Studium? Ich hab weder mit Mathe noch mit Physik auch nur irgendwas am Hut
Einen richtigen Thread zu Software-Entwicklung gibt's bislang eigentlich nicht. Dabei ist ja eigentlich auch egal, was man entwickelt - viele Probleme sind völlig technologie- und frameworkübergreifend. Git verwendet jeder, mit Webentwicklung hat mittlerweile auch fast jeder Berührungspunkte, weil selbst Desktop-Apps mittlerweile mit HTML5-Frameworks zusammengeklöppelt werden und es gibt so viele interessante Dinge, über die man sich austauschen kann und die nicht spezifisch für die jeweils eigene Lieblingstechnologie sind oder sich auf den Kram beschränken, mit dem man auf Arbeit zu tun hat.
Wer macht was?
Natürlich brauchen wir eine Liste! Bitte zählt nicht jeden Scheiß auf, den ihr im Leben schon mal angefasst habt, sondern beschränkt Euch auf das, womit Ihr die meiste Zeit verbringt (beruflich und/oder privat).
| Ameisenfutter | JS & Web-Kram (GitHub) | | anoX* | so ziemlich alles (und ABAP, lel) | | Atomsk | TSQL, DAX, C# | | csde_rats | Python, C++, (ba)sh | | Daddi89 | Drupal, React.js | | Danzelot | Python | | DeineOmi | Java, Python, C | | Do`Urden | Clojure, Clojurescript, Python | | fantasio | OpenFOAM, C++, bisschen bash. | | FreeHawk* | Go, K8S | | FuSL | Ruby, Crystal | | Gepan.3dsvs.com | Delphi, Python, C#, Kotlin (GitHub) | | GoHan | Golang, NodeJs, PHP (GitHub) | | g0n0 | Testautomatisierung, VBS | | hardCoreGEN | Python, JavaScript, Azure | | Harpa | C#, .NET | | homer is alive | Python, .NET, Scala, Spark, SQL | | hoschi | C++, Java | | Hydroxi | PHP, Typescript, SQL, Bash | | Irdodath | HTML, XML, BB-Code,  | | krak0s | Java, React.js, Kotlin | | luke_skywalker | RPA, Python | | NI-Xpert | Golang, React.js | | Noxiller | Java, C# | | ]N-Squad[Crow | Java, Spring | | Oli | Bash (GitHub) | | padde | Java, C/C++, C# | | Pago | C++ | | Putzfrau | Python, Java, Kotlin, AWS, K8s, ML, Spark | | poppxapank | React.js | | SkunkyVillage | .NET, React, Office 365 | | [smith] | Scala, Akka | | Statixx | alles und nix richtig (GitHub) | | Swift | C#, Erlang, C++, Java (GitHub) | | SwissBushIndian | Java, C#, Typescript (GitHub) | | Tenz | alles rund um Frontend & JavaScript | | Underboss | PHP | | Viva la Bluescreen | C#, .NET | | X-Tender | React.js, TYPO3, PHP (GitHub) |
Ich will coden lernen. Wo sollte ich anfangen?
- javascript.info - modernere Tutorials zu JavaScript (aktueller als die JS-Tutorials von w3schools)
- Unity - Unity gilt als einsteigerfreundliche Videospiele-Engine und hat sehr gute eigene Tutorials, aber auch eine riesige Community (der Unofficial Unity Scripting Support Discord hat sehr hilfsbereite Leute!)
- codingame.com - spielerisches Lernen vieler verschiedener Programmiersprachen
- Python Tutorial - Python for Beginners (Full Course)
News Outlets
Anderer Kram
|
|
[Dieser Beitrag wurde 15 mal editiert; zum letzten Mal von Ameisenfutter am 18.03.2023 10:35]
|
|
|
|
|
|
|
|
|
Memo an mich: Startpost sammelthreadfähig machen.
/ Und typo im Untertitel, rip me.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Ameisenfutter am 27.01.2022 22:29]
|
|
|
|
|
|
|
|
|
| | Zitat von csde_rats
Es gibt ein neues Memo der US-Regierung zum Thema Neulandsicherheit und es ist... gut?
- Intranet und VPNs weg, denn Perimetersicherheit funktioniert nicht (kolorieren Sie mich überrascht)
- Passwörter weg (wenn, dann nur als Teil von MFA, und SO GOTT HILF lasst die Sonderzeichen- und Passwortwechselkacke sein)
- Unverschlüsselte Kommunikation ist nicht akzeptabel
- DoH als Standard
- Minimum TLS 1.3
- MFA per SMS-TAN, TOTP/Authy etc. muss weg ("phishing-resistant MFA is required")
- Es gibt genau ein IdM
- Middleboxen sind ein Risiko
- ...
| |
|
|
|
|
|
|
|
|
|
|
|
Muss zugeben, ich hab mich noch nie mit Alternativen von VPNs befasst. Gleich mal reinlesen.
(und n herzlichen zum TechLead)
|
|
|
|
|
|
|
|
|
|
|
Trustless Networks. Jedes System soll so sicher sein, dass es auch im Internet stehen kann. Google hat da auch massig docs zu unter beyondCorp.
VPN verleitet schnell zu Schludrigkeit, ist ja abgesichert.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Admiral Bohm
Trustless Networks. Jedes System soll so sicher sein, dass es auch im Internet stehen kann. Google hat da auch massig docs zu unter beyondCorp.
VPN verleitet schnell zu Schludrigkeit, ist ja abgesichert.
| |
Heieiei. Es sind ja nicht mal die APIs, die im Internets stehen, richtig abgesichert. 
|
|
|
|
|
|
|
|
|
|
|
|
Wie unterscheidet sich konkret eine phishing-resistente MFA von z.B. Authy?
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Ameisenfutter
Wie unterscheidet sich konkret eine phishing-resistente MFA von z.B. Authy?
| |
Ein Beispiel sind MFA Methoden bei denen man einen Code (z.b. per SMS bekommt), z.b. OTPs und diesen auf der Webseite eingeben muss.
In solchen Fällen kann ein einfacher Proxy Username,Password und 2 factor in einem abgreifen.
z.B. Webauthn: Der client verifiziert auch noch die Seite auf der der zweite Faktor benötigt wird, d.h. Proxy Seiten würden abgelehnt werden
|
|
|
|
|
|
|
|
|
|
|
|
Also zum Beispiel, indem man mit der MFA-App nen QR-Code scanned zum authentifizieren.
|
|
|
|
|
|
|
|
|
|
|
Ich nutze auch noch Authy.
Ich nehme nicht an, dass man da einfach die App ersetzen kann, oder? Die Gegenseite muss das Verfahren auch unterstützen, oder?
|
|
|
|
|
|
|
|
|
|
|
Ich dachte immer Authy ist nur eine andere App für OATH-TOTP, also ein Ersatz für den Google Authenticator. Wieder was gelernt.
Dass MFA/2FA über SMS oder Email unsicher ist, sehe ich ein. OATH-TOTP gilt aber als phishing-resistente MFA, oder?
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Eric Cartman
Ich dachte immer Authy ist nur eine andere App für OATH-TOTP, also ein Ersatz für den Google Authenticator. Wieder was gelernt.
Dass MFA/2FA über SMS oder Email unsicher ist, sehe ich ein. OATH-TOTP gilt aber als phishing-resistente MFA, oder?
| |
Authy verifiziert ja nicht, dass derjenige, der den Code da gerade anfordert, den auch wirklich haben darf. Wenn Dich Discorzd.com dazu auffordert, einen 2FA-Code einzugeben und Du das machst, hast Du halt gelitten.
|
|
|
|
|
|
|
|
|
|
|
ohne da jetzt authy im speziellen mir angeschaut zu haben sondern nur aus diesem "QR-code gerede" rausgelesen:
ich denke der ausschlaggebende punkt ist wer sich wem gegenüber authentifiziert.
z.b. wenn du deine EC karte in nen lesegerät steckst und die pin eingibst, dann authentifizierst du dich gegenüber dem gerät, aber das gerät sich nicht dir gegenüber.
genausoso isses halt bei passwort+TOTP code, eigentlich hast du keine ahnung wo du das grade eingibst. und selbst wenn du es rausfinden würdest, gibt es sicher genug menschen auf der welt die sich darum nicht scheren (das sind dann die phising opfer  )
ich würde jetzt vermuten(!) in diesen QR code ist noch ne komponente eingebaut die die stelle an der du das grade eingibst dir gegenüber authentifiziert, und da mencshen viel zu faul dafür sind und meistens schlecht im kopfrechnen bei elliptischen kurven übernimmt das halt diese APP.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Ameisenfutter
Also zum Beispiel, indem man mit der MFA-App nen QR-Code scanned zum authentifizieren.
| |
Das verifiziert aber auch... nichts? Der MITM / Proxy kann sich ja den richtigen QR Code ziehen und dir anzeigen.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Ameisenfutter
| | Zitat von Eric Cartman
Ich dachte immer Authy ist nur eine andere App für OATH-TOTP, also ein Ersatz für den Google Authenticator. Wieder was gelernt.
Dass MFA/2FA über SMS oder Email unsicher ist, sehe ich ein. OATH-TOTP gilt aber als phishing-resistente MFA, oder?
| |
Authy verifiziert ja nicht, dass derjenige, der den Code da gerade anfordert, den auch wirklich haben darf. Wenn Dich Discorzd.com dazu auffordert, einen 2FA-Code einzugeben und Du das machst, hast Du halt gelitten.
| |
Ja nun, dass macht die Google Authenticator App auch nicht, wenn ich deren Code irgendwo eingebe. Genau dafür ist er ja nur maximal 60 Sekunden gültig.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von g0n0
| | Zitat von Ameisenfutter
Also zum Beispiel, indem man mit der MFA-App nen QR-Code scanned zum authentifizieren.
| |
Das verifiziert aber auch... nichts? Der MITM / Proxy kann sich ja den richtigen QR Code ziehen und dir anzeigen.
| |
Hmmjo, guter Punkt. Daher ja meine ursprüngliche Frage, wie eine phishing-resistente MFA nun genau aussieht.
// Und in dem QR-Code könnte ja enthalten sein, wer der Empfänger des MFA-Codes ist. Das kann die MFA-App dann verifizieren. Es geht ja eigentlich nur darum, den menschlichen Faktor in dem ganzen Prozess (weil der im Zweifelsfall die URL nicht aufmerksam checkt) auszuschalten.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Ameisenfutter am 28.01.2022 9:52]
|
|
|
|
|
|
|
|
|
| | Zitat von g0n0
| | Zitat von Ameisenfutter
Also zum Beispiel, indem man mit der MFA-App nen QR-Code scanned zum authentifizieren.
| |
Das verifiziert aber auch... nichts? Der MITM / Proxy kann sich ja den richtigen QR Code ziehen und dir anzeigen.
| |
nochmal geraten: sobald du aber nen sicheren kanal in die richtung hast kannst du DH machen. wenn der DH parameter den du als input nimmst authenfiziert ist (quasi mittels des QR codes) dann kann der MITM den nicht so einfach austauschen.
aber weiterhin: das alles nur aus dem brauch raus geraten.
|
|
|
|
|
|
|
|
|
|
|
|
ich hoffe ja einfach es kommt gleich jemand um die ecke der uns auf die schulbank setzt und das aufklärt, da es echt spannend ausschaut oder ich muss selbst da mal am wochenende drumrumprokrastinieren
|
|
|
|
|
|
|
|
|
|
|
Sowas hier stelle ich mir vor:
>QR-Code codiert URL wie "discord.gg/auth"
>MFA-App weiß, dass sie nur Codes an diese URL schicken darf
>Nutzer scanned nun QR-Code mit seiner MFA-App
Proxy kann jetzt 2 Dinge tun:
1) QR-Code kopieren, nutzt aber nix, weil die MFA-App den Code ja nun nicht ans Proxy schickt
2) QR-Code ändern, nutzt aber auch nix, weil die MFA-App das erkennt
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Ameisenfutter am 28.01.2022 9:59]
|
|
|
|
|
|
|
|
|
|
Senior Security Architect Specialist Ameisenfutter. Hire me.
|
|
|
|
|
|
|
|
|
|
|
hmmm schiwerig, wie funktioniert denn die APP?
ich logg mich am laptop ein, geb passwort ein, krieg nen QR code, scann den mit dem handy ab und bin dann fertig am rechner eingeloggt? so in etwa?
in deinem (und in meinem DH szenario) würde da das nicht helfen, da man ja immer noch per MITM auf der seite sein könnte?
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von [KdM]MrDeath am 28.01.2022 10:17]
|
|
|
|
|
|
|
|
|
| | Zitat von Ameisenfutter
Sowas hier stelle ich mir vor:
>QR-Code codiert URL wie "discord.gg/auth"
>MFA-App weiß, dass sie nur Codes an diese URL schicken darf
>Nutzer scanned nun QR-Code mit seiner MFA-App
Proxy kann jetzt 2 Dinge tun:
1) QR-Code kopieren, nutzt aber nix, weil die MFA-App den Code ja nun nicht ans Proxy schickt
2) QR-Code ändern, nutzt aber auch nix, weil die MFA-App das erkennt
| |
Damit 2) wahr ist, muss dann aber auch ein secret mit enthalten sein, welches nur der legitime Sender und die MFA App kennen.
Möglicherweise ließe sich das so realisieren, dass beide Seiten MFA einrichten, anstatt dem derzeitigen "einseitigen" MFA.
Bei der Einrichtung tauschen Server und Client jeweils ein secret aus. Wenn sich der Client dann einloggen will, gibt erst der Server einen mit dem Client-secret generierten Code an den Client (den dieser verifiziert), und anschließend gibt der Client einen mit dem Server-secret generierten Code an den Server. Voila?
Edit: Da kann dann auch die Adresse des Servers drin stehen. Der Proxy kann seine eigene Adresse nicht erfolgreich reincodieren, ohne das secret zu kennen.
Alternativ könnte die Serveradresse auch einfach einmalig bei der Einrichtung von MFA an den Client übergeben werden. Darf sich natürlich dann nicht irgendwann ändern, bzw dann muss eben ein neuer MFA her.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von g0n0 am 28.01.2022 10:35]
|
|
|
|
|
|
|
|
|
Ich hab an die Übertragung bei der Einrichtung gedacht, aber Secret geht natürlich auch.
Gibt's hier wirklich niemanden, der das einfach weiß? Das scheint ja schon etabliert, u.a. von W3C?
|
|
|
|
|
|
|
|
|
|
|
|
Servus: ich habe keine Ahnung von coding. Zu meinem neuen Job gehört auch Software testen, konkret vor allem steuerungssoftware von Instrumenten für die (bio)chemische analytik. Gibt es da ein generelles Tutorial für den Einstieg?
|
|
|
|
|
|
|
|
|
|
|
Grob helfen da die Stichworte weiter:
- Testautomatisierung
- Oberflächentests
Was ist denn deine Idee, wie die Lösung nachher für dich aussehen soll / welche Arbeit konkret soll sie dir abnehmen?
|
|
|
|
|
|
|
|
|
|
|
|
Geht es um das Schreiben automatisierter Tests (hoffentlich) oder um Ansätze des manuellen Testens (hoffentlich nicht)?
|
|
|
|
|
|
|
|
|
|
|
btw: ameistenfutter, würdeste noch den alten im startpost verlinken?
finde das immer sehr praktisch.
|
|
|
|
|
|
|
|
|
|
|
|
Ist doch erst Nummer 1 hier, es gibt keinen Alten.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von [KdM]MrDeath
btw: ameistenfutter, würdeste noch den alten im startpost verlinken?
finde das immer sehr praktisch.
| |
Erledigt.
| | Zitat von Eric Cartman
Geht es um das Schreiben automatisierter Tests (hoffentlich) oder um Ansätze des manuellen Testens (hoffentlich nicht)?
| |
Ich hab ne Vermutung.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Ameisenfutter am 28.01.2022 14:07]
|
|
|
|
|
|
|
|
|
| | Zitat von Irdorath
Ist doch erst Nummer 1 hier, es gibt keinen Alten.
| |
Eiffel intensifies.
|
|
|
|
|
|
|
|
| Thema: Software-Entwicklung 1 ( Nach log4j ist nichts mehr wie es war ) |
