OWASP German Chapter Stammtisch Initiative/Stuttgart

Der Stammtisch findet jeden ersten Montag jeden zweiten Monat statt.
Wir treffen uns jeweils um 19 Uhr im shackspace, Ulmer Straße 255, 70327 Stuttgart. U-Bahn Haltestelle "Im Degen" - U4, U9. Parkplätze sind in der Nähe des shackspaces vorhanden. Der Eingang ist auf diesem Bild (da wo der Typ eine raucht) schön zu erkennen :)

Zu jedem Termin wird ein Vortrag zum Besten gegeben, Wünsche jederzeit gerne. Um vorhergehende Anmeldung (siehe Link beim aktuellen Termin) wird gebeten, wer das verschwitzt darf aber natürlich auch kommen. Bei Fragen zum Stammtisch einfach kurz anschreiben.

Der Stammtisch wird hier, auf der Seite des shackspace, über die OWASP-Germany Mailingliste und Xing (einfach mit mir verknüpfen) angekündigt.

Wir freuen uns auf Euer Kommen!

Tobias

Termine:


 * nächster Termin 07.07.14


 * Programm:
 * 19.30h Vorstellungsrunde, Essensbestellung
 * 20.00h Vortrag Pragmatische Java-Web-Security
 * Anmeldung: http://moreganize.ch/bpjkvFg5oQM
 * Abstract: Die sichere Entwicklung von Java-Webanwendungen ist ein umfangreiches Thema, bei dem man gerade als Einsteiger leicht den Überblick verlieren kann. Bei den vielen möglichen Sicherheitsproblemen verirrt man sich bei der Suche nach hilfreichen Frameworks und Tools und findet keinen einfachen Zugang zu selbst lösbaren Sicherheitsproblemen. Die Session will dem ein Ende setzen und zeigt dazu, wie jeder Entwickler die sichere Entwicklung von Java-Webanwendungen ganz pragmatisch in die tägliche Arbeit integrieren kann.


 * Referent: Dominik Schadow (twitter: @dschadow) arbeitet als Senior Consultant beim IT-Beratungsunternehmen bridgingIT. Sein Fokus liegt auf der Architektur und Entwicklung von Java Enterprise Applikationen und der sicheren Softwareentwicklung mit Java. Er ist regelmäßiger Speaker auf verschiedenen Konferenzen und Autor des Java-Web-Security Buchs sowie zahlreicher Fachartikel.

Rückblick 
 * 05.05.14 17. OWASP German Chapter Stammtisch Stuttgart mit Vortrag Memory Forensik (Christoph Ritter)
 * 08.04.2013. 16. OWASP German Chapter Stammtisch Stuttgart mit Lightning Talk: Content Security Policy (Simon Bieber), [[Media:OWASP_Stammtisch_Stuttgart_20130408_Content_Security_Policy.pdf|Folien]]
 * 02.02.2013. 15. OWASP German Chapter Stammtisch Stuttgart mit Diskussion über CSRF Best-Practices
 * 02.07.2012. 14. OWASP German Chapter Stammtisch Stuttgart
 * 07.05.2012. 13. OWASP German Chapter Stammtisch Stuttgart
 * 05.03.2012. 12. OWASP German Chapter Stammtisch Stuttgart
 * Vorstellung Risk Measurement Modelle


 * 21.11.2011. 11. OWASP German Chapter Stammtisch Stuttgart
 * Diskussion über it-sa 2011, Ideen für neue Vorträge gesammelt


 * 01.08.2011. 10. OWASP German Chapter Stammtisch Stuttgart
 * Vortrag "Neuerungen in Burp Pro 1.4", Michael Schäfer (Schutzwerk GmbH). Bilder von der Riesenjubiläumsparty im Anschluss müssen leider unter Verschluss gehalten werden. "What happens at Stammtisch, stays at Stammtisch". Achja: Grüße an die Vegas-Reisenden unter uns, die deswegen die Sause verpasst haben :)


 * 06.06.2011. 9. OWASP German Chapter Stammtisch Stuttgart
 * Kurzfristige Absagen (unter anderem des Referenten) taten der Stimmung keinen Abbruch. Sehr interessante Diskussionen über Passwortsicherheit, RSA Token Security und anderes.


 * 04.04.2011. 8. OWASP German Chapter Stammtisch Stuttgart
 * Der bestbesuchteste Stuttgarter Stammtisch bisher. Die insgesamt 13 Teilnehmer diskutierten über den Vortrag von Frank Dölitzscher (Hochschule Furtwangen) zu einem Cloud-Frontend mit Single-Sign-On Anbindung und SSH-Key Erstellung 2011-04-04_CloudIA_WebGUI_OWASP_Stammtisch_Stuttgart.pdf interessiert zu. Insbesondere wurden mögliche Schwachstellen der Implementierung der Lösung und des Java-Client zur SSH-Key Erstellung besprochen. Für beide Seiten ein Gewinn :)


 * Antworten von Frank bzgl. der offenen Fragen:
 * "- In der Version des Shibb-Idp den wir verwenden ist ein zwingender Restart beim Einlesen einer neuen Config notwendig. Die Konfiguration ist dateibasiert und gliedert sich in 3 Dateien:


 * a) Relying Party - regelt Förderation (Verweis auf MetaData)
 * b) MeTaData - Beinhaltet alle SPs mit Links darauf, Metadaten der einzelnen SP
 * c) AttributeFilter.xml - Regelt welche Userattribute werden einem SP nach erfolgreicher Autorisierung übermittelt


 * Die kritische Datei ist die AttributeFilter.xml.
 * In der aktuellsten Shibboleth Version sollte ein einfacher Reload der Konfigurationen auch prinzipiell möglich sein. Allerdings warnen die Entwickler vor einem Produktiveinsatz: "Caution Do NOT enable configuration reloading in a production environment unless you have a rigorous configuration testing process in place and used."


 * Siehe: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPConfigConfig


 * Unser aktueller Idp wurde inzwischen auf einen größeren Server umgezogen. Ein Restart dauert nun etwa 25 Sekunden. Das ist zwar deutlich schneller als zuvor (1,5min) allerdings für das Cloud-Szenario immer noch nicht praktikabel.


 * Zur Erreichbarkeit der VMs untereinander: Die VMs akzeptieren nur Incoming Traffic vom Reverse-Proxy (SP)."


 * [[Image:2011-04-04-owasp-stammtisch-stuttgart.jpg|300px]]


 * 07.02.2011. 7. OWASP German Chapter Stammtisch Stuttgart
 * Kurzdiskussion: "Brauchen wir ein Security-Framework Verwaltungs-Protokoll?"


 * 08.11.2010. 6. OWASP German Chapter Stammtisch Stuttgart
 * Nanu, wieder kein Vortag, aber beschwert hat sich auch niemand :)


 * 06.09.2010. 5. OWASP German Chapter Stammtisch Stuttgart
 * Leider kein Vortrag, aber eine launige Runde. Wer schon immer wissen wollte was Globolis, Pferde und die Goonies mit IT-Security zu tun haben oder wie die Visitenkarte von Kevin Mitnick aussieht, der ist bei uns einfach genau richtig..


 * 07.06.2010. 4. OWASP German Chapter Stammtisch Stuttgart


 * Neuigkeiten vom Chapter Meeting im Mai 2010
 * Vorstellung und Erfahrungsberichte mit den kommerziellen Tools HP Webinspect (Andy Kurtz) und Acunetix (Tobias Glemser). Keine Folien da "Freestyle". Kurzfazit war: Beide Tools bilden ein ähnliches Featureset ab, um manuelles Testen kommt man niemals rum.


 * [[Image:2010-06-07-owasp-stammtisch-stuttgart.jpg|300px]]


 * 12.04.2010. 3. OWASP German Chapter Stammtisch Stuttgart


 * [[Media:OWASP_Stammtisch_20100412.ppt|Vortrag "WATOBO - Web Application Toolbox"]] von Andreas Schmidt. Vorstellung eines selbst entwickeltes Werkzeugs (WATOBO - Web Application Toolbox) zur Überpruefung von Webapplikationen. Das Tool selbst ist unter der GNU Public License veröffentlicht und soll Sicherheitsspezialisten bei der Durchführung von semi-automatisierten Sicherheitsanalysen unterstützen.


 * 01.02.2010. 2. OWASP German Chapter Stammtisch Stuttgart


 * Vortrag Vorstellung OWASP Whitepaper von Tobias Glemser "Projektierung der Sicherheitsprüfung von Webanwendungen"


 * 30.11.2009. 1. OWASP German Chapter Stammtisch Stuttgart


 * Das erste Treffen diente dem Beschnuppern und gemeinsamen Pläne schmieden für die nächsten Male