Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Sicherheitsrisiko Single-Page-Anwendungen

Single-Page-Applikationen (SPA) sind sehr beliebt. Derartige Frontends werden als Javascript-Anwendungen vollständig im Webbrowser des Benutzers ausgeführt.

Aus der Sicherheitsperspektive bergen SPAs jedoch ein viel höheres Risiko als herkömmliche serverseitige Webanwendungen.

Neben Cross-Site Scripting (XSS) lauern hier noch weitere Bedrohungen.

In diesem Vortrag werden wir uns die populären Frameworks Angular, React.js und Vue.js vornehmen und ihre Sicherheitsaspekte näher beleuchten. Wir diskutieren die eingebauten Abwehrmechanismen der verschiedenen SPA-Frameworks und zeigen, welche weiteren Sicherungsmaßnahmen darüber hinaus noch für Entwickler erforderlich sind.

Vorkenntnisse

Der Vortrag richtet sich an Softwareentwickler, Architekten und Sicherheitsinteressierte gleichermaßen. Grundlegende Vorkenntnisse über die Funktionsweise von Webanwendungen sind für das Verständnis des Vortrags erforderlich. Kenntnisse in einer Programmiersprache wie Java oder Javascript sind hilfreich, aber nicht zwingend erforderlich.

Lernziele

  • Welche Probleme bedrohen allgemein die Sicherheit meiner Single Page Anwendung?
  • Was bieten aktuelle Frameworks wie Angular, React und Vue an bereits eingebauten Verteidigungsmechanismen?
  • Was muss ich als Entwickler noch selbst darüber hinaus noch beachten und welche Fallen bei der Verwendung dieser Frameworks sollte ich vermeiden?
  • Praxisnahes Lernen potentieller Sicherheitslücken in SPAs durch mehrere Live-Demos

Speaker

 

Andreas Falk
Andreas Falk arbeitet für die Novatec Consulting mit Sitz in Stuttgart. In verschiedenen Projekten ist er seither als Architekt, Coach, und Trainer im Einsatz. Sein Schwerpunkt liegt auf der agilen Entwicklung von Cloud-Nativen Java Anwendungen. Als Mitglied der OWASP Community und der OpenID Foundation beschäftigt er sich auch gerne mit diversen Aspekten der Anwendungssicherheit.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden