Die Themen bildeten wieder ein breites Spektrum der IT-Security ab. Unter anderem gab es Vorträge zu den Bereichen Kryptographie, Web Application Security und Social Engineering. Der Vortrag “Johnny, you are fired!” – Spoofing OpenPGP and S/MIME Signatures in Emails hat verdeutlicht, wie schwierig doch “sichere” E-Mail Kommunikation ist. Insbesondere wenn man sich an den “Efail” Vortrag aus dem letzten Jahr erinnert.
Auch im Vortrag “How to statically detect insecure uses of cryptography – at scale and with almost perfect precision” gab es interessante Vorstellungen von “CogniCrypt” und “CrySL”.
Wer wissen möchte, ob sein Browser sicher vor Tracking ist kann z. B. die im Vortrag “Browser fingerprinting: past, present and possible future” erwähnten Websites panopticlick der EFF oder Am I unique? verwenden.
Auch ein Vortrag zum Thema XSS durfte nicht fehlen, im speziellen handelte es sich um “Persistent Client-Side Cross-Site Scripting”.
Kurz und knapp zusammengefasst kann man sagen: “Never ever use HTTP”, denn ein einziger Connect per HTTP kann ausreichen, um sich einen z.B. Keylogger in den Browser zu injizieren. Dieser kann dann auch Credentials von HTTPS gesicherten Seiten exfiltrieren.
Ebenso wichtig ist es für Webseitenbetreiber bestehende XSS Lücken auf ihren Webseiten zeitnah nach Erkennen zu schließen, da es darüber möglich sein kann auch per HTTPS gesicherte Seiten anzugreifen und somit den Client zu infizieren.
Alles in allem ist die unkommerzielle / non profit und eher auf Wissensvermittlung ausgelegte Konferenz wieder ein voller Erfolg gewesen, wir sind gespannt auf die Themen und anstehenden neuen Sicherheitslücken / Risiken des nächsten Jahres.