Neuigkeiten von trion.
Immer gut informiert.

Artikel in der Kategorie 'security'

Passkeys mit Keycloak 1 Dez

Geschrieben von Stefan Reuter am 1. Dezember 2023

Seit Version 23 werden Passkeys in der Dokumentation von Keycloak offiziell erwähnt. Keycloak übernimmt dabei die Rolle einer Passkeys Relying Party (RP). Zur Umsetzung von Passkeys mit Keycloak nutzt man die Unterstützung von WebAuthn in Keycloak...

Salesforce als IdP für Keycloak 29 Nov

Geschrieben von Stefan Reuter am 29. November 2023

Ein starkes Identity and Access Management (IAM) ist entscheidend für die Sicherheit und Effizienz moderner Anwendungen. In diesem Blogbeitrag tauchen wir in die Welt der Konfiguration von Salesforce als Identity Provider für Keycloak ein, insbesondere...

Spring Security SPA und Angular CSRF Schutz 9 Aug

Geschrieben von Thomas Kruse am 9. August 2023

Cross-Site-Request-Forgery oder kurz CSRF ist ein Angriff, bei dem der Browser eines Nutzers auf einer böswilligen Webseite dazu veranlasst wird, einen Request gegen eine andere Webseite durchzuführen. Ist der Nutzer auf der Zielwebseite eingeloggt, sendet der Browser bei manchen Verfahren die notwendigen Informationen automatisch mit, sodass der Request ebenfalls authentifiziert erfolgt. Dadurch kann der Angreifer Aktionen im Namen des Nutzers ausführen.

Ein populärer CSRF Angriff ist z.B. der Facebook "like" Angriff, bei dem Nutzer unbeabsichtigt und unwissentlich "Like" für Inhalte abgaben. Dies führte zur Verbreitung von unerwünschten Inhalten und Manipulation des Rankings.

In diesem Beitrag wird der CSRF Angriff im Detail erläutert und in Kombination von Spring Security und einer Browser Anwendung auf Basis von Angular diskutiert, wie ein entsprechender Schutz implementiert werden kann.

WebAuthn mit Keycloak 18 Jul

Geschrieben von Stefan Reuter am 18. Juli 2023

In der heutigen digitalen Welt, in der Passwortlecks, Phishing-Angriffe und Identitätsdiebstahl an der Tagesordnung sind, ist die Sicherheit unserer Online-Konten von größter Bedeutung. Gleichzeitig streben Nutzer nach bequemen und nahtlosen...

Keycloak Login mit Magic Links 27 Jun

Geschrieben von Stefan Reuter am 27. Juni 2023

Magic Links sind ein Authentifizierungsverfahren, das eine passwortlose Anmeldung ermöglicht. Statt eines Passworts erhalten Benutzer per E-Mail einen speziellen Link, der eine Sitzung mit ihrem Konto startet. Indem sie einfach auf den Link klicken...

Keycloak Passwordless - Authentifizierung ohne Passwort 6 Jun

Geschrieben von Stefan Reuter am 6. Juni 2023

Passwordless-Authentifizierung, auch als passwortlose Authentifizierung bezeichnet, bietet einige Vorteile gegenüber klassischen Authentifizierungsverfahren und kann aus verschiedenen Gründen implementiert werden. Häufige Gründe für den Wunsch passwortlose Authentifizierung mit Tools wie Keycloak zu nutzen sind:

Erhöhte Sicherheit

Passwörter können anfällig für Diebstahl, Phishing-Angriffe und Brute-Force-Angriffe sein. Passwordless-Authentifizierung bietet eine sicherere Alternative, da keine Passwörter im Umlauf sind, die gestohlen oder kompromittiert werden könnten.

Container Image Security Scan 2 Feb

Geschrieben von Thomas Kruse am 2. Februar 2023

Supply Chain Security ist ein wichtiges Thema. Dabei stehen Container Images zunehmend im Fokus, und das auch nicht ganz zu Unrecht: Bei vielen Kunden erleben wir, dass Zulieferer zwar "Docker Image" als Auslieferungsformat vereinbaren, gleichzeitig jedoch keine Updatevereinbarungen jenseits der eigentlichen Software getroffen werden.
Das ist angesichts der bei Docker Images immens vergrößerten Verantwortung - das Basis-Image gehört ja mit zur Auslieferung - zu wenig.
Durch den zunehmenden Einsatz von Kubernetes finden Container Images auch Einzug in Bereichen, die bisher wenig Erfahrung mit Patchmanagement und Security Prozessen haben. Kubernetes selbst sowie der Betrieb der Umsysteme, wie einer Container Registry, stellen für sich dabei oft schon Herausforderungen dar.

Als Nutzer von Images ist ein Weg, wenigstens etwas Übersicht über die als "Blackbox" betrachteten Images und jeweiligen Abhängigkeiten und transitiven Abhängigkeiten zu gewinnen, mit Image Scanning zu arbeiten.

Zur Desktop Version des Artikels