You are here: SE » SeminarSicherheit2008

Proseminar im WS08/09: Entwicklung sicherer Software

Inhalt: Sichere Software entsteht nicht nur durch die Anwendung kryptographischer Verfahren und Zugriffsschutzmechanismen allein. Vielmehr muss Sicherheit (engl. security) im gesamten Entwicklungsprozess berücksichtigt werden. In diesem Proseminar betrachten wir Werkzeuge und Verfahren für die Entwicklung sicherer Software einerseits und typische Angriffe und Verletzlichkeiten besonders im Bereich Webanwendungen andererseits. Inhaltlich und Begrifflich ist das Proseminar an Teile der Vorlesung Anwendungssysteme angelehnt, die auch in diesem Semester angeboten wird.

Aufgaben: Studierende wählen ein Thema aus oben genanntem Bereich und erarbeiten ein Referat, das schriftlich ausgearbeitet und im Rahmen der Blockveranstaltung vorgetragen und diskutiert wird. Dabei wird besonderer Wert auf gründliche wissenschaftliche Arbeit gelegt, da besonders in diesem Bereich die Verlockung groß ist, auf Alltags-"Wissen" und zweifelhafte Internetquellen zurückzugreifen.

Organisation: In der Einführungsveranstaltung (Termin s.u.) werden Themenvorschläge präsentiert. Es ist aber auch möglich und gewünscht, eigene Themen einzubringen. Außerdem gehen wir u.a. auf folgende Fragen ein: "Wie sollte ich meine Ausarbeitung strukturieren?" und "Wie suche ich Literatur und gehe damit um?". Die Präsentationen erfolgen im Rahmen einer Blockveranstaltung in der Vorlesungsfreien Zeit.

Siehe auch die Seminar-Regeln der AG SE.

Termine

Nächste Termine:

Abgeschlossen:
  • 28.10.2008: Einführungsveranstaltung.
  • Bis 03.02.2009: Vorbesprechungen.
  • 23.02.2009: Ausarbeitung und Folien an Schriftgutachter (und CC an mgruhn@...)
  • Am 27.02.2009: Gutachten per Email an AusarbeiterIn (und CC an mgruhn@...)
  • Ab 02.03.2009: Blockveranstaltung, Beginn täglich um 10 Uhr (s.t.) im Raum 051.
    Zeitplan:
    • Mo: A1, PP1-3 (4 Themen)
    • Di: PP4, AV2-5 (5 Themen)
    • Mi: AV6-7, PW1, EZ1-2 (5 Themen)
    • Do: EZ3, SOS1-2, S1 (4 Themen)
  • 23.03.2009, 9 Uhr: Abgabe der Ausarbeitung gedruckt und als PDF per Email
    • Gedruckte Version bitte in mein Fach im AG SE Sekretariat (Raum 013) legen.
    • Wenn R013 zu ist, in meinem Raum abgeben oder dort unter den Türschlitz durchschieben.
  • 03.07.: Bekanntgabe der Noten mit Hinweisen auf der Mailingliste

Organisatorisches

Einführungsveranstaltung: Dienstag, 28.10.2008, 16-18h, Raum 049.
Vorbesprechung: 13./15./20.1. (s.u.)
Blockveranstaltung: 02.03.2009-06.03.2009 ab 10 Uhr (s.t.), Raum 051

Zielgruppe: Bachelorstudierende der Informatik
Literatur: Ausgewählte Aufsätze und Fachbücher werden in der Vorbesprechung vorgestellt.

Bitte Anmelden:

Bei Fragen wendet Euch an Martin Gruhn.

Vorbesprechungen

Die Vorbesprechungen finden Themenbezogen statt und es besteht prinzipiell Anwesenheitspflicht. Alle Zeiten s.t.!

  • Dienstag, 13.01.2009 (16-17h): A1 und EZ1-EZ3
  • Dienstag, 13.01.2009 (17-18h): PP1-PP4
  • Donnerstag, 15.01.2009 (16-17h): SOS1-SOS2 und S1-S2
  • Donnerstag, 15.01.2009 (17h-18h): AV1-AV2 und PW1-PW3
  • Dienstag, 20.01.2009 (16h-17h): AV3-AV7 (ausgefallen wg. Krankheit)
  • Dienstag, 27.01.2009 (16h-17h): AV3-AV7 (ausgefallen wg. Krankheit)
  • Ersatztermine: Donnerstag, 29.01.2009 (16h-17h) oder Dienstag, 03.02.2009 (16-17h): AV3-AV7

Treffpunkt: Raum T9/008.

Bitte gebt mir unbedingt (auch kurzfristig: 838-75239) Bescheid, wenn Ihr aus wichtigem Grunde nicht kommen könnt. Wer unentschuldigt fehlt, bekommt keinen Schein.

Authors Kit

Hier eine Vorlage für LyX:

Weitere Vorlagen für TeX, OpenOffice Writer und Microsoft Word befinden sich auf der Seite Seminar Regeln.

Zum Layout und Umfang: Ich erwarte, dass ihr Euch nach dem Layout in dem oben angegebenen PDF richtet. Das sind etwa 1800 Worte und insgesamt 8 Seiten als Richtwert. Der Umfang der individuellen Arbeit hängt natürlich auch vom Inhalt ab.

Ich gebe hier ein sehr luftiges Layout vor, was das Lesen erleichtert. Die gleiche Wortzahl bei konservativer Gestaltung erzeugt 5 geschriebene Seiten.

Findet Ihr generell auf der Seite mit unseren Regeln für Seminare. Beachtet besonders folgende Abschnitte:

Übungsblätter und Folien

Themen

Hinweise:

Thema BearbeiterIn Literaturempfehlungen
A1) Was ist (IT-) Sicherheit Mikel Keriakos Eckert04, Anderson01, Lampson04, Snow05
     
PP1) Microsofts Security Development Lifecycle (SDL) Andreas Lindner LipHow04, GreBuyWin07
PP2) Comprehensive, Lightweight Application Security Process Kenneth Würfel ChaFerGra07, GreBuyWin07
PP3) Entwicklungsprozess für sichere Software in der Praxis Daniel Marzin GliMcDWel06
PP4) Spezielle Praktiken des Security Engineering Florian Otto Eckert04, KolKocLoe06, Vorlesung ITS (11.2-11.4)
     
AV1) Schwachstellendatenbanken und -taxonomien Eva Jockwer CVE, NVD, CWE/vulnerability theory, CAPEC
AV2) Hacker-Kultur Sönke Schmidt Bratus07
AV3) Spezielle Schwachstellen: SQL Injection Mohsen Taheri OWASP Top 10, HalVieOrs06
AV4) Spezielle Schwachstellen: Cross-Site-Scripting Franz Gatzke OWASP Top 10, BisVen08
AV5) Spezielle Schwachstellen: Eine weitere aus OWASP Top 10 Hoang Viet Do OWASP Top 10
AV6) Spezielle Schwachstellen: Buffer Overflow Robin Nehls Cowan03
AV7) Spezielle Schwachstellen: Social Engineering Daniel Steig  
     
PW1) Statische Werkzeuge für Sicherheitstests Christian Gätcke Cowan03
PW2) Dynamische Werkzeuge für Sicherheitstests und Laufzeitüberwachung Felix Lange Cowan03, HalVieOrs06
PW3) Praktiken für Web Application Security / Bau sicherer LAMP Anwendungen Marco Slusalek Esser08, KunEss08
     
EZ1) Systems Security Engineering Capability Maturity Model Sascha Wientzek Hefner97, ISSEA03
EZ2) Common Criteria Robert Fels Eckert04, Anderson01
EZ3) Security Metrics Henrik Matzke GeeHooJaq03
     
SOS1) Sicherheit in OSS: Chancen und Risiken Sebastian Kürten Viega04, VieMcG02, Wheeler03, Cowan03
SOS2) Studien über Sicherheit und Open Source Salih Zengin Studie 1, Studie 2
     
S1) Usability: Nutzbarkeit und IT-Sicherheit Björn Kahlert WhiTyg99
S2) Wahlmaschinen Cristian Hoof KohStuRub04, Anderson99, CCC Berlin

Comments