Security Entwickler Ressourcen (de-DE)

Andere Ressourcen
Security Developer Center
Kryptographie-Themen auf MSDN

Folge uns auf Twitter

MSDN Forums
Blogs
MSDN Magazin Artikel
Bücher
Webseiten
Siehe auch
Andere Sprachen
- English (en-US)

MSDN Forums

Die technische Community ermöglicht es mit Microsoft-Mitarbeitern, Experten und Kollegen in Kontakt zu treten, um Wissen und Neuigkeiten über Microsoft-Produkten und verwandte Technologien auszutauschen. Stell Fragen und bekomme Antworten in Microsofts technischen Foren.

Diskussionen auf microsoft.public.platformsdk.security

Diskussionen über Security

Diskussionen über kryptographische Security

Microsoft Security Development Lifecycle (SDL) Forum

Blogs

Die unten aufgeführten Blogs stammen von Microsoft-Mitarbeiten, die Einblicke in Microsofts Security APIs und Technologien haben. Sie stellen gute Informationsquellen für Themen, die nicht in der API-Dokumentation behandelt werden, dar.

Michael Howard

Der Security Development Lifecycle Blog

MSDN Magazin Artikel

Mai 2009

Eine Unterhaltung über das Bedrohungmodell

Verfolge einen Chat zwischen Entwicklern und Sicherheitsexperten, der die hauptsächlichen Sicherheitslebenszyklen (SDL) behandelt, den wir bei Produktteams bei Microsoft nutzen.

November 2008

Bedrohungsmodelle, die Ihren Sicherheitsprozess verbessern

Diese Rubrik schlägt einen Denkweg über Sicherheitsdesign aus einer ganzheitlichen Perspektive vor. Dabei werden Bedrohungsmodelle, die Ihren Sicherheitsentwicklungsprozess hauptsächlich durch Codereviews, Fuzzy-Tests und Analyse der Angriffsfläche verbessert.

Mai 2008

Penetrationstest

Hier erklärt James Whittaker die Regeln und die Stolperfallen bei Penetrationstest, damit man lernt sie zu vermeiden.

Juli 2007

Hinzufügen von Kryptographie unter der Nutzung der CNG API in Windows Vista

Cryptography Next Generation (CNG) bedeutet die langfristige Ersetzung der CryptoAPI.

November 2004

Sicherheitsrisiken abschwächen durch Reduzierung des Codes, der an Nutzer weitergegeben wird

In diesem Artikel stellt der Microsoft Sicherheitsexperte Michael Howard die grundlegenden Regeln für die Minimierung der Angriffsfläche vor. Seine Regeln - Reduzierung des Anteils von Code, der immer ausgeführt wird; Reduzierung des Anteils von Code, der von Nutzern erreichbar ist; Eindämmen des Schadens, der von Code verursacht werden kann - werden zusammen mit Techniken zur Anwendung der Regeln erklärt.

November 2003

Protect It: Schützen von Datenbankenverbindungen und anderem senstivien Einstellungen in Ihrem Code

Applikationenseinstellungen, wie beispielsweise Datenbankverbindungen und Passwörtern, benötigen besondere Rücksicht einer Anzahl von relevanten Faktoren wie sensitiv die Daten sind, wer Zugang zu Ihnen hat, wie man einen Ausgleich von Sicherheit, Performanz und Wartung findet. Dieser Artikel erklärt die Grundlagen von Datenschutz und vergleicht verschiedene Ansätze, die genutzt werden können um Applikationseinstellungen zu schützen. Der Verfasser diskutiert was man vermeiden sollte, wie etwa Schlüssel im Quellcode zu verstekcen und die Nutzung der Local Security Authority. Zusätzlich präsentiert er effektive Lösungen, wie die Data Protection API.

Review It: Expertentipps für das Auffinden von Sicherheitslücken in Ihrem Quellcode

Code-Review auf Sicherheitslücken ist eine Schlüsselzutat im Softwareentwicklungsprozess. Hier erzählt der Autor von seinen Erfahrungen mit Sicherheits-Code-Reviews und zeigt Patterns und Best Practices auf, denen alle Entwickler folgen können, um potentielle Sicherheitsschlupflöcher zu aufzuspüren. Der Prozess startet mit der Untersuchung der Umgebung in der der Code läuft, unter Beachtung der Rolle des Nutzers, der ihn ausführt. Nachdem die Grundlagen gelegt wurden, geht es weiter mit SQL Injection-Angriffen, Cross-Site-Scripting und Pufferüberlauf.

August 2003

Security Briefs: Passwörter hashen, das AllowPartiallyTrustedCallers-Attribut

Keith Brown beschreibt wie man Passwörter hasht, wenn man sie in einer eigenen Datenbank speichert und wann man das AllowPartiallyTrustedCallers-Attribute für das eigene Assembly nutzt.

May 2003

Virus Hunting: Verstehen von typischen Virusattacken bevor sie zuschlagen

Entwickler-Rechner sind anfälliger für ein Virus als der durchschnittliche Business User, weil sie häufiger Zugang zu Remote-Rechner und Shares, bei denen sie unterschiedliche administrative Rechte über verschiedene Rechner haben, nutzen. Die Nutzung von Antivirus-Software ist die erste Linie der Verteidigung, aber man braucht ein grundlegendes Arsenal an Kenntnissen. Dieser Artikel beschreibt proaktive Methoden, die man nutzen kann um sich vor gefährlichen Code, Komponenten, Skripten und Makros zu schützen.

April 2003

Security Briefs: Erkunden von S4U Kerberos Extensions in Windows Server 2003

Die Erstellung von Webseiten, die Dienste nach außen hin verfügbar machen durch Unternehmens-Firewalls ist kompliziert. Normalerweise ist es nicht wünschenswert Außenstehenden Zugang zu Unternehmensdomänen zu gewähren. Außerdem arbeitet Kerberos von einem praktischen Standpunkt aus nicht gut über das Internet aufgrund von typischen clientseitigen Firewallkonfigurationen.

März 2003

Talking To... Michael Howard diskutiert die Secure Windows Initiative

Das Wachstum von verbundenen Computern in den letzten Jahren steigert die Sicherheitsbedenken an die Entwickler- und Designspitze. Die Bemühungen von Microsoft, insbesondere der Secure Windows Initiative (SWI), fokussieren sich auf neuen und bestehenden Code.

April 2001

Secure Sockets Layer: Schützen Sie Ihre E-Commerce-Seite mit SSL und Digitalen Zertifikaten

Sicherheit ist einer der wichtigsten Faktoren im Wachstum des E-Businesses. Sicherzustellen, dass Kommunikation zwischen Kunden und Server sicher sind, ist ein kritisches Thema. Secure Sockets Layer (SSL) ist der Standard, der Webseiten heute sichert. Dieser Artikel präsentiert einen Überblick über SSL-basierte Sicherheit und erklärt grundlegende Konzepte wie digitale Zertifikate und ihre Verteilung, Verschlüsselung und die weitere Konfiguration von Microsoft Internet Information Services (IIS). Er enthält auch eine Anleitung für die Erhaltung eines Zertifikates, die Installation und die Konfiguration von IIS für SSL.

Das Security Support Provider Interface erneut aufgegriffen

Session-Keys können zum Verschlüsseln von Nachrichten oder zum einfachen Anfügen eines Message Authentication Codes (MAC) für die Fälschungsfeststellung und Authentifizierung von Klartextnachrichten genutzt werden. Dieser Artikel zeigt die SSPI API die man braucht, wie man das SSPI Workbench Tool nutzt um verschlüsselte oder signierte Nachrichten zu versenden und wie SSPI nutzt um Passwörter zu validieren. Er beschreibt ein paar Experimente, die man mit der Workbench ausprobieren kann um Kerberos, NTLM und SPNEGO, die in Windows implementiert sind, kennenzulernen.

August 2000

Erforsche das Security Support Provider Interface unter der Nutzung des SSPI Workbench Tools

Dieser Artikel beschreibt den Security Support Provider Interface (SSPI) und das SSPI Workbench Tool, damit man SSPI lernt und die verschiedenen Authentifizierungsprotokolle versteht, die Microsoft Windows 2000 unterstützt.

Mai 2000

Verstehen von Kerberos Credential Delegation in Windows 2000 unter der Nutzung des TktView Tools

Dieser Artikel beschreibt wie Windows 2000 die Anmeldedelegation mittels Kerberos implementiert.

März 2000

Erforsche Handle Security in Windows

Dieser Artikel beschreibt wie Sicherheit, Impersonation, Vererbung und die DuplicateHandle API arbeitet.

Encrypt It: Halten Sie Ihre Daten sicher mit New Advanced Encryption Standard

Das Advanced Encryption Standard (AES) ist ein nationales Institut für Standards und Technologien für die Verschlüsselung von elektronischen Daten. Dieser Artikel gibt einen Überblick über AES und erklärt die genutzten Algorithmen.

Bücher

Writing Secure Code, Second Edition

Writing Secure Code for Windows Vista

Webseiten

MSDN Security Developer Center

Microsoft Security Development Lifecycle (SDL)

Siehe auch

Andere Sprachen

Dieser Artikel ist auch in den folgenden Sprachen verfügbar:

English (en-US)

Security Developer Resources (en-US)

Wiki - Revision Comment List(Revision Comment)

| |

Comments

Carsten Siemens

31 May 2013 3:51 AM

Carsten Siemens edited Revision 8. Comment: Added tag: has TOC
- Edit
Horizon_Net

20 Jan 2012 6:23 AM

Horizon_Net edited Revision 1. Comment: added language tag
- Edit
FZB

26 Jan 2012 12:58 PM

FZB edited Revision 2. Comment: Satz klarer formuliert
- Edit
Horizon_Net

30 Jan 2012 1:54 PM

Horizon_Net edited Revision 3. Comment: updated link to 'Entwickler Portal'
- Edit
Horizon_Net

30 Jan 2012 2:51 PM

Horizon_Net edited Revision 4. Comment: added link to english version
- Edit
Horizon_Net

10 Feb 2012 11:18 AM

Horizon_Net edited Revision 5. Comment: typo
- Edit
Horizon_Net

17 Mar 2012 11:03 AM

Horizon_Net edited Revision 7. Comment: added tag
- Edit

Wikis - Comment List

Posting comments is temporarily disabled until 10:00am PST on Saturday, December 14th. Thank you for your patience.

Posted by Carsten Siemens

on 31 May 2013 3:51 AM

Carsten Siemens edited Revision 8. Comment: Added tag: has TOC
Edit
Posted by Horizon_Net

on 20 Jan 2012 6:23 AM

Horizon_Net edited Revision 1. Comment: added language tag
Edit
Posted by FZB

on 26 Jan 2012 12:58 PM

FZB edited Revision 2. Comment: Satz klarer formuliert
Edit
Posted by Horizon_Net

on 30 Jan 2012 1:54 PM

Horizon_Net edited Revision 3. Comment: updated link to 'Entwickler Portal'
Edit
Posted by Horizon_Net

on 30 Jan 2012 2:51 PM

Horizon_Net edited Revision 4. Comment: added link to english version
Edit
Posted by Horizon_Net

on 10 Feb 2012 11:18 AM

Horizon_Net edited Revision 5. Comment: typo
Edit
Posted by Horizon_Net

on 17 Mar 2012 11:03 AM

Horizon_Net edited Revision 7. Comment: added tag
Edit

Products

Resources

Solutions

Updates

Trials

Related Sites

Training

Certifications

Other resources

Support options

More support

Not an IT pro?