Show notes
Markus Kopf und ich sprechen darüber, wie man iOS-Apps sicher machen kann. Dabei sprechen wir über HTTPS, mögliche Risiken wie man-in-the-middle und wie man sich mit SSL-Pinning davor schützen kann. Nachdem wir das sichere Speichern von Daten auf dem Gerät und ein paar weitere Themen wie Jailbreaks anreißen, kommen wir abschließend noch knapp auf die NSA-Affäre zu sprechen. document.addEventListener("DOMContentLoaded", function() { podlovePlayerCache.add([{"url":"http:\/\/uisprech.de\/wp-json\/podlove-web-player\/shortcode\/publisher\/6","data":{"version":5,"show":{"title":"UISprech","subtitle":"Deutschsprachiger Podcast zur iOS-Entwicklung","summary":"Ein deutschsprachiger Podcast rund um die iOS-Entwicklung f\u00fcr alle, die sich f\u00fcr die Erstellung von Apps interessieren. Heiko Behrens spricht mit einer breiten Auswahl von interessanten Figuren aus der deutschen iOS-Szene \u00fcber alles, was man f\u00fcr das Bauen von Apps braucht. H\u00f6rt wie Freelancer begonnen haben, welche Prozesse namenhafte App-Schmieden einsetzen, welche technischen Neuigkeiten es gibt und wie sie von anderen verwendet werden, aber auch wie ihr Euer Marketing verbessern k\u00f6nnt.","poster":"http:\/\/uisprech.de\/wp-content\/cache\/podlove\/3e\/01aae6c42b3ed7e463ec63ac6f75a4\/uisprech_500x.png","link":"http:\/\/uisprech.de"},"title":"#6 Sichere Apps mit Markus Kopf","subtitle":"Ein Grundlagengespr\u00e4ch zu Themen wie HTTPS, Schutz vor Man-in-the-Middle mit SSL-Pinning, die NSA-Aff\u00e4re und \u00fcber Sicherheit im Allgemeinen.","summary":"Markus Kopf und ich sprechen dar\u00fcber, wie man iOS-Apps sicher machen kann. Dabei sprechen wir \u00fcber HTTPS, m\u00f6gliche Risiken wie man-in-the-middle und wie man sich mit SSL-Pinning davor sch\u00fctzen kann. Nachdem wir das sichere Speichern von Daten auf dem Ger\u00e4t und ein paar weitere Themen wie Jailbreaks anrei\u00dfen, kommen wir abschlie\u00dfend noch knapp auf die NSA-Aff\u00e4re zu sprechen.","publicationDate":"2013-11-07T podlovePlayer("#player-6868ebc3d4502", "http://uisprech.de/wp-json/podlove-web-player/shortcode/publisher/6", "http://uisprech.de/wp-json/podlove-web-player/shortcode/config/default/theme/default"); }); Alternativ zum Download könnt Ihr UISprech bei iTunes oder mit einem anderen Podcast-Client abonieren. Shownotes Hier die Links und Anmerkungen zu dieser Episode:Diese Episode wird gesponsort von der JetBrain’s AppCode. Vielen Dank!Wenn Ihr beim Kauf einer Personal License den Rabatt-Code AppCodeUISprechNovember beim Kauf verwendet, bekommt Ihr bis zum Ende November 25% Rabatt.Was macht payleven?payleven, und die Konkurrenz Square und iZettleReed-Kontakt (habe mir inzwischen sagen lassen, dass der im Kassettenrekorder gar nicht verbaut wird…)iOS und Sicherheit im AllgemeinenAngriffsvektorMan-in-the-Middle-AngriffTalk vom BSI (vor 20 Jahren im Desktop genauso) (Markus?)Standard X.509 zum erstellen digitaler ZertifikateSicherheitsproblemeSSL (bzw. TLS) und HTTPSMan-in-the-Middle-Angriff (noch einmal, dieses Mal genauer)Social EngineeringPhishing AttackeIn-App-Purchase Receipt ManipulationSSL-PinningVielen Dank Jochen Zilske für diese Links!Adam Langley über Public Key PinningGraham Lee über SSL Pinning und noch ein kurzes Paper “TLS DONE LESS WRONG”SSL-Pinning diskutiert von iSEC Partners (hier noch Folien)Pinning beschrieben vom OWASP (samt netter Zusammenfassun derg Begriffe)Weitere SchutzmöglichkeitenNSURLConnectionDelegate willSendRequest:ForAuthentictionChallenge:ObfuscationHopper, ein Decompiler und Debugger für iOSHMACAFNetworkingBlackhat-Konferenz-Talk über Chaining und co. Als Beispiel (hast Du dazu infos, Markus?)Keychain ist eine gute SacheRechtliches und NSASection 3.3.2 (leider aus rechtlichen Gründen kein direkter Link möglich)Safe Harbor AbkommenLavabit (Bericht im Guardian) und Edward SnowdenWeitere InfosBuchtipp: Hacking and Securing iOS Applications von Jonathan Zdziarski, erschienen bei O’ReillyKontaktdaten von Markus KopfTwitterBlog (Markus: “wird nicht wirklich genutzt”)GitHubDiese und alle anderen Folgen von UISprech sind veröffentlicht unter der CC BY-SA 3.0 Lizenz.

