Weiterbildung zur OWASP Web-Security bei Escola
Sicherheit im Fokus – unsere Entwickler haben sich einen Tag lang intensiv mit den neuesten Standards und Praktiken der Web-Sicherheit beschäftigt.
Bei der Weiterbildung zur OWASP Web-Security stand bei den Entwicklern von Escola alles im Zeichen der Sicherheit. In einem ganztägigen Weiterbildungskurs mit Roland von letsboot.ch haben wir uns intensiv mit den neuesten Standards und Best Practices der Web-Sicherheit auseinandergesetzt. Der Kurs bot uns die Gelegenheit, unsere Kenntnisse in zentralen Bereichen der IT-Sicherheit aufzufrischen, zu vertiefen und auf den neuesten Stand zu bringen.
Im Laufe des Tages setzten wir uns mit einer Vielzahl an Themen auseinander. Dazu gehörten die OWASP Top Ten, die zehn häufigsten Sicherheitsrisiken für Webanwendungen, sowie die sogenannten Secure Design Principles, also Grundprinzipien, wie man Sicherheit bereits bei der Planung einer Software berücksichtigt. Zudem lernten wir das Konzept des Threat Modelling kennen, ein Verfahren, um mögliche Risiken frühzeitig zu erkennen und zu bewerten.
Des Weiteren standen Secure Coding und Design Principles auf dem Programm, also Strategien, wie man Software sicher programmiert und gestaltet, um Schwachstellen zu vermeiden. Besonders intensiv befassten wir uns mit verschiedenen Formen der Zugriffskontrolle, darunter Role-Based Access Control (RBAC), das Zugriffe anhand von Rollen wie «Lehrer» oder «Schüler» regelt, und Attribute-Based Access Control (ABAC), das zusätzlich Merkmale wie Beziehungen, Zeit, Standort oder Berechtigungsstufen berücksichtigt. Der Tag wurde mit einer Zusammenfassung der zentralen Inhalte abgeschlossen.
Neben der Theorie war der Kurs stark praxisorientiert. In Übungen konnten wir unser Wissen direkt anwenden und an realen Szenarien arbeiten. Diese reichten von der sicheren Verarbeitung von Formularen (Form Validation) über Schutzmechanismen gegen Angriffe wie Cross-Site Request Forgery (CSRF), bei denen ungewollte Aktionen im Namen eines Nutzers ausgeführt werden, bis hin zur Vorbeugung von Schadcode-Angriffen wie SQL-Injection und Cross-Site-Scripting (XSS). Auch die sichere Verarbeitung von Daten (Escaping) und die Absicherung unserer eigenen Anwendungen waren zentrale Themen der Übungen.
Der Tag war nicht nur fachlich spannend, sondern auch eine grossartige Gelegenheit für den Austausch innerhalb unseres Entwickler-Teams. Nach einem intensiven Vormittag und einem ebenso lehrreichen Nachmittag liessen wir den Tag entspannt ausklingen – erst bei einem wohlverdienten Feierabendbier und anschliessend bei einem gemeinsamen Abendessen.
Bei Escola hat die Sicherheit unserer Schulsoftware oberste Priorität. Deshalb investieren wir regelmässig in Weiterbildungen wie diese, führen umfassende Sicherheitsüberprüfungen (Penetrationstests) durch und setzen auf ein solides Information Security Management System (ISMS). So können unsere Schulen sicher sein, dass ihre Daten bei uns bestens geschützt sind.
Vielen Dank an unser Team und alle, die diesen Tag so wertvoll gemacht haben!
Im Laufe des Tages setzten wir uns mit einer Vielzahl an Themen auseinander. Dazu gehörten die OWASP Top Ten, die zehn häufigsten Sicherheitsrisiken für Webanwendungen, sowie die sogenannten Secure Design Principles, also Grundprinzipien, wie man Sicherheit bereits bei der Planung einer Software berücksichtigt. Zudem lernten wir das Konzept des Threat Modelling kennen, ein Verfahren, um mögliche Risiken frühzeitig zu erkennen und zu bewerten.
Des Weiteren standen Secure Coding und Design Principles auf dem Programm, also Strategien, wie man Software sicher programmiert und gestaltet, um Schwachstellen zu vermeiden. Besonders intensiv befassten wir uns mit verschiedenen Formen der Zugriffskontrolle, darunter Role-Based Access Control (RBAC), das Zugriffe anhand von Rollen wie «Lehrer» oder «Schüler» regelt, und Attribute-Based Access Control (ABAC), das zusätzlich Merkmale wie Beziehungen, Zeit, Standort oder Berechtigungsstufen berücksichtigt. Der Tag wurde mit einer Zusammenfassung der zentralen Inhalte abgeschlossen.
Neben der Theorie war der Kurs stark praxisorientiert. In Übungen konnten wir unser Wissen direkt anwenden und an realen Szenarien arbeiten. Diese reichten von der sicheren Verarbeitung von Formularen (Form Validation) über Schutzmechanismen gegen Angriffe wie Cross-Site Request Forgery (CSRF), bei denen ungewollte Aktionen im Namen eines Nutzers ausgeführt werden, bis hin zur Vorbeugung von Schadcode-Angriffen wie SQL-Injection und Cross-Site-Scripting (XSS). Auch die sichere Verarbeitung von Daten (Escaping) und die Absicherung unserer eigenen Anwendungen waren zentrale Themen der Übungen.
Der Tag war nicht nur fachlich spannend, sondern auch eine grossartige Gelegenheit für den Austausch innerhalb unseres Entwickler-Teams. Nach einem intensiven Vormittag und einem ebenso lehrreichen Nachmittag liessen wir den Tag entspannt ausklingen – erst bei einem wohlverdienten Feierabendbier und anschliessend bei einem gemeinsamen Abendessen.
Bei Escola hat die Sicherheit unserer Schulsoftware oberste Priorität. Deshalb investieren wir regelmässig in Weiterbildungen wie diese, führen umfassende Sicherheitsüberprüfungen (Penetrationstests) durch und setzen auf ein solides Information Security Management System (ISMS). So können unsere Schulen sicher sein, dass ihre Daten bei uns bestens geschützt sind.
Vielen Dank an unser Team und alle, die diesen Tag so wertvoll gemacht haben!
