31. März 2009

IT-Security & Troopers 09

Category: Produkte — Christian @ 19:15

Ui, ich habe für die IT-Security & Troopers 2009 ein Programm geschickt bekommen. Praktisch kann man sich also aussuchen, ob man die IT-Security (Track A: Management und Track B: Business) oder die Troopers (Track C: Troopers) besuchen will, weil leider die Vortragszeiten nicht ganz synchronisiert sind.

In Track A und B überwiegen meiner Ansicht nach die Verkäufer. Da tummeln sich diverse Hersteller, die einen Vortrag zu ihren Produkten halten weil sie halt was verkaufen wollen. Beispielsweise berichtet die Noris Network AG über Managed Services (bieten die zufällig sowas an?), MessageLabs referiert über die Optimierung von E-Mail und Web Security (sowas aber auch!) und Phion schleppt den Kunden Antenne Bayern an. Am interessantesten dürfte noch der Vortrag von Tobias Glemser zu XSS und CSRF sein, auch wenn mir nicht klar ist, wie man das im Track B (Business!) für die Zuhörer verständlich darstellen will.

So richtig enttäuscht bin ich aber von den Troopers-Inhalten. Das hat sich von einer echten Hacking-Konferenz bereits zur Hälfe zu einer Hersteller-Show entwickelt. Dominick Baier (freiberuflich aber sehr Microsoft-nah) zum Thema „.NET Access Control Service“, Rodrigo Branco (Check Point) zum Thema „Advanced Payload Strategies“ und Andrey Belenko (Elcomsoft) über „GPU-Assisted Password Cracking“ sind für mich praktisch Hersteller-Vorträge. Da reißen die anderen Vorträge die 890,- Euro Konferenzgebühr meiner Ansicht nach nicht mehr raus. Schade eigentlich, der ursprüngliche Ansatz der Troopers sah ganz interessant aus, auch wenn ich damals bereits von der Wirtschaftlichkeit nicht überzeugt war.

Die komplette Agenda der Troopers und die Referentenübersicht verlinke ich für Interessenten aber trotzdem gerne.

Nachtrag/Disclaimer:

In gewisser Weise ist der Veranstalter der Troopers 09, die ERNW, ein Mitbewerber meines Arbeitgebers und möglicherweise sehe ich die Veranstaltung daher kritischer als gerechtfertig.

Firefox Hardening

Category: Produkte,Work — Christian @ 13:19

Firefox ist zwar ganz nett, aber ab und an könnten die Standardeinstellungen (about:config) besser sein. Ein paar Änderungen, die ich bei mir grundsätzlich einrichte möchte ich hier dokumentieren, dann vergesse ich sie nämlich nicht gleich wieder:

  • browser.identity.ssl_domain_display = 1
    (verbesserte Anzeige der SSL-Zertifikatsgültigkeit)
  • dom.disable_window_open_feature.menubar = true
    (ich mag nicht, wenn mir Webseiten das Menü wegnehmen)
  • dom.disable_window_open_feature.personalbar = true
    (ich mag generell nicht, wenn mir Webseiten das Aussehen verändern)
  • dom.disable_window_open_feature.scrollbars = true
    (ich mag nicht, wenn mir Webseiten den Scrollbalken wegnehmen)
  • dom.disable_window_open_feature.titlebar = false
    (Finger weg, von der Titelleiste)
  • dom.disable_window_open_feature.toolbar = false
    (Und Finger weg von meiner Toolbar)
  • signon.rememberSignons = false
    (ich mag nicht, wenn Firefox meine Passwörter kennt)
  • network.prefetch-next = false
    (mein Browser lädt nur, was ich klicke)
  • browser.download.manager.scanWhenDone = false
    (danke, ich habe einen Virenscanner auf meinem Rechner der sowieso beim Schreiben scannt)

Bei einigen Parametern bin ich mir nicht ganz sicher, ob ich die will oder nicht:

  • browser.safebrowsing.enabled = true|false
    (das schaltet den Phishing-Filter, der URLs zur Prüfung an Google schickt. Siehe auch Privacy-Hinweis im Firefox)
  • browser.safebrowsing.malware.enabled = false
    (ich habe ein Recht auf mein tägliches Malware-Download … ich sammel das Zeug schließlich für meine tägliche Arbeit)

Weitere Informationen zum Lockdown, z.B. im Unternehmenseinsatz findet man bei PPC-Services.

Nachtrag:

Nach Hinweis von Tom aktualisiert.