Simon Kölsch

Simon Kölsch arbeitet als Senior Consultant bei innoQ mit dem Schwerpunkt Web-Architektur und Security. Begeistern kann er sich für Lösungen, die über den klassischen “Enterprise-Monolithen” hinaus gehen, inklusive der dazugehörigen Infrastruktur zum Deployment, Logging und Monitoring. Auf eine Programmiersprache ist er nicht festgelegt, hat aber einen starken Hintergrund auf der JVM. In seiner Freizeit druckt er Dinge aus Plastik.

Vorträge

  • OAuth2 und OpenID Connect

    heise devSec 2017 26. Oktober 2017

    Als Webnutzer möchte ich eigentlich nur eins: endlich keine 100 verschiedene Passwörter mehr und trotzdem sichere Authentifizierung. OpenID und OAuth sind aus diesen Problemen heraus entstanden und über mehrere Jahre zu einer komplexen Sammlung an unterschiedlichen Spezifikationen gewachsen.

    Diese Session gibt einen Überblick über die Ideen dahinter sowie über Funktionsweise, Einsatzzwecke und Schwierigkeiten.

    Vorkenntnisse

    Grundkenntnisse in der Entwicklung von verteilten Webanwendungen.

    Lernziele

    Nach dem Vortrag sollen die Besucher einen Überblick über die derzeit gängigen Authentifizierungs- und Autorisierungsverfahren im Web haben und wissen, welche Vor- und Nachteile mit ihnen verbunden sind.

    Mehr lesen
  • Vault – Virtueller Schlüsselkasten

    Continuous Lifecycle 2016 / Container Conf 2016 16. November 2016 Folien verfügbar

    Das Thema “Sicherer Umgang mit Zugangsdaten”, gerade für funktionale Accounts, wurde über Jahre hin eher stiefmütterlich behandelt. Inzwischen sind glücklicherweise Passwörter im Quellcode von Anwendungen immer seltener zu finden. Diese zur Laufzeit in der Konfiguration zu hinterlegen, ist allerdings auch nur der erste Schritt. Zunehmende Automatisierung und komplexere verteilte Systeme stellen Entwicklung und Betrieb vor weitere Herausforderungen.

    HashiCorp bietet mit Vault ein Werkzeug, um sicher mit “Secrets” umzugehen. Dieser Vortrag gibt einen Überblick über die Funktionsweise von Vault und zeigt, welche Probleme damit zu lösen sind. Dabei wird außerdem auf den Betrieb und die benötigte Infrastruktur eingegangen.

    Skills

    Der Vortrag spricht Devs und Ops an und erfordert darüber hinaus keine speziellen Vorkenntnisse.

    Lernziele

    Vaults Funktionsweise und Anwendungsfälle kennen lernen.

    Mehr lesen
  • Microservice sind momentan in aller Munde. In Abwägungen zwischen klassischen Systemen und Microservice-Umgebungen wird den unabweisbaren Vorteilen von Microservices – kleine und verständliche Einheiten, kurze Entwicklungszyklen, flexible Technologieauswahl usw. oft die Komplexität eines verteilten Systems als Nachteil gegenübergestellt. Selten wird jedoch der Sicherheitsaspekt in solchen Abwägungen berücksichtigt, obwohl dieser eine beträchtliche Herausfoderung darstellt: Statt einer monolithischen Applikation müssen nun eine Vielzahl von Microservices, teilweise in verschiedenen Programmiersprachen/Laufzeitumgebungen implementiert sowie abgesichert werden. Die Authentifizierungs-/Autorisierungskonzepte und Mechanismen müssen über Applikationen und Netzwerkgrenzen hinweg funktionieren. Es sind potenziell deutlich mehr Schnittstellen über das Netzwerk exponiert und bieten somit auch eine entsprechend größere Angriffsfläche. Regeln für Firewalls und Intrusion-Detection-Systeme werden deutlich komplizierter.

    In diesem Vortrag werden die typischen Security-Schwierigkeiten in Microservice-Umgebungen aufgezeigt und passende Lösungsansätze dargeboten, damit Ihnen zukünftig die Bewertung eines Micorservices-Ansatzes besser möglich ist.

    Mehr lesen
  • Sichere Webanwendungen mit Clojure

    Düsseldorf Clojure Meetup Oktober 2016 20. Oktober 2016 Folien verfügbar

    In diesem Vortrag praesentieren wir Clojure als eine mögliche Sprache um mit wenig Aufwand sichere Webapplikationen zu bauen. Wir zeigen dabei mit welchen Features gängige Frameworks verschiedene Angriffe verhindern und zeigen, dass “Security” ein grundlegender Teil der Architektur sein muss.

    Wir leben in einer Welt in der das Web unseren Alltag durchdrungen hat. Die Frage nach Sicherheit wird dabei immer größer und ist schon lange ein Thema bei Endnutzern. Hacker können mit XSS, CSRF, DoS oder Injection-Attacken meine Applikation angreifen. Muss ich mich als Entwickler wirklich noch selbst um das Verhindern von solchen Angriffen kümmern? Regelmässig tauchen immer wieder neue Schwachstellen auf, deshalb ist es wichtig bei der Auswahl von Frameworks und Libraries auch auf Features im Bezug auf Security zu achten. Dazu kommt der Umgang mit Authentifizierung und Rollen/Rechte-Konzepten.

    Mehr lesen
  • Sichere Webanwendungen mit Clojure

    FrOSCon 2016 21. August 2016 Folien verfügbar

    Wir leben in einer Welt, in der das Web unseren Alltag durchdrungen hat. Die Frage nach Sicherheit wird dabei immer größer und ist schon lange ein Thema bei Endnutzern. Hacker können mit XSS, CSRF, DoS oder Injection-Attacken meine Applikation angreifen. Muss ich mich als Entwickler wirklich noch selbst um das Verhindern von solchen Angriffen kümmern? Regelmässig tauchen immer wieder neue Schwachstellen auf, deshalb ist es wichtig, bei der Auswahl von Frameworks und Libraries auch auf Features im Bezug auf Security zu achten. Dazu kommt der Umgang mit Authentifizierung und Rollen/Rechte-Konzepten.

    In diesem Vortrag präsentieren wir Clojure als eine mögliche Sprache, um mit wenig Aufwand sichere Webapplikationen zu bauen. Wir zeigen dabei, mit welchen Features gängige Frameworks verschiedene Angriffe verhindern und zeigen, dass “Security” ein grundlegender Teil der Architektur sein muss.

    Sehen Sie das Video auf ccc-tv

    Mehr lesen

Inhalte

  • Vault

    Artikel 12. Dezember 2016

    Eigentlich ist man sich einig, dass durch immer größere und komplexere Netze und Systemlandschaften das Thema “Sicherheit” nicht einfach durch die eine grosse Perimeter-Firewall erledigt ist. Trotzdem fehlt es häufig an Infrastruktur, die dabei unterstützt zum Beispiel mit Zugangsdaten automatisiert und sicher umzugehen. Vault unterstützt hier als “a tool for managing secrets” dieses Problem anzugehen.

    Mehr lesen
  • Wo bist du?

    Artikel 05. Dezember 2016

    HashiCorp hat mit Consul eine inzwischen fest etablierte Service-Discovery-Lösung geschaffen. Ein Konsul ist ein entsandter Beamter, der in einem fremden Staat die Interessen der eigenen Bevölkerung wahrt und den Handel fördert. Betrachtet man eine Microservice-Landschaft als fremdes Land und die Einwohner als einzelne Services, die sich austauschen, kann man mit etwas Wohlwollen die Namensgebung nachvollziehen. Einen Überblick über Einsatzzweck, Features und Aufbau bietet dieser Artikel.

    Mehr lesen
  • Content Security Policy

    Blog-Post 13. Oktober 2016

    Cross-Site-Scripting ist seit Jahren eines der Security Probleme im Web. Neben anderen sicherheitsrelevanten HTTP-Headern gibt es seit geraumer Zeit auch die Möglichkeit, dem Browser eine “Content Security Policy” mitzuteilen. Dieser Blogpost erklärt deren Zweck und Einsatz.

    Mehr lesen
  • Docker

    Podcast-Folge 01. Februar 2016

    In dieser Folge unterhalten sich Simon Kölsch und Lucas Dohmen über Docker und erklären, wann man es braucht und wie Docker funktioniert. Außerdem sprechen sie über die Tools, die im Docker-Ökosystem zur Verfügung stehen.

    Mehr lesen
  • Bessere Web-Apps mit HTML5-APIs

    Artikel 24. Juli 2015

    Der Begriff HTML5 fasst eine bunte Sammlung aus verfügbaren und geplanten APIs zusammen, auf die im Browser von JavaScript aus zugegriffen werden kann. Einige dieser APIs ermöglichen heute, Anwendungen für den Browser zu realisieren, die vor wenigen Jahren noch Plugins erfordert hätten. Die prominentesten Vertreter sind sicherlich Video oder WebRTC. Zum Beispiel ist heute die Public-Key-Verschlüsselung bereits im Web-Client integrierbar oder das Reagieren auf Sensordaten der Betriebs-Hardware des Browsers möglich. Es folgt eine persönliche Auswahl an etablierten APIs und ein Ausblick auf einige noch recht frische.

    Mehr lesen