Zurück

Protectors of the Realm: Wie man einen Keycloak sicher hält

Keycloak ist ein verbreitetes Tool für Authentifizierung und Nutzerverwaltung. Die Analyse der Sicherheit eines bestehenden Keycloaks ist jedoch aufgrund der Komplexität der Software und ihrer Konfigurationsoptionen herausfordernd.

Max und Tim teilen ihre Methodik für die Sicherheitsanalyse von Keycloak-Instanzen, die sie in verschiedenen Projekten erarbeitet haben – sowohl in kurzen Audits als auch durch langfristige Projektbegleitung über mehrere Jahre. Ihre Arbeit wird dabei unterstützt durch ihren quelloffenen Keycloak-Auditor kcwarden, der verbreitete Sicherheitsprobleme erkennt und für projektspezifische Anforderungen konfiguriert werden kann.

Vorkenntnisse

Teilnehmende sollten grundlegende Kenntnisse über OAuth/OpenID Connect mitbringen.

Lernziele

Der Vortrag gibt einen Überblick über häufige Fehlkonfigurationen und vermittelt eine Methodik, um Keycloak-Konfigurationen initial zu prüfen und kontinuierlich auf neu auftretende Sicherheitsprobleme zu überwachen.

Speaker

Max Maaß arbeitet im Security-Team bei der iteratec GmbH und beschäftigt sich dort mit praktischen Sicherheitstests, Bedrohungsanalysen und Architektur-Reviews für Softwareentwicklungsprojekte. Vorher promovierte er an der TU Darmstadt im Bereich IT-Sicherheit.

Tim Walter ist nach Stationen als Full-Stack-Entwickler und Softwarearchitekt inzwischen als Security-Architekt für die iteratec GmbH tätig. Seine primäre Aufgabe ist die Unterstützung von Teams bei der Entwicklung sicherer Software unter anderem durch Bedrohungsanalysen, Security-Reviews von Architekturkonzepten, Analysen von Schwachstellen sowie die Verzahnung und Automatisierung von Security-Scans.

Jetzt Tickets sichern

heise-devSec-Newsletter

Du möchtest über die heise devSec
auf dem Laufenden gehalten werden?

Anmelden