Nachdem ich mit ein bisschen Verspätung angekommen bin, kann ich leider zum Eröffnungsvortrag Takeoff und zum Vortrag Don’t remove your ethics before flight nichts sagen. Allerdings gab es auch im Anschluss noch einige interessante Vorträge.

Zuerst habe ich mir Slide To Unlock — or Provide Your Facebook Pictures? angehört. Thema war die Authentifizierung mit biometrischen Merkmalen auf mobilen Geräten. Fun Fact: Auch eine Kniescheibe ist so einzigartig, dass diese sich für eine Authentifizierung nutzen lässt. Das ist natürlich aus Usability Gründen für ein Smartphone nicht die beste Methode. Untersucht wurden Fingerabdruck, Iris, Sprache und Gesichtswiedererkennung. Zur Authentifizierung mit der geringsten false negativ Rate sollte man wohl die Iris benutzen, da sich bis zu 260 Merkmale zur Identifizierung nutzen lassen. Problem bei allen Methoden ist bisher die Hardware der Mobilen Geräte. Die Kameras müssen die Gesichter besser ausleuchten und besser Auflösen, um gut zu funktionieren, Fingerabdruckleser müssen genauer abbilden, um die Authentifizierung zu ermöglichen.

Interessanter Vortrag, mit zumindest einigen mir neuen Erkenntnissen. Warten wir also auf die ersten großen Hersteller, die Fingerabdruckleser in ihr Smartphone einbauen.

Weiter ging es mit Content Security Policy – Ein weiterer (vergeblicher) Versuch Cross-Site Scripting zu bändigen? Bisher kannte ich CSP noch nicht. Das ganze ist ein interessanter Ansatz. Wie sich im Vortrag dann herausgestellt hat, gibt es aber noch einige Lücken zu stopfen. Zwar implementieren die meisten Browser CSP (IE ist mal wieder außen vor) aber Webkit will einen anderen Header als Firefox, wobei beide einen Header wollen, der nicht im Standard definiert ist. Außerdem bekommt der Webmaster über die reporting Funktion womöglich Daten, die der Nutzer garnicht herausrücken will, wenn beispielsweise Browserplugins die Seite gewollt verändern.

Insgesamt habe ich mitgenommen, das CSP ist eine gute zusätzliche Verteidigungsmaßnahme gegen XSS-Angriffe ist, man sich allerdings nicht allein darauf verlassen sollte. Am wichtigsten ist es weiterhin, seinen Code so zu schreiben, das XSS nicht möglich ist.

Als letzen Vortrag gab es für mich dann noch Bausätze in Hackerspaces, der für mich interessante Einblicke in die Arbeit mit Lieferanten, und die Entwicklung von Bausätzen liefert. Spannende Sache: Das als Beispiel erwähnte Hacklace hatte vom Prototyp, bei dem alle Teile aus Deutschland kamen, zum Serienprodukt, mit einer Batchgröße von 200 Stück, eine Kostenersparnis von 60%, was bei solch einfachen Teilen schon gigantisch ist.

Wer also selbst ein plant, ein Bausatz zu entwickeln, sollte sich den Stream nochmal anschauen.

An Tag Zwei geht es mit dem großen Vortragsblock weiter. Außerdem werde ich die Key Signing Party abhalten.