Themengebiet: Grundlegende Konzepte und aktuelle Forschung im Bereich sprachbasierter Softwaresicherheit.
Das Gebiet der Softwaresicherheit beschäftigt sich mit der Sicherheit von Programmen. Dabei werden unter dem Begriff Sicherheit verschiedene Anforderungen zusammengefasst:
- Verfügbarkeit (Availability): Das Programm darf nicht abstürzen und muss immer wieder in einen Zustand zurückkehren in dem neue Eingaben verarbeitet werden können. Eine Denial-of-Service Attacke soll nicht möglich sein.
- Vertraulichkeit (Confidentiality): Geheime Informationen, wie z.B. Passwörter dürfen nicht in öffentlich lesbaren Ausgaben/Speicherbereichen auftauchen. Beispiel: Die Facebook-Applikation auf meinem Handy darf nicht einfach meine Telefonbucheinträge im Netz veröffentlichen.
- Integrität (Integrity): Öffentliche Eingaben dürfen den Inhalt bestimmter Speicherbereiche sowie das Verhalten des Programms nicht beeinflussen. Bekannte Attacken, die die Integrität verletzen sind z.B. Buffer-Overflow oder SQL-Injection Attacken.
Um diese Anforderungen garatieren und überprüfen zu können, wurden in den vergangenen Jahren viele Techniken entwickelt: Klassische Techniken wie z.B. Zugriffskontrolle (Access Control) oder kryptografische Authentifizierungsmechanismen unterscheiden vertrauenswürdige Programme von potentiell bösartigen anhand ihrer Herkunft. Vertrauen wir der Herkunft eines Programms, so erlauben wir dem Programm Zugriff auf unsere Daten. Hingegen stellen Verfahren (wie z.B. Proof-carrying Code und Verifikation durch maschinengestützte Beweise oder Modelchecker) durch Analyse des Programms sicher, dass dieses keine Sicherheitsanforderungen verletzt.
Die aktuellste Technik, genannt Informationsfluss Kontrolle (IFC) beobachtet den Fluss von Daten von der Eingabe zur Ausgabe und garantiert damit die Vertraulichkeit und Integrität eines Programms. Ein entsprechendes System zur Informationsfluss Kontrolle für Java wurde an unserem Lehrstuhl erstellt (Joana-Projekt) und wird im Rahmen des DFG Schwerpunktprogramms RS3 Reliably Secure Software Systems aktuell weiterentwickelt.
In diesem Seminar sollen die bekanntesten und gängigsten Techniken der Softwaresicherheit zusammen mit den aktuellsten Neuentwicklungen vorgestellt und verglichen werden. Dabei soll eine Diskussion über die jeweiligen Vor- und Nachteile der vorgestellten Verfahren entstehen. Teilnehmer an diesem Seminar erhalten sowohl einen Überblick über das Thema Softwaresicherheit, als auch einen Einblick in die aktuellsten Bereiche der Forschung auf diesem Gebiet.
Beachten Sie bitte, dass der Termin für die Auftaktveranstaltung um 2 Wochen nach hinten (vom 14.04. auf den 28.04.) geschoben wurde.
Die Anmeldung zum Seminar, sowie die Einteilung der Themen finden in der Auftaktveranstaltung am Donnerstag den 28.04.2011 um 15:45h im Raum 015 AVG (Geb. 50.41) statt.
Bitte überprüfen sie diese Seite regelmäßig auf Änderungen und Ergänzungen.
Voranmeldung
Das Seminar ist auf 10 Teilnehmer beschränkt. Falls es mehr als 10 Interessenten gibt, werden wir diejenigen mit Voranmeldung zuerst berücksichtigen (in der Reihenfolge der Anmeldung). Dies gilt auch für die Themenvergabe. Wer sich zuerst angemeldet hat, darf zuerst wählen.
Die Voranmeldung ist nicht mehr möglich. Das Seminar läuft bereits.
Unterlagen
| Datei | Letzte Änd. |
|---|---|
| LaTeX-beamer Vorlage | 18.01.2011 |
| Paper zu den vorgestellten Themen | 28.04.2011 |
| Folien Auftaktveranstaltung | 30.04.2011 |
Termine
| Datum | Uhrzeit | Ort | Themen |
|---|---|---|---|
| Donnerstag, 28.4.2011 | 15:45h | AVG 207, Geb 50.41 | Auftaktveranstaltung |
| Donnerstag, 16.6.2011 | 15:45h | AVG 207, Geb 50.41 | Access Control Quantitative IFC |
| Donnerstag, 30.6.2011 | 15:45h | AVG 207, Geb 50.41 | Taint-Analyse Sicherheitsanalysen für JavaScript |
| Donnerstag, 07.7.2011 | 15:45h | AVG 207, Geb 50.41 | Nichtinterferenz und Deklassifikation |
Veranstalter
| Lehrstuhlinhaber |
|---|
| Prof. Gregor Snelting |
| Ehemalige Mitarbeiter |
|---|
| Dr.-Ing. Jürgen Graf |
| Dr.-Ing. Martin Hecker |