Modul 6 Webbsäkerhet

Storlek: px
Starta visningen från sidan:

Download "Modul 6 Webbsäkerhet"

Transkript

1 Modul 6 Webbsäkerhet

2 Serverskript & Säkerhet Webbservrar & serverskript exponerar möjlighet för fjärranvändare att skicka data och köra kod vilket medför risker. Man ska aldrig lita på att alla vill göra rätt för sig Validering av input data Kryptering SQL Injection Felmeddelande XSS (Cross Site Scripting) 2

3 Men vi har ju en brandvägg! Vi har en brandvägg Vi krypterar all trafik till webbservern med HTTPS Vi uppdaterar all vår programvara automatiskt och ofta Varför är inte våra webbapplikationer säkra? 3

4 Därför räcker inte detta! 4

5 Webbserverbuggar Buggar i webbservrarna kan ge obehöriga tillträde till serverfiler, även källkoden på servern Om webbserver-programmerarna kan göra idiotiska misstag kan antagligen webbapplikationsprogrammerarna också göra det 5

6 Buggar i kod är vanligt Enligt en undersökning från Universitetet i Bergen 2005: Minst 72% av 245 E-myndigheter är sårbara för cross-site-scripting Minst 58% är sårbara för SQL Injection På 53 olika E-myndighetssajter i Europa var 91% sårbara av antingen cross-site-scripting eller SQL Injection 5/ibm-sql-injektioner-popularast 6

7 Grunderna HTTP Sessioner HTTPS 7

8 HTTP Hypertext Transfer Protocol (RFC 2616) Sköter hur webbnoder utbyter data Förbindelselös client/server-lösning Klienten alltid initierar 8

9 Client/server 9

10 GET vs. POST Använd aldrig GET för känslig data Med GET frågar klienten webbservern efter information Med POST bidrar klienten med information till webbservern POST kan inte köras utan tillstånd från klienten. 10

11 HTTP Get Request GET /~will/courses/ira120/webbsakerhet/get.php?txtvalue=test+av +get&btnsubmit=submit HTTP/1.1 Host: tor.ei.hv.se User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-us; rv: ) Gecko/ Firefox/3.0.8 (.NET CLR ) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: hp?txtvalue=test+av+get&btnsubmit=submit 11

12 HTTP Response HTTP/1.x 200 OK Date: Fri, 17 Apr :07:52 GMT Server: Apache/2.2.2 (Fedora) X-Powered-By: PHP/5.1.6 Content-Length: 570 Connection: close Content-Type: text/html; charset=iso

13 HTTP POST Request POST /~will/courses/ira120/webbsakerhet/post.php HTTP/1.1 Host: tor.ei.hv.se User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-us; rv: ) Gecko/ Firefox/3.0.8 (.NET CLR ) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: p Content-Type: application/x-www-form-urlencoded Content-Length: 38 txtvalue=test+av+post&btnsubmit=submit 13

14 Referrer Header Innehåller hela URL till dokumentet där requesten gjordes Skickas av webbläsare då: Man klickar på en länk En bild finns inkluderad på sidan En applet eller annat objekt finns inkluderat på sidan Dessa kan läcka säkerhetsrelaterad info till tredje part! 14

15 Att ha hemligheter i URL er Besökta hemsidor kan dyka upp överallt: De finns i webbläsarens historik Problematiskt på delade datorer De finns i loggfiler på proxyservrar De finns på tredje-parts sajter i form av Referrer-headers Skicka aldrig hemligheter i URL s! Använd POST istället för GET när informationen är känslig 15

16 Cookies: Gör HTTP förbindelseorienterat En liten textfil som sparas på webbklienten Överförs med HTTP headers Skickas av webbservern med response headers Skickas tillbaka till webbservern vid varje request Dock endast från korrekt domän! 16

17 Exempel på cookies Response header som sätter en cookie Set-Cookie: TimeOfLastView=April+17%2C+2009%2C+11%3A3 8+am; expires=fri, 17-Apr :38:13 GMT Set-Cookie: NumberOfVisits=6; expires=fri, 17- Apr :38:13 GMT Request header hämtar tillbaka en cookie Cookie: Visited=1; NumberOfVisits=5; TimeOfLastView=April+17%2C+2009%2C+11%3A3 7+am 17

18 Sessioner: Samla data på servern En påse på server-sidan som sparar information om varje besökande klient Knyts till varje klient med hjälp av ett sessions-id Måste skickas med varje request Cookie-baserad URL-baserad 18

19 Sessioner 19

20 Session hijacking En attackerare får access till en annan användares sessions-id Genom gissning eller intelligent trial and error Genom referrer header Sniffa paket Cross-site-scripting (XSS) Attackeraren visar upp det stulna sessions-id för webbservern Webbservern tror att attakeraren är offret 20

21 Session hijacking: Motmedel Sessions-ID måste hållas hemligt Skall ej kunna gissas, fullständigt slumpmässigt Får ej kunna läcka Ej skickas i URL Skyddas med kryptering (HTTPS) Ej nåbart genom cross-site-scripting 21

22 Andra motmedel Knyt sessionen till en IP-adress Stoppar ej besökare bakom samma proxy! Knyt sessionen till request-headern Kan enkelt förfalskas av en attackerare Byt sessions-id för varje response Attackeraren kan dock få den första för att sedan blockera offret 22

23 HTTPS Vanlig HTTP genom en säker tunnel TLS: Transport Layer Security SSL: Secure Socket Layer Hur skapas en säker uppkoppling Klienten tar kontakt med server Klient och server gör handskakning Bestämmer algoritmer för kryptering och hash Klient får och verifierar server-certifikatet Startar krypterad kommunikation Kontrollen skickas tillbaka till HTTP 23

24 Fördelar med HTTPS Om allt fungerar som det ska, HTTPS: Skyddar mot paketsniffning Skyddar mot Man in the Middle -attacker Även modifiering av data när den överförs Autentiserar webbservern mot klienten Kan även autentisera servern mot klienten Senaste versionerna av TLS och SSL anses säkra, men 24

25 Nackdelar med HTTPS HTTPS skyddar inte mot: Användare som struntar i varningar från webbläsaren Webbläsare som tillåter användare att strunta i varningarna Användare som faller för billiga trick: mega-bank.com istället för megabank.com En CA som delar ut falska certifikat VeriSign gjorde detta 2001 Webbläsare som har en dålig SSL/TLS-implementation Allt ovanstående har hänt! 25

26 Summering HTTP är ett enkelt textbaserat client/serverprotokoll Cookies används för att kunna hålla en förbindelse mellan klient och server Sesioner används för att spara data mellan olika requests Använd aldrig GET för känslig data HTTPS löser inte alla problem Och hur bra det är beror på många faktorer 26

27 Mer information Absolut bästa källan om HTTP är dess RFC2616 Allt om HTTPS, SSL och TLS finns i Eric Rescorla's bok SSL and TLS: Designing and Building Secure Systems Mer om Man in the Middle mot SSL finns i Peter Burkholder's artikel "SSL Man-in-the- Middle Attacks threats/480.php 27

Säkerhet i applikationslagret och slaget om webben. John Wilander, Omegapoint, Rätt säkerhet, maj 2010

Säkerhet i applikationslagret och slaget om webben. John Wilander, Omegapoint, Rätt säkerhet, maj 2010 Säkerhet i applikationslagret och slaget om webben John Wilander, Omegapoint, Rätt säkerhet, maj 2010 John Wilander, konsult Omegapoint Forskar inom mjukvarusäkerhet Leder svenska OWASP Certifierad inom

Läs mer

Statistik från webbplatser

Statistik från webbplatser Statistik från webbplatser problem och möjligheter Ulf Kronman Föredragets huvuddelar Frågorna och motfrågorna Vilka frågor ställer chefen, BIBSAM och ISO? Varför ställer webmastern krångliga motfrågor?

Läs mer

Webbservrar, severskript & webbproduktion

Webbservrar, severskript & webbproduktion Webbprogrammering Webbservrar, severskript & webbproduktion 1 Vad är en webbserver En webbserver är en tjänst som lyssnar på port 80. Den hanterar tillgång till filer och kataloger genom att kommunicera

Läs mer

Systemkrav och tekniska förutsättningar

Systemkrav och tekniska förutsättningar Systemkrav och tekniska förutsättningar Hogia Webbrapporter Det här dokumentet går igenom systemkrav, frågor och hanterar teknik och säkerhet kring Hogia Webbrapporter, vilket bl a innefattar allt ifrån

Läs mer

Säkrare hemsida med.se

Säkrare hemsida med.se Säkrare hemsida med.se Jörgen Nilsson, Ikyon AB 27 maj 2012 Innehållsförteckning: 3. Inledning 3. Mål och syfte 3. Projektbeskrivning 6. Leverabler 6. Resultat 8. Utvärdering och analys 9. Utvärdering

Läs mer

IP-baserade program. Telnet

IP-baserade program. Telnet Det här kapitlet behandlar några klassiska TCP/IP-baserade program. Främsta fokus är HTTP men även lite enklare applikationer som telnet och FTP behandlas. Kapitlet är tänkt att kunna läsas fristående

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

OWASP Topp 10 2013. De 10 allvarligaste riskerna i webbapplikationer. 2013-10-03 OWASP East Sweden: Uppstartsmöte

OWASP Topp 10 2013. De 10 allvarligaste riskerna i webbapplikationer. 2013-10-03 OWASP East Sweden: Uppstartsmöte OWASP Topp 10 2013 De 10 allvarligaste riskerna i webbapplikationer 2013-10-03 OWASP East Sweden: Uppstartsmöte Vad är OWASP Topp 10? Är ett av OWASP mest populära projekt Är inte en standard Fokuserad

Läs mer

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala. Kapitel 10, 11 o 12: Nätdrift, Säkerhet Jens A Andersson Publika telenätet Digitalt lokalstation Trunknät Accessnät Analogt Analogt 2 Informationsöverföring Telenäten är digitala. PCM i lokalstationerna

Läs mer

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 F5 Exchange 2007 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 Spam Control and Filtering Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 2 Idag: Relaying Spamhantering och filtrering

Läs mer

Innehåll. Dokumentet gäller från och med version 2014.3 1

Innehåll. Dokumentet gäller från och med version 2014.3 1 Innehåll Introduktion... 2 Före installation... 2 Beroenden... 2 Syftet med programmet... 2 Installation av IIS... 2 Windows Server 2008... 2 Windows Server 2012... 6 Installation av webbapplikationen

Läs mer

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson Spanning Tree Network Management Säkerhet Jens A Andersson Spanning Tree Att bygga träd av grafer som kan se ut hur som helst Hindra paket att gå runt i oändliga loopar Bygga effektiva transportvägar Spanning

Läs mer

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad:

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part

Läs mer

Grundläggande datavetenskap, 4p

Grundläggande datavetenskap, 4p Grundläggande datavetenskap, 4p Kapitel 4 Nätverk och Internet Utgående från boken Computer Science av: J. Glenn Brookshear 2004-11-23 IT och medier 1 Innehåll Nätverk Benämningar Topologier Sammankoppling

Läs mer

Statistik från webbplatser

Statistik från webbplatser Statistik från webbplatser virtuella besök eller levererade sidor? Ulf Kronman Karolinska Institutet Universitetsbiblioteket Föredragets huvuddelar Frågorna och motfrågorna Vilka frågor ställer chefen,

Läs mer

Datorer och privat säkerhet (privacy)

Datorer och privat säkerhet (privacy) Datorer och privat säkerhet (privacy) Vetenskapsmetodik, CDT212 Mälardalens Högskola, Västerås 2010-03-05 Sofie Allared, sad07004@student.mdh.se Kim Thor, ktr05001@student.mdh.se 1(9) SAMMANFATTNING Rapporten

Läs mer

Lagring i molnet. Per Hellqvist Senior Security Specialist Symantec Nordic AB

Lagring i molnet. Per Hellqvist Senior Security Specialist Symantec Nordic AB Lagring i molnet Per Hellqvist Senior Security Specialist Symantec Nordic AB Först: Symantec har SaaS-tjänster* (*Storage as a Service) I Symantec Protection Network ingår Symantec Online Storage Symantec

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

SQUID. och andra cachelösningar

SQUID. och andra cachelösningar SQUID och andra cachelösningar Henrik Nordström henrik@henriknordstrom.net Konsult Open Source, Squid, Linux & Nätverk sedan 1995 Var finns cache? Webbläsare Snabbare sidvisning Normal proxy cache, användare

Läs mer

Anvisningar för inkoppling till Mikrodataåtkomst vid SCB

Anvisningar för inkoppling till Mikrodataåtkomst vid SCB Anvisningar för inkoppling till Mikrodataåtkomst vid SCB Välkommen till systemet för mikrodataåtkomst, MONA. Denna handledning hjälper dig att snabbt komma igång och arbeta med MONA-systemet. Om du stöter

Läs mer

Säkerhet, eller nått. Tomas Forsman 2014-10-14

Säkerhet, eller nått. Tomas Forsman <stric@cs.umu.se> 2014-10-14 Säkerhet, eller nått. Tomas Forsman 2014-10-14 Vem är jag? SysAdm på CS sen 1999 SysAdm på ACC sen 1998 Gillar att undersöka saker Mest åt Linux/Unix-hållet med datorer Programmerings-NM

Läs mer

Säkerhet. Säkerhet. Johan Leitet johan.leitet@lnu.se twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449

Säkerhet. Säkerhet. Johan Leitet johan.leitet@lnu.se twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449 Säkerhet Säkerhet Webbteknik II, 1DV449 Johan Leitet johan.leitet@lnu.se twitter.com/leitet facebook.com/leitet F06 Säkerhet Dagens agenda HTTPS Autentisiering - Egen autentisiering - Lösenordshantering

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Datakommunika,on på Internet

Datakommunika,on på Internet Webbteknik Datakommunika,on på Internet Rune Körnefors Medieteknik 1 2015 Rune Körnefors rune.kornefors@lnu.se Internet Inter- = [prefix] mellan, sinsemellan, ömsesidig Interconnect = sammanlänka Net =

Läs mer

Spanning Tree Network Management Säkerhet. Jens A Andersson

Spanning Tree Network Management Säkerhet. Jens A Andersson Spanning Tree Network Management Säkerhet Jens A Andersson Publika telenätet Digitalt lokalstation Trunknät Accessnät Analogt Analogt 2 Trunknätet Internationell station Gateway till mobila nät F1 F2 Förmedlingsstationer

Läs mer

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se S Stockholm Skolwebb Information kring säkerhet och e-legitimation för Stockholm Skolwebb Innehållsförteckning Säkerhet i Stockholm Skolwebb... 3 Roller i Stockholm Skolwebb... 3 Hur definieras rollerna

Läs mer

F8 Webbteknologier 1. Dynamiska webbsidor

F8 Webbteknologier 1. Dynamiska webbsidor Dynamiska webbsidor F8 Webbteknologier 1 EDA095 Roger Henriksson Datavetenskap Lunds universitet HTML är statisk. En sida får sitt utseende bestämt när en webbdesigner skapar den. Ofta vill man ha mera

Läs mer

idportalen - Stockholms stads Identifieringsportal

idportalen - Stockholms stads Identifieringsportal Systembeskrivning idportalen - Stockholms stads Identifieringsportal Version 2.25 2004-10-20 Revisionshantering Vernr Datum Notering Ansvarig 2.0 061003 Modifierad version Arne Fredholm 2.1 061016 Mindre

Läs mer

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt -

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt - 20130619 1 (12)? 1.0 Godkänd Secure Manager Guide Hantera användarprofiler i tjänsten Telia Secure Manager Dokumentet beskriver hur du som administratör beställer och hanterar användarprofiler i administrationsportalen

Läs mer

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER ANSLUTA=RISK Fast bredband attraktiv plattform att angripa från Mobilt bredband/trådlösa nätverk/bluetooth lätt att ta

Läs mer

Installationsguide Junos Pulse för MAC OS X

Installationsguide Junos Pulse för MAC OS X 1 (14) Installationsguide Junos Pulse för MAC OS X 1 Inledning Denna guide beskriver hur du installerar programmet Junos Pulse på MAC OS X Junos Pulse är en klientprogramvara som används i tjänsten Telia

Läs mer

Skicka och hämta filer med automatik till och från Försäkringskassan

Skicka och hämta filer med automatik till och från Försäkringskassan Skicka och hämta filer med automatik till och från Försäkringskassan 1 (25) Innehållsförteckning Revisionshistorik... 3 Inledning... 4 1 Förutsättningar... 4 1.1 Registrera... 4 1.2 Certifikat... 4 2 Skicka

Läs mer

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Certifikatbaserad inloggning via SITHS, tillämpningsexempel Certifikatbaserad inloggning via SITHS, tillämpningsexempel För att logga in i en webbapplikation med hjälp av SITHS-kort och certifikat behöver webservern och applikationen konfigureras för hantering

Läs mer

Systemkrav WinServ II Edition Release 2 (R2)

Systemkrav WinServ II Edition Release 2 (R2) Systemkrav WinServ II Edition Release 2 (R2) Observera: Alla rekommendationer är aktuella vid den tid då dokumentet publicerades och visar den senaste informationen för nödvändig mjukvara. Systemkrav för

Läs mer

Compose Connect. Hosted Exchange

Compose Connect. Hosted Exchange Sida 1 av 15 Compose Connect Hosted Exchange Presentation av lösningen: Compose Hosted Exchange Följande möjligheter finns för hantering av e-post 1. Lokalinstallerad Outlook-klient För att kunna använda

Läs mer

Handledning för applikationsägare

Handledning för applikationsägare Tjänstebeskrivning Handledning för applikationsägare Version 2.25 2006-10-24 Revisionshantering Vernr Datum Notering Ansvarig 2.0 061004 Något modifierat dokument Arne Fredholm 2.1 061016 Korrigeringar

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011 Webbteknik II Föreläsning 4 Watching the river flow Web Service XML-RPC, SOAP, WSDL, UDDI HTTP Request, Response, Headers, Cache, Persistant Connection REST Hype or the golden way? Web Service / Webbtjänst

Läs mer

Systemkrav. Åtkomst till Pascal

Systemkrav. Åtkomst till Pascal Systemkrav Åtkomst till Pascal Innehållsförteckning 1. Inledning... 3 2. Operativsystem, webbläsare och Net id... 3 3. Net id (Gäller enbart för SITHS-kort)... 6 4. Brandväggar (Gäller enbart för SITHS-kort)...

Läs mer

File Transfer Protocol (FTP) Problem och lösningar

File Transfer Protocol (FTP) Problem och lösningar File Transfer Protocol (FTP) Problem och lösningar Fredrik Pettersson frepe593@student.liu.se Daniel Torstensson danto629@student.liu.se IT1 - DOIP21 TDTS09 Datornät och internetprotokoll Linköpings universitet

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

Swedish Association for Software Testing 2009-05-12. 2009 Inspect it AB

Swedish Association for Software Testing 2009-05-12. 2009 Inspect it AB AB Applikationssäkerhetstestning Swedish Association for Software Testing 2009-05-12 Presentation Vem är jag? Mattias Bergling, Inspect it Arbetar med Informationssäkerhet Fokus på IT-säkerhet Intrångstester

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

1. Internets Applikationer 8 poäng

1. Internets Applikationer 8 poäng 1. Internets Applikationer 8 poäng 1a) Det som kallas för sockets används för att komma åt och leverera tjänster från Internets applikationer. Ponera att en värddator C kör webbserver med portnummer 80

Läs mer

KomSys Hela kursen på en föreläsning ;-) Jens A Andersson

KomSys Hela kursen på en föreläsning ;-) Jens A Andersson KomSys Hela kursen på en föreläsning ;-) Jens A Andersson Detta är vårt huvudproblem! 11001000101 värd Två datorer som skall kommunicera. värd Datorer förstår endast digital information, dvs ettor och

Läs mer

Säkerhet ur ett testperspektiv

Säkerhet ur ett testperspektiv Säkerhet ur ett testperspektiv (Erfarenheter efter 4 år med säkerhetstest på Microsoft) Copyright Prolore AB. All rights reserved. Viktor Laszlo - Prolore Jobbat med teknisk testning i 15 år Var med och

Läs mer

E12 "Evil is going on"

E12 Evil is going on E12 "Evil is going on" Föreläsning 12, HT2014 AJAX Kurs: 1dv403 Webbteknik I Johan Leitet E12 Evil is going on Dagens agenda AJAX XMLHttpRequest-objektet JSON Vad är AJAX? Asynchronous JavaScript and XML

Läs mer

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet Gunnel Frogedal 2014-07-17 6 32753 1 of 5 Quick Start CABAS Generella systemkrav CABAS / CAB Plan Applikationen stöds av följande operativsystem: Windows Vista SP2 Windows 7 SP1 Windows 8 (inte RT) Windows

Läs mer

Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer. Version: 2.5 Datum: 2015-06-16

Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer. Version: 2.5 Datum: 2015-06-16 Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer 2015-06-16 Beskrivning av installation av BankID säkerhetsprogram i företagsmiljöer Version: 2.5 Datum: 2015-06-16 Beskrivning av

Läs mer

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online.

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online. ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online. Vi har alla ansvar för säkerheten En del av IKEA andan är att Jag gör lite grann, du gör lite grann,

Läs mer

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad.

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad. Övningsprov Tillåtna hjälpmedel; penna, suddgummi, linjal. Lärare: Peter Steen Betygsgränser: KY(IG=17p, VG>=29p) Svar önskas på separat papper! Rita skisser och motivera dina svar! Frågorna skall

Läs mer

Hja lp till Mina sidor

Hja lp till Mina sidor Hja lp till Mina sidor Vanliga Frågor Varför godkänner inte Mina sidor mitt personnummer trots att jag har prövat flera gånger och är säker på att jag skrivit rätt? Du behöver använda ett 12 siffrigt personnummer

Läs mer

Publika trådlösa nätverk

Publika trådlösa nätverk Examensarbete inom datavetenskap Publika trådlösa nätverk Risker och skydd May 26, 2015 Författare: August WINBERG Författare: Stefan ÅBERG Handledare: Oskar PETTERSSON Examinator: Jacob LINDEHOFF Termin:

Läs mer

Version 1.0 Januari 2011. Xerox Phaser 3635MFP Extensible Interface Platform

Version 1.0 Januari 2011. Xerox Phaser 3635MFP Extensible Interface Platform Version 1.0 Januari 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX och XEROX and Design är varumärken som tillhör Xerox Corporation i USA och/eller andra länder. Detta dokuments innehåll ändras

Läs mer

Säkerhet Malware och WWW Hashfunktioner Referenser. Säkerhet. Daniel Bosk

Säkerhet Malware och WWW Hashfunktioner Referenser. Säkerhet. Daniel Bosk 1 Säkerhet Malware och WWW Hashfunktioner Referenser Säkerhet Daniel Bosk Institutionen för informationsteknologi och medier (ITM), Mittuniversitetet, Sundsvall. security.tex 328 2012-10-10 11:53:27Z danbos

Läs mer

PHP. Dynamiska webbsidor

PHP. Dynamiska webbsidor PHP Dynamiska webbsidor WEBBPROGRAMMERING PÅ SERVERSIDAN DB server web browser client client script HTTP Request (get, post) HTTP Response (HTML, CSS, JS) web server server script JS PHP file (txt, xml,

Läs mer

Sharps Säkerhetslösningar. Effektivt skydd av din information. Säkerhetslösningar

Sharps Säkerhetslösningar. Effektivt skydd av din information. Säkerhetslösningar Sharps Säkerhetslösningar Effektivt skydd av din information Säkerhetslösningar SÄKERHETS- RISKER Insikt i vardagens säkerhetsrisker Dagens multifunktionssystem är snabba, flexibla och användarvänliga.

Läs mer

RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED. Beställare: RF Kalmar. Version: 0.5.0 2010-02-11

RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED. Beställare: RF Kalmar. Version: 0.5.0 2010-02-11 RF Kalmar SYSTEMDOKUMENTATION IDP HULTSFRED Beställare: RF Kalmar Version: 0.5.0 2010-02-11 INNEHÅLLSFÖRTECKNING 1 DOKUMENTINFORMATION... 4 1.1 DOKUMENTETS SYFTE... 4 1.2 DOKUMENTETS MÅLGRUPP... 4 1.3

Läs mer

tclogin.com Service Desk Tillgång till TeleComputing TCAnyWare

tclogin.com Service Desk Tillgång till TeleComputing TCAnyWare tclogin.com Tillgång till TeleComputing TCAnyWare Service Desk Tel: Supportväxeln: 020-22 29 20 alt. 08-55 61 09 30 Fax: +46 (08) 56791199 E-post: support@telecomputing.se Web: http://support.telecomputing.se

Läs mer

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet Beskrivning av infrastruktur kring RTJP 1 1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet 1.1 Nätverk och brandvägg RTJP är placerat

Läs mer

FAQ/Vanliga frågor. Skrivbordet Här finns frågor och svar som berör fjärrskrivbordets funktion och utseende.

FAQ/Vanliga frågor. Skrivbordet Här finns frågor och svar som berör fjärrskrivbordets funktion och utseende. BV/REG/MONA Utkast/Version 1(9) MONA-FAQ 2015-05-18 FAQ/Vanliga frågor Detta dokument avser att besvara MONA-användares vanliga frågor på ett kort och ickekomplicerat sätt. Om du inte hittar svar på just

Läs mer

Innehållsförteckning:

Innehållsförteckning: Dokumenttitel Datum Godkänd av Sid SIT24 Manual E-post 2007-03-09 Sign 1(14) Utgivare/Handläggare Dokumentbeteckning Version Info Klass Björn Carlsson SIT24 mailmanual.doc 1.0.2 Öppen SIT24 Manual E-Post

Läs mer

DA HT2011: F13. Nätverk: Definition, begrepp och historik. Ann-Sofi Åhn

DA HT2011: F13. Nätverk: Definition, begrepp och historik. Ann-Sofi Åhn <ahn@dsv.su.se> DA HT2011: F13 Nätverk: Definition, begrepp och historik. AnnSofi Åhn Vad är ett nätverk? Två eller flera nätverksenheter som skickar data till varandra över ett kommunikationsmedium 101001010011001001111

Läs mer

Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan?

Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan? WINDOWSdig Tekniken bakom Direct Access Så kopplar pl du upp g med Direct Access Direct Access Bakom kulisserna på Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig resurser sig.

Läs mer

Alternativet är iwindows registret som ni hittar under regedit och Windows XP 32 bit.

Alternativet är iwindows registret som ni hittar under regedit och Windows XP 32 bit. TNT ExpressShipper installation. Om ni redan har en ExpressShipper installation på företaget behöver ni först ta reda på vilken version som är installerad och sökvägen till databasen. Versionen ser ni

Läs mer

Virus och andra elakartade program

Virus och andra elakartade program Modul 10 Trojaner Virus och andra elakartade program Datorvirus har senaste tiden fått mycket publicitet Datorvirus är en typ av elakartad programvara Effekterna av ett datorvirus är normalt uppenbar Virusrapporter

Läs mer

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Anvisningar för klientdator vid inloggning med certifikat på smarta kort Anvisningar för klientdator vid inloggning med certifikat på smarta kort Revisionshistorik Version Författare Kommentar 0.1 Grundläggande dokument 0.2 Rättningar efter kommentarer från SecMaker, Inera

Läs mer

Regionförbundet i Kalmar Län. Barnhälsodatapiloten - Slutrapport Bilaga 1-15 2010-03-01

Regionförbundet i Kalmar Län. Barnhälsodatapiloten - Slutrapport Bilaga 1-15 2010-03-01 Regionförbundet i Kalmar Län Barnhälsodatapiloten - Slutrapport Bilaga 1-15 2010-03-01 Innehållsförteckning 1. Bilaga 1 Avtal...5 2. Bilaga 2 - Testprotokoll BHDP Hultsfred SSK mot edos...8 2.1 Inloggning

Läs mer

Kriswebb och Krisserver ur ett tekniskt perspektiv

Kriswebb och Krisserver ur ett tekniskt perspektiv Kriswebb och Krisserver ur ett tekniskt perspektiv Av Johan Olsson vid IT avdelningen på HTU Johan.Olsson@htu.se Definition av kriswebb Kriswebb är ett system som möjliggör snabb publicering av information

Läs mer

CLIQ Remote - Behörighet på distans

CLIQ Remote - Behörighet på distans 1. Introduktion CLIQ Remote - Behörighet på distans CLIQ Remote är ett elektromekaniskt låssystem med ytterligare en nivå av säkerhet och flexibilitet, ett naturligt val för den som söker en modern säkerhetslösning.

Läs mer

Lathund Blanketthotell Komma igång

Lathund Blanketthotell Komma igång Lathund Blanketthotell Komma igång Introduktion Denna lathund innehåller lite samlade råd och tips för de som ska använda tjänster från NT Smartwork. (För de som redan börjat använda Blanketthotellet finns

Läs mer

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare 1.2 110908 (1)18 TjänsteID+, Privata vårdgivare 1.2 110908 (2)18 1.2 110908 (3)18 Innehåll Dokumentstruktur... 4 Bakgrund... 5 Organisation... 5 Extern information... 6 Certifikaten... 6 E-legitimation...

Läs mer

Autentisering och Code-Based Access Control

Autentisering och Code-Based Access Control 2D1395, Datasäkerhet Autentisering och Code-Based Access Control Datum: 2006-09-12 Skribent: Carl Lundin Föreläsare: Gunnar Kreitz Den här föreläsningen behandlade autentisering och Code-Based Access Control.

Läs mer

ASP.NET MVC. Copyright Mahmud Al Hakim mahmud@dynamicos.se http://www.webbacademy.se. Innehåll

ASP.NET MVC. Copyright Mahmud Al Hakim mahmud@dynamicos.se http://www.webbacademy.se. Innehåll ASP.NET MVC Copyright Mahmud Al Hakim mahmud@dynamicos.se http://www.webbacademy.se Innehåll Introduktion till MVC Controller Action-metoder Views Arbeta med Layout-sidor och sektioner Route konfiguration

Läs mer

Så surfar du säkrare 2 Skydda surfvanor på din dator 2 Skydda det du skickar 4 Skydda din identitet 4

Så surfar du säkrare 2 Skydda surfvanor på din dator 2 Skydda det du skickar 4 Skydda din identitet 4 Sus Andersson Så surfar du säkrare Så surfar du säkrare 2 Skydda surfvanor på din dator 2 Skydda det du skickar 4 Skydda din identitet 4 Digitalt Källskydd - en introduktion Sus Andersson, Fredrik Laurin

Läs mer

Förra gången. Dagens föreläsning. De vanligaste attackerna

Förra gången. Dagens föreläsning. De vanligaste attackerna Förra gången Kryptering Grunder Kryptografiska verktygslådan Symmetriska algoritmer Envägs hashfunktioner Asymmetriska algoritmer Digitala signaturer Slumptalsgeneratorer Kryptering i sitt sammanhang Multilevel

Läs mer

uran: Requesting X11 forwarding with authentication uran: Server refused our rhosts authentication or host

uran: Requesting X11 forwarding with authentication uran: Server refused our rhosts authentication or host Säkerhetsprotokoll och säkra protokoll Kerberos distribuerad authenticering SSL säker överföring SSH icke-distribuerad authenticering Sec säker överföring SET säker betalning 1 Distribuerad autenticering

Läs mer

Säker e-kommunikation 2009-04-22

Säker e-kommunikation 2009-04-22 Säker e-kommunikation 2009-04-22 Leif Forsman Logica 2008. All rights reserved Agenda - Inledning - Bakgrund och historik - Vilka risker och hot finns? - Vilka säkerhetslösningar finns det för att skydda

Läs mer

Dokument ID: AJP131126 001. Er referens: SecureMailbox Mats Enocson. Säkerhetsgranskning. SecureMailbox

Dokument ID: AJP131126 001. Er referens: SecureMailbox Mats Enocson. Säkerhetsgranskning. SecureMailbox 2014 06 27 Dokument ID: AJP131126 001 Er referens: SecureMailbox Mats Enocson Säkerhetsgranskning SecureMailbox 1. Exekutiv summering Bitsec har som oberoende part, på uppdrag av SecureMailbox, granskat

Läs mer

2014-2015 Alla rättigheter till materialet reserverade Easec

2014-2015 Alla rättigheter till materialet reserverade Easec 1 2 Innehåll Introduktion... 3 Azure Client SDK Libraries... 4 Översikt: Azure Client Libraries... 5 Azure SDK... 6 Azure SDK (forts.)... 7 Azure SDK (forts.)... 8 Cloud Services... 10 Cloud Services...

Läs mer

Användarhandledning. edwise Webbläsarinställningar 2013-10-24

Användarhandledning. edwise Webbläsarinställningar 2013-10-24 Användarhandledning edwise Webbläsarinställningar 2013-10-24 Sida 2/22 Innehållsförteckning 1 Webbläsarinställningar... 3 1.1 Internet Explorer Kompabilitetsläge... 3 1.1.1 Inställningar för kompabilitetsvyn...

Läs mer

Systemdesign med fokus på säkerhet i ASP.NET

Systemdesign med fokus på säkerhet i ASP.NET Systemdesign med fokus på säkerhet i ASP.NET System design in ASP.NET with focus on security Hassan Dundar Showan Ramazani EXAMENSARBETE Informatik C 2006 Nr: C02/2006 EXAMENSARBETE, C-nivå i Informatik

Läs mer

Nuläget kring säkerhet och internet

Nuläget kring säkerhet och internet Nuläget kring säkerhet och internet Vad är det som händer? Vad ska vi akta oss för? Anne-Marie Eklund Löwinder Säkerhetschef,.SE https://www.iis.se amel@iis.se @amelsec Det här är.se Stiftelsen för Internetinfrastruktur

Läs mer

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Grundläggande nätverksteknik. F2: Kapitel 2 och 3 Grundläggande nätverksteknik F2: Kapitel 2 och 3 Kapitel 2 COMMUNICATING OVER THE NETWORK Grundstenar i kommunka;on Tre grundläggande element Message source The channel Message des;na;on Media Segmentering

Läs mer

Bakgrund... 1. Avgränsningar... 2. Begreppsförklaring... 2. Kortfattade anvisningar... 2

Bakgrund... 1. Avgränsningar... 2. Begreppsförklaring... 2. Kortfattade anvisningar... 2 1(7) Manual för Syfte Dokumentet beskriver vilka rutiner som gäller när man behöver ett elektroniskt certifikat för att t.ex. säker kommunikation med en server som SLU hanterar. Dokumentet riktar sig till

Läs mer

Modul 3 Föreläsningsinnehåll

Modul 3 Föreläsningsinnehåll 2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben

Läs mer

Denial of Services attacker. en översikt

Denial of Services attacker. en översikt Denial of Services attacker en översikt Tobias Rogell Säkra datorsysten, HT-04 Vad är en DOS attack En Denail of Service attack går ut på att en attackerare vill hindra en webbserver, router eller någon

Läs mer

SMART Bridgit-program

SMART Bridgit-program Specifikationer SMART Bridgit-program Version 4.5 Produktbeskrivning SMART Bridgit konferensprogram är ett kostnadseffektivt klient/serverprogram som gör det lätt att schemalägga möten och att ansluta,

Läs mer

Viktiga inställningar för Isolda webshop

Viktiga inställningar för Isolda webshop Viktiga inställningar för Isolda webshop Denna webshop är optimerad för Internet Explorer 6, Mozilla Firefox 2, Safari 2 och senare versioner. Vi använder både vanliga cookies (en fi l som sparas på din

Läs mer

Säker programmering - Java

Säker programmering - Java Säker programmering - Java Information är en värdefull tillgång i dagens värld och en effektiv hantering sätter höga säkerhetskrav på medarbetarna. Säker programmering - Java Nowsec säkerhetsgranskar dagligen

Läs mer

Probably the best PKI in the world

Probably the best PKI in the world Probably the best PKI in the world Agenda TLS kort repetition Server- vs klient-autentisering Var passar PKI in i TLS? Asymmetrisk vs symmetrisk kryptering Vad är PKI Publik CA vs Privat CA Trust store

Läs mer

E V - C E R T I F I K AT: VA R F Ö R A N V Ä N D A D E N S TA R K A S T E S S L AUTENTISERINGSPROCESS?

E V - C E R T I F I K AT: VA R F Ö R A N V Ä N D A D E N S TA R K A S T E S S L AUTENTISERINGSPROCESS? E V - C E R T I F I K AT: VA R F Ö R A N V Ä N D A D E N S TA R K A S T E S S L AUTENTISERINGSPROCESS? D i n t a l a r e i d a g J o n a t h a n A g e r i u s W e b S e c u r i t y C o n s u l t a n t

Läs mer

Tekis-FB 7.1.0. Systemkrav

Tekis-FB 7.1.0. Systemkrav 7.1.0 Systemkrav Systemkrav 2015-09-17 MAAN 2 (2) Systemkrav 7.1.0 Dokumentet beskriver de krav som systemet ställer på maskinvara och programvara i de servrar och klientdatorer som ska användas för systemet.

Läs mer

Ärendehanteringssystem på web

Ärendehanteringssystem på web Ärendehanteringssystem på web Examensarbete inom Högskoleingenjörsprogrammet i datateknik JOHAN NILSSON HANSEN Institutionen för data- och informationsteknik CHALMERS TEKNISKA HÖGSKOLA Göteborg, Sverige

Läs mer

Det här dokumentet om att komma igång med Tor är ett extramaterial

Det här dokumentet om att komma igång med Tor är ett extramaterial Anders Thoresson Kom igång med Tor! det här lär du dig i xl-materialet 2 vad är problemet? 3 det här är tor 5 så surfar du anonymt 6 Skaffa Tor Browser 6 Använda Tor 8 Inställningar 11 fallgropar att undvika

Läs mer

5. Internet, TCP/IP och Applikationer

5. Internet, TCP/IP och Applikationer 5. Internet, TCP/IP och Applikationer 5.1 INTERNET - internet Ett internet (litet i!) är en samling av nätverk som kan kommunicera med varandra, alltså ett nätverk av nätverk. Det internet som är mest

Läs mer

Instruktioner för uppkoppling mot NyA Open

Instruktioner för uppkoppling mot NyA Open Magnus Björklund 2014-10-09 Sida 1 (16) Instruktioner för uppkoppling mot NyA Open ... 3... 4 Dokumentnummer Version Företag Magnus Björklund 2014-10-09 Sida 2 (16) Innehållsförteckning 1 Inledning...

Läs mer

Guide för kunder med Nordea e-legitimation

Guide för kunder med Nordea e-legitimation Dok namn: Guide för kunder Typ: typ Sida: 1(24) Beslutsfattare: beslutsfattare Status: status Datum: 2013-04-10 Ägare: Servicedesk Version: 1.0 Guide för kunder med Nordea e-legitimation Innehåll Guide

Läs mer

Net id Användarhandbok Windows. Version 1.2

Net id Användarhandbok Windows. Version 1.2 Net id Användarhandbok Windows Version 1.2 Innehåll 1 Net id... 4 1.1 Net id PKI Klient... 4 1.2 Licensavtal... 4 1.3 Support... 4 2 Net id Tekniska data... 5 2.1 Klientsupport... 5 2.2 Servermiljö...

Läs mer

SSL-guide. (Secure Socket Layer)

SSL-guide. (Secure Socket Layer) SSL-guide (Secure Socket Layer) För att hitta grundläggande information om nätverket och avancerade nätverksfunktioner för din Brother-maskin: uu Bruksanvisning för nätverksanvändare. Den senaste handboken

Läs mer