Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.
Secure Web Development SS2016: Projekte online
Liebe Studenten,
wie bereits in diesem Thread beschrieben, haben wir in diesem Semester ein neues Projekt gestartet. Es haben sich drei Teams zusammengefunden, die bis Oktober an drei verschiedenen Webseiten/-applikationen arbeiten. Diese Applikationen sind jetzt online. Sie können ausprobiert und ggf. können auch Angriffsversuche unternommen werden.
Dazu eine Bitte: Eventuelle Angriffe sollten aus dem Uninetz erfolgen. Bei Erfolg sollte das entsprechende Team informiert werden. Keine Angriffe, bei denen uns (oder euch) das Rechenzentrum aufs Dach steigt 
Anmerkung: Die Applikationen befinden sich was die Features und das Design angeht teilweise noch in einer frühen Phase. Hier kann und wird noch in den nächsten Wochen/Monaten viel passieren. Soweit möglich, sind die Applikationen erstmal nur aus dem Uninetz erreichbar.
Es folgt die Vorstellung der Teams. Fragen, Wünsche und Anregungen können auch in diesen Thread gepostet werden.
Groupsome
Groupsome ist eine Web Applikation, die es Telegram Usern ermöglicht, die Inhalte ihrer Gruppen im Browser einzusehen und zu managen. Groupsome erweitert dabei die Gruppen um die klassischen Funktionen eines Sozialen Netzes. Man muss sich lediglich bei unserem “groupsomebot” einmalig registrieren und diesen in die gewünschten Gruppen einladen. Der Bot stellt dann die Inhalte auf der personalisierten Website zur Verfügung. Das Projekt befindet sich im Aufbau und daher stehen im Moment erst einmal folgende Features zur Verfügung:
- Anzeigen von Bildern, Links, Audios aller Gruppen oder gruppenspezifisch in einer Art Timeline
- Abspielen von Audios
- Bildergalerie für jede Gruppe
- Erstellen eigener Bilderalben auch gruppenübergreifend
Diese Features sollen bis einschließlich September folgen:
- Collections (Links, Audio, Video, Dateien)
- Eventerstellung für Gruppen
- Erinnerungsfunktion über Events an die Gruppenmitglieder
- Umfragen
- Vollständige Timeline inkl. Textnachrichten
- Evtl. Unterstützung anderer Messengers
Die Website ist erreichbar unter: https://groupso.me
Wäre top, wenn ihr unser Projekt testen würdet und uns Feedback zukommen lasst! Über Struktur der Seite, Funktionen, Bugs, Usability etc.
Danke schon mal im Voraus!
HostingTycoon – a strategy browser game
Im Rahmen des Projekts ‘Secure Web Development’ entwickeln wir ein Browsergame, in dem der Spieler die Rolle eines Hosting- bzw. Rechenzentrumsproviders einnimmt. Der Spieler kann sich so vom einfachen PCs Aufstellen in Muttis Keller zum professionellen Hoster entwickeln.
Folgender Spielumfang ist geplant:
- Aufbau geeigneter Infrastrukturen (Gebaeude, Racks, Server) sowie diverser Einrichtungen (Klimaanlage, Wachpersonal, etc.)
- Interaktion zwischen Spielern: Beinhaltet Aktionen wie einfache Sabotage (z.B. physischer Einbruch), Spionage, und das Ausfuehren von div. IT-Angriffen (z.B. Denial-of-Service).
- Personal: Um die oben genannten Aktionen ueberhaupt ausfuehren zu koennen, benoetigt der Spieler Personal.
- Wirtschaft/Marketing: Um das Einkommen zu erhoehen, muss der Spieler neue Maerkte und Moeglichkeiten erschliessen um an neue Kunden zu kommen.
Wir stehen noch realtiv weit am Anfang unserer Entwicklung. Die erste
kleine Vorabversion ist bereits unter https://hostingtycoon.net
erreichbar und spielbar.
Es beinhaltet folgende Features:
- Spieler besitzt ein gewisses Startkaptial
- Mit diesem koennen Gebaeude und Server gekauft/verkauft werden
- Das aktuelle Vermoegen wird nach jedem Tick gemaess dem aktuellen Income erhoeht/erniedrigt.
- Einfache GUI (funktional)
In den folgenden Wochen wird das Spiel stetig erweitert. Unter https://hostingtycoon.net/home/news wird ueber die aktuellen Features berichtet.
Daisychain
Jeder von uns verwendet heute zahlreiche Web-Applikationen oder Produkte, die mit dem Internet verbunden sind: von der klassischen Mail, über Facebook, Twitter, Instagram bis hin zu den Geräten des Internet of Things. All diese Produkte leben in ihrem eigenen Ökosystem. Sprechen nicht miteinander.
Das führt dazu, dass wir mühsam Dienste wechseln müssen. Häufig redundante Aufgaben erledigen müssen. Die meisten von uns haben schon einmal Dateien hin- und hergeschickt, Nachrichten kopiert und anderswo eingefügt, einen Text oder eine Statusmeldung an zwei verschiedenen Orten gepostet.
Mit Daisychain gehen wir dieses Problem an. Daisychain tritt als Bindeglied zwischen die einzelnen Produkte und Webapplicationen. Spart damit Zeit, macht das Leben einfacher.
Daisychain ist nicht nur einfach zu bedienen, sondern kann darüber hinaus mit Leichtigkeit erweitert, konfiguriert und auf dem eigenen Server betrieben werden. Ihr müsst also nicht irgendeinem weiteren proprietären Dienst vertrauen. Ihr behaltet die Kontrolle über eure Daten.
Da Daisychain quelloffen ist, werdet ihr nie im Unklaren sein, was unter der Oberfläche abläuft. Ein Blick in unseren gut dokumentierten Quellcode genügt. Nicht nur das: Wenn ihr einen Web-Dienst oder ein Produkt mit Webanbindung nutzt, der von Daisychain noch nicht unterstützt ist, könnt ihr eine Erweiterung schreiben, die den Dienst bzw. das Produkt an Daisychain anbindet.
Daisychain befindet sich noch im Entwicklungsstadium, kann jedoch bereits genutzt werden: Daisychain ist derzeit mit Twitter, Instagram und Dropbox verbunden. Anbindungen für Gmail und Facebook stehen kurz vor der Fertigstellung. In den nächsten Monaten folgen die Integration weiterer Web-Dienste sowie Verbesserungen der User Experience.
Neugierig geworden? Probiert Daisychain unter https://daisychain.me. Neuigkeiten zur Entwicklung findet ihr auf unserem Blog https://www.daisychain.me/blog.
2 „Gefällt mir“
Gibt’s denn den Sourcecode dazu? Bei dem einen steht dabei, dass es Opensource sein soll, sehe aber keinen entsprechenden Link. Und der Link zum Blog ist auch kaputt.
Ist denn alles Django geworden? Weil da muss man sich doch schon echt Mühe geben, um etwas kaputt zu machen.
Der Sourcecode wird, sofern es die Studenten wollen, später veröffentlicht. Speziell bei Daisychain wird der Sourcecode auf jeden Fall veröffentlicht, da es zum Selbsthosten gedacht ist. Über den Zeitpunkt entscheidet aber die Gruppe.
Ist alles Django geworden. Schwachstellen sind also eher bei fehlender Validierung und nicht korrekter Rechtevergabe zu suchen als z.B. bei SQL Injections und XSS.