{"course":{"productid":36419,"modality":1,"active":true,"language":"de","title":"Code responsibly with generative AI in Python","productcode":"CRWGAIP","vendorcode":"CY","vendorname":"Cydrill","fullproductcode":"CY-CRWGAIP","courseware":{"has_ekit":false,"has_printkit":true,"language":""},"url":"https:\/\/portal.flane.ch\/course\/cydrill-crwgaip","objective":"<ul>\n<li>Die Grundlagen der verantwortungsvollen KI verstehen<\/li><li>Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit<\/li><li>Verstehen, wie Kryptographie die Sicherheit unterst&uuml;tzt<\/li><li>Lernen, wie man kryptografische APIs in Python richtig verwendet<\/li><li>Verst&auml;ndnis von Sicherheitsfragen bei Webanwendungen<\/li><li>Detaillierte Analyse der OWASP Top Ten Elemente<\/li><li>Die Sicherheit von Webanwendungen im Kontext von Python<\/li><li>&Uuml;ber die niedrig h&auml;ngenden Fr&uuml;chte hinausgehen<\/li><li>Verwaltung von Schwachstellen in Komponenten von Drittanbietern<\/li><li>All dies im Kontext von GitHub Copilot<\/li><\/ul>","essentials":"<p>Allgemeine Python- und Webentwicklung<\/p>","audience":"<p>Python-Entwickler, die Copilot oder andere GenAI-Tools verwenden<\/p>","contents":"<h4>Tag 1<\/h4><h4>Verantwortungsbewusst kodieren mit GenAI<\/h4><ul>\n<li>Was ist verantwortungsvolle KI?<\/li><li>Was ist Sicherheit?<\/li><li>Bedrohung und Risiko<\/li><li>Arten von Cybersicherheitsbedrohungen - die CIA-Triade<\/li><li>Folgen von unsicherer Software<\/li><li>Sicherheit und verantwortungsvolle KI in der Softwareentwicklung<\/li><li>GenAI-Werkzeuge f&uuml;r die Kodierung: Copilot, Codeium und andere<\/li><li>Die OWASP Top Ten aus der Sicht von Copilot\n<ul>\n<li>Die OWASP Top Ten 2021\n<ul>\n<li>A01 - Defekte Zugangskontrolle\n<ul>\n<li>Grundlagen der Zugangskontrolle<\/li><li>Keine Beschr&auml;nkung des URL-Zugriffs<\/li><li>Verwirrter Abgeordneter<\/li><li>Unsichere direkte Objektreferenz (IDOR)<\/li><li>Pfad&uuml;berquerung<\/li><li>&Uuml;bung - Unsichere direkte Objektreferenz<\/li><li>Bew&auml;hrte Verfahren zur Pfad&uuml;berquerung<\/li><li>&Uuml;bung - Experimentieren mit der Pfadverfolgung in Copilot<\/li><li>Berechtigungsumgehung durch benutzergesteuerte Schl&uuml;ssel<\/li><li>Fallbeispiel - Fern&uuml;bernahme von Nexx Garagentoren und Alarmanlagen<\/li><li>Labor - Horizontale Genehmigung (Erkundung mit Copilot)<\/li><li>Hochladen von Dateien\n<ul>\n<li>Uneingeschr&auml;nkter Datei-Upload<\/li><li>Bew&auml;hrte Praktiken<\/li><li>&Uuml;bung - Uneingeschr&auml;nkter Datei-Upload (Erkundung mit Copilot)<\/li><\/ul><\/li><\/ul><\/li><li>A02 - Kryptographische Ausf&auml;lle\n<ul>\n<li>Kryptographie f&uuml;r Entwickler<\/li><li>Grundlagen der Kryptographie<\/li><li>Kryptographie in Python<\/li><li>Elementare Algorithmen<\/li><li>Hashing\n<ul>\n<li>Grundlagen des Hashings<\/li><li>Hashing in Python<\/li><li>&Uuml;bung - Hashing in Python (Erkundung mit Copilot)<\/li><\/ul><\/li><li>Erzeugung von Zufallszahlen\n<ul>\n<li>Pseudo-Zufallszahlengeneratoren (PRNGs)<\/li><li>Kryptografisch sichere PRNGs<\/li><li>Schwache PRNGs<\/li><li>Verwendung von Zufallszahlen<\/li><li>&Uuml;bung - Verwendung von Zufallszahlen in Python (Erkundung mit Copilot)<\/li><li>&Uuml;bung - Sichere PRNG-Verwendung in Copilot<\/li><\/ul><\/li><li>Schutz der Vertraulichkeit\n<ul>\n<li>Symmetrische Verschl&uuml;sselung\n<ul>\n<li>Blockchiffren<\/li><li>Betriebsarten<\/li><li>Betriebsarten und IV - bew&auml;hrte Verfahren<\/li><li>Symmetrische Verschl&uuml;sselung in Python<\/li><li>&Uuml;bung - Symmetrische Verschl&uuml;sselung in Python (Erkundung mit Copilot)<\/li><\/ul><\/li><li>Asymmetrische Verschl&uuml;sselung<\/li><li>Kombination von symmetrischen und asymmetrischen Algorithmen<\/li><\/ul><\/li><\/ul><\/li><\/ul><\/li><\/ul><\/li><\/ul><h4>Tag 2<\/h4><h4>Die OWASP Top Ten aus der Sicht von Copilot<\/h4><ul>\n<li>A03 - Injektion\n<ul>\n<li>Injektionsprinzipien<\/li><li>Injektionsangriffe\n<ul>\n<li>SQL-Einschleusung\n<ul>\n<li>Grundlagen der SQL-Injektion<\/li><li>&Uuml;bung - SQL-Injektion<\/li><li>Angriffsmethoden\n<ul>\n<li>Inhaltsbasierte blinde SQL-Injektion<\/li><li>Zeitbasierte blinde SQL-Injektion<\/li><\/ul><\/li><li>Bew&auml;hrte Praktiken zur SQL-Einschleusung<\/li><li>&Uuml;berpr&uuml;fung der Eingaben<\/li><li>Parametrisierte Abfragen<\/li><li>&Uuml;bung - Verwendung vorbereiteter Erkl&auml;rungen<\/li><li>&Uuml;bung - Experimentieren mit SQL-Injection in Copilot<\/li><li>Datenbankverteidigung in der Tiefe<\/li><li>Fallstudie - SQL-Injection gegen US-Flughafensicherheit<\/li><\/ul><\/li><li>Code-Einspritzung\n<ul>\n<li>Code-Injektion &uuml;ber input()<\/li><li>OS-Befehlsinjektion<\/li><li>&Uuml;bung - Befehlsinjektion<\/li><li>Bew&auml;hrte Praktiken zur Injektion von OS-Befehlen<\/li><li>Vermeidung von Befehlseingaben mit den richtigen APIs<\/li><li>&Uuml;bung - Bew&auml;hrte Praktiken der Befehlseingabe<\/li><li>&Uuml;bung - Experimentieren mit der Befehlsinjektion in Copilot<\/li><li>Fallstudie - Shellshock<\/li><li>Labor - Shellshock<\/li><li>Fallstudie - Befehlsinjektion in Ivanti-Sicherheitsanwendungen<\/li><\/ul><\/li><li>HTML-Injektion - Cross-Site-Scripting (XSS)\n<ul>\n<li>Grundlagen des Cross-Site-Scripting<\/li><li>Cross-Site-Scripting-Typen\n<ul>\n<li>Anhaltendes Cross-Site-Scripting<\/li><li>Reflektiertes Cross-Site-Scripting<\/li><li>Client-seitiges (DOM-basiertes) Cross-Site-Scripting<\/li><\/ul><\/li><li>&Uuml;bung - Gespeicherte XSS<\/li><li>Labor - Reflektiertes XSS<\/li><li>Fallstudie - XSS zu RCE in Teltonika-Routern<\/li><li>Bew&auml;hrte Praktiken zum Schutz vor XSS<\/li><li>Schutzprinzipien - Flucht<\/li><li>XSS-Schutz-APIs in Python<\/li><li>XSS-Schutz in Jinja2<\/li><li>Lab - XSS fix \/ gespeichert (Erkundung mit Copilot)<\/li><li>Labor - XSS-Behebung \/ reflektiert (Erkundung mit Copilot)<\/li><li>Fallstudie - XSS-Schwachstellen in DrayTek Vigor-Routern<\/li><\/ul><\/li><\/ul><\/li><li>A04 - Unsicheres Design\n<ul>\n<li>Das STRIDE-Modell der Bedrohungen<\/li><li>Sichere Gestaltungsprinzipien von Saltzer und Schroeder\n<ul>\n<li>Wirtschaftlichkeit des Mechanismus<\/li><li>Ausfallsichere Standardwerte<\/li><li>Vollst&auml;ndige Mediation<\/li><li>Open design<\/li><li>Trennung der Privilegien<\/li><li>Geringstes Privileg<\/li><li>Am wenigsten verbreiteter Mechanismus<\/li><li>Psychologische Akzeptanz<\/li><\/ul><\/li><li>Client-seitige Sicherheit\n<ul>\n<li>Politik der gleichen Herkunft<\/li><li>Einfacher Antrag<\/li><li>Preflight-Anfrage<\/li><li>Ursprungs&uuml;bergreifende Ressourcennutzung (CORS)<\/li><li>Labor - Demo zur Politik des gleichen Herkunftslandes<\/li><li>Rahmen-Sandboxing<\/li><li>Cross-Frame-Scripting-Angriffe (XFS)<\/li><li>Labor - Clickjacking<\/li><li>Clickjacking geht &uuml;ber die Entf&uuml;hrung eines Klicks hinaus<\/li><li>Bew&auml;hrte Praktiken zum Schutz vor Clickjacking<\/li><li>&Uuml;bung - Verwendung von CSP zur Verhinderung von Clickjacking (Erkundung mit Copilot)<\/li><\/ul><\/li><\/ul><\/li><\/ul>\n\n<h4>Tag 3<\/h4>\n\n<h4>Die OWASP Top Ten aus der Sicht von Copilot<\/h4>\n\n<ul>\n<li>A05 - Fehlkonfiguration der Sicherheit\n<ul>\n<li>Grunds&auml;tze der Konfiguration<\/li><li>Server-Fehlkonfiguration<\/li><li>Bew&auml;hrte Verfahren f&uuml;r die Python-Konfiguration<\/li><li>Flask konfigurieren<\/li><li>Cookie-Sicherheit\n<ul>\n<li>Cookie-Attribute<\/li><\/ul><\/li><li>XML-Entit&auml;ten\n<ul>\n<li>DTD und die Entit&auml;ten<\/li><li>Erweiterung der Entit&auml;t<\/li><li>Angriff auf externe Entit&auml;ten (XXE)<\/li><li>Einbeziehung von Dateien mit externen Stellen<\/li><li>Server-Side Request Forgery mit externen Entit&auml;ten<\/li><li>Labor - Angriff einer externen Einheit<\/li><li>Verhinderung von XXE<\/li><li>Labor - Verbot der DTD<\/li><li>Fallstudie - XXE-Schwachstelle in Ivanti-Produkten<\/li><li>Labor - Experimentieren mit XXE in Copilot<\/li><\/ul><\/li><\/ul><\/li><li>A06 - Anf&auml;llige und veraltete Komponenten\n<ul>\n<li>Verwendung anf&auml;lliger Komponenten<\/li><li>Import von nicht vertrauensw&uuml;rdigen Funktionen<\/li><li>B&ouml;sartige Pakete in Python<\/li><li>Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io<\/li><li>Management von Schwachstellen<\/li><li>&Uuml;bung - Auffinden von Schwachstellen in Komponenten von Drittanbietern<\/li><li>Sicherheit von KI-generiertem Code<\/li><li>Praktische Angriffe auf Tools zur Codegenerierung<\/li><li>Abh&auml;ngigkeits-Halluzination durch generative KI<\/li><li>Fallstudie - Eine Geschichte der Schw&auml;chen von GitHub Copilot (bis Mitte 2024)<\/li><\/ul><\/li><li>A07 - Fehler bei der Identifizierung und Authentifizierung\n<ul>\n<li>Authentifizierung\n<ul>\n<li>Grundlagen der Authentifizierung<\/li><li>Multi-Faktor-Authentifizierung (MFA)<\/li><li>Fallstudie - Der InfinityGauntlet-Angriff<\/li><li>Zeitbasierte Einmal-Passw&ouml;rter (TOTP)<\/li><\/ul><\/li><li>Passwortverwaltung\n<ul>\n<li>Verwaltung eingehender Passw&ouml;rter<\/li><li>Speichern von Kontopassw&ouml;rtern<\/li><li>Passwort im Transit<\/li><li>Labor - Reicht das Hashing von Passw&ouml;rtern aus?<\/li><li>W&ouml;rterbuchangriffe und Brute-Forcing<\/li><li>Salzen<\/li><li>Adaptive Hash-Funktionen f&uuml;r die Passwortspeicherung<\/li><li>&Uuml;bung - Verwendung adaptiver Hash-Funktionen in Python<\/li><li>&Uuml;bung - Verwendung adaptiver Hash-Funktionen in Copilot<\/li><li>Passwort-Politik<\/li><li>NIST-Authentifikator-Anforderungen f&uuml;r gespeicherte Geheimnisse<\/li><li>Migration der Passwort-Datenbank<\/li><\/ul><\/li><\/ul><\/li><li>A08 - Fehler in der Software und Datenintegrit&auml;t\n<ul>\n<li>Schutz der Integrit&auml;t\n<ul>\n<li>Nachrichten-Authentifizierungs-Code (MAC)<\/li><li>HMAC-Berechnung in Python<\/li><li>&Uuml;bung - MAC-Berechnung in Python<\/li><\/ul><\/li><li>Digitale Unterschrift\n<ul>\n<li>Digitale Unterschrift in Python<\/li><\/ul><\/li><li>Integrit&auml;t der Subressource\n<ul>\n<li>JavaScript importieren<\/li><li>&Uuml;bung - JavaScript importieren (mit Copilot erkunden)<\/li><li>Fallstudie - Die Datenschutzverletzung bei British Airways<\/li><\/ul><\/li><\/ul><\/li><li>A10 - Server-seitige Anforderungsf&auml;lschung (SSRF)\n<ul>\n<li>Server-seitige Anforderungsf&auml;lschung (SSRF)<\/li><li>Fallbeispiel - SSRF in Ivanti Connect Secure<\/li><\/ul><\/li><li>Einpacken\n<ul>\n<li>Grunds&auml;tze der sicheren Kodierung<\/li><li>Grunds&auml;tze der robusten Programmierung von Matt Bishop<\/li><li>Und was nun?<\/li><li>Quellen zur Softwaresicherheit und weiterf&uuml;hrende Literatur<\/li><li>Python-Ressourcen<\/li><li>Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung<\/li><li>Generative AI - Ressourcen und zus&auml;tzliche Anleitungen<\/li><\/ul><\/li><\/ul><\/li><\/ul>","outline":"<ul>\n<li>Verantwortungsbewusst kodieren mit GenAI<\/li><li>Die OWASP Top Ten aus der Sicht von Copilot<\/li><li>Einpacken<\/li><\/ul>","comments":"<p><em>Dieser Text wurde automatisiert &uuml;bersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte <span class=\"cms-link-marked\"><a class=\"fl-href-prod\" href=\"\/swisscom\/en\/course\/cydrill-crwgaip\"><svg role=\"img\" aria-hidden=\"true\" focusable=\"false\" data-nosnippet class=\"cms-linkmark\"><use xlink:href=\"\/css\/img\/icnset-linkmarks.svg#linkmark\"><\/use><\/svg>hier<\/a><\/span>.<\/em><\/p>","summary":"<p>Generative KI ver&auml;ndert die Softwarebranche. Mit Tools wie GitHub Copilot und Codeium k&ouml;nnen Entwickler ein noch nie dagewesenes Mass an Effizienz erreichen. Dies ist ein aufregender Fortschritt, der aber auch wichtige Bedenken aufwirft und die Beteiligten dazu ermutigt, diese Technologien mit Vorsicht zu geniessen. Den aktuellen KI-Tools mangelt es oft an einem nuancierten Verst&auml;ndnis, das notwendig ist, um subtile, aber kritische Aspekte der Softwareentwicklung anzugehen, insbesondere im Bereich der Sicherheit.<\/p>\n<p>Dieser Kurs bietet einen umfassenden Einblick in den verantwortungsvollen Einsatz von generativer KI in der Programmierung. Die Teilnehmer befassen sich mit Themen der Softwareentwicklung, die am ehesten durch den unvorsichtigen Einsatz von generativer KI beeintr&auml;chtigt werden k&ouml;nnen, darunter Authentifizierung, Autorisierung und Kryptografie. Der Lehrplan umfasst auch eine Analyse der Art und Weise, wie KI-Tools wie Copilot sichere Kodierungspraktiken im Zusammenhang mit den wichtigsten Schwachstellen der OWASP Top Ten, wie z. B. Path Traversal, SQL Injection oder Cross-Site Scripting, handhaben.<\/p>\n<p>Durch praktisches Lernen und Experimentieren erhalten die Teilnehmer ein solides Verst&auml;ndnis sowohl f&uuml;r die St&auml;rken als auch f&uuml;r die Grenzen der KI-gest&uuml;tzten Entwicklung. Dar&uuml;ber hinaus zeigen Fallstudien zu realen Vorf&auml;llen die Folgen von unsicherem Code und verdeutlichen die doppelte Natur der generativen KI als Ressource und potenzielles Risiko.<\/p>\n<p>Am Ende des Kurses werden die Entwickler mit dem Wissen und den F&auml;higkeiten ausgestattet sein, KI-Tools verantwortungsvoll in den Lebenszyklus der Softwareentwicklung zu integrieren und die Effizienz zu steigern, ohne die Sicherheit oder die Produktqualit&auml;t zu beeintr&auml;chtigen.<\/p>","objective_plain":"- Die Grundlagen der verantwortungsvollen KI verstehen\n- Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit\n- Verstehen, wie Kryptographie die Sicherheit unterst\u00fctzt\n- Lernen, wie man kryptografische APIs in Python richtig verwendet\n- Verst\u00e4ndnis von Sicherheitsfragen bei Webanwendungen\n- Detaillierte Analyse der OWASP Top Ten Elemente\n- Die Sicherheit von Webanwendungen im Kontext von Python\n- \u00dcber die niedrig h\u00e4ngenden Fr\u00fcchte hinausgehen\n- Verwaltung von Schwachstellen in Komponenten von Drittanbietern\n- All dies im Kontext von GitHub Copilot","essentials_plain":"Allgemeine Python- und Webentwicklung","audience_plain":"Python-Entwickler, die Copilot oder andere GenAI-Tools verwenden","contents_plain":"Tag 1\n\nVerantwortungsbewusst kodieren mit GenAI\n\n\n- Was ist verantwortungsvolle KI?\n- Was ist Sicherheit?\n- Bedrohung und Risiko\n- Arten von Cybersicherheitsbedrohungen - die CIA-Triade\n- Folgen von unsicherer Software\n- Sicherheit und verantwortungsvolle KI in der Softwareentwicklung\n- GenAI-Werkzeuge f\u00fcr die Kodierung: Copilot, Codeium und andere\n- Die OWASP Top Ten aus der Sicht von Copilot\n\n- Die OWASP Top Ten 2021\n\n- A01 - Defekte Zugangskontrolle\n\n- Grundlagen der Zugangskontrolle\n- Keine Beschr\u00e4nkung des URL-Zugriffs\n- Verwirrter Abgeordneter\n- Unsichere direkte Objektreferenz (IDOR)\n- Pfad\u00fcberquerung\n- \u00dcbung - Unsichere direkte Objektreferenz\n- Bew\u00e4hrte Verfahren zur Pfad\u00fcberquerung\n- \u00dcbung - Experimentieren mit der Pfadverfolgung in Copilot\n- Berechtigungsumgehung durch benutzergesteuerte Schl\u00fcssel\n- Fallbeispiel - Fern\u00fcbernahme von Nexx Garagentoren und Alarmanlagen\n- Labor - Horizontale Genehmigung (Erkundung mit Copilot)\n- Hochladen von Dateien\n\n- Uneingeschr\u00e4nkter Datei-Upload\n- Bew\u00e4hrte Praktiken\n- \u00dcbung - Uneingeschr\u00e4nkter Datei-Upload (Erkundung mit Copilot)\n- A02 - Kryptographische Ausf\u00e4lle\n\n- Kryptographie f\u00fcr Entwickler\n- Grundlagen der Kryptographie\n- Kryptographie in Python\n- Elementare Algorithmen\n- Hashing\n\n- Grundlagen des Hashings\n- Hashing in Python\n- \u00dcbung - Hashing in Python (Erkundung mit Copilot)\n- Erzeugung von Zufallszahlen\n\n- Pseudo-Zufallszahlengeneratoren (PRNGs)\n- Kryptografisch sichere PRNGs\n- Schwache PRNGs\n- Verwendung von Zufallszahlen\n- \u00dcbung - Verwendung von Zufallszahlen in Python (Erkundung mit Copilot)\n- \u00dcbung - Sichere PRNG-Verwendung in Copilot\n- Schutz der Vertraulichkeit\n\n- Symmetrische Verschl\u00fcsselung\n\n- Blockchiffren\n- Betriebsarten\n- Betriebsarten und IV - bew\u00e4hrte Verfahren\n- Symmetrische Verschl\u00fcsselung in Python\n- \u00dcbung - Symmetrische Verschl\u00fcsselung in Python (Erkundung mit Copilot)\n- Asymmetrische Verschl\u00fcsselung\n- Kombination von symmetrischen und asymmetrischen Algorithmen\nTag 2\n\nDie OWASP Top Ten aus der Sicht von Copilot\n\n\n- A03 - Injektion\n\n- Injektionsprinzipien\n- Injektionsangriffe\n\n- SQL-Einschleusung\n\n- Grundlagen der SQL-Injektion\n- \u00dcbung - SQL-Injektion\n- Angriffsmethoden\n\n- Inhaltsbasierte blinde SQL-Injektion\n- Zeitbasierte blinde SQL-Injektion\n- Bew\u00e4hrte Praktiken zur SQL-Einschleusung\n- \u00dcberpr\u00fcfung der Eingaben\n- Parametrisierte Abfragen\n- \u00dcbung - Verwendung vorbereiteter Erkl\u00e4rungen\n- \u00dcbung - Experimentieren mit SQL-Injection in Copilot\n- Datenbankverteidigung in der Tiefe\n- Fallstudie - SQL-Injection gegen US-Flughafensicherheit\n- Code-Einspritzung\n\n- Code-Injektion \u00fcber input()\n- OS-Befehlsinjektion\n- \u00dcbung - Befehlsinjektion\n- Bew\u00e4hrte Praktiken zur Injektion von OS-Befehlen\n- Vermeidung von Befehlseingaben mit den richtigen APIs\n- \u00dcbung - Bew\u00e4hrte Praktiken der Befehlseingabe\n- \u00dcbung - Experimentieren mit der Befehlsinjektion in Copilot\n- Fallstudie - Shellshock\n- Labor - Shellshock\n- Fallstudie - Befehlsinjektion in Ivanti-Sicherheitsanwendungen\n- HTML-Injektion - Cross-Site-Scripting (XSS)\n\n- Grundlagen des Cross-Site-Scripting\n- Cross-Site-Scripting-Typen\n\n- Anhaltendes Cross-Site-Scripting\n- Reflektiertes Cross-Site-Scripting\n- Client-seitiges (DOM-basiertes) Cross-Site-Scripting\n- \u00dcbung - Gespeicherte XSS\n- Labor - Reflektiertes XSS\n- Fallstudie - XSS zu RCE in Teltonika-Routern\n- Bew\u00e4hrte Praktiken zum Schutz vor XSS\n- Schutzprinzipien - Flucht\n- XSS-Schutz-APIs in Python\n- XSS-Schutz in Jinja2\n- Lab - XSS fix \/ gespeichert (Erkundung mit Copilot)\n- Labor - XSS-Behebung \/ reflektiert (Erkundung mit Copilot)\n- Fallstudie - XSS-Schwachstellen in DrayTek Vigor-Routern\n- A04 - Unsicheres Design\n\n- Das STRIDE-Modell der Bedrohungen\n- Sichere Gestaltungsprinzipien von Saltzer und Schroeder\n\n- Wirtschaftlichkeit des Mechanismus\n- Ausfallsichere Standardwerte\n- Vollst\u00e4ndige Mediation\n- Open design\n- Trennung der Privilegien\n- Geringstes Privileg\n- Am wenigsten verbreiteter Mechanismus\n- Psychologische Akzeptanz\n- Client-seitige Sicherheit\n\n- Politik der gleichen Herkunft\n- Einfacher Antrag\n- Preflight-Anfrage\n- Ursprungs\u00fcbergreifende Ressourcennutzung (CORS)\n- Labor - Demo zur Politik des gleichen Herkunftslandes\n- Rahmen-Sandboxing\n- Cross-Frame-Scripting-Angriffe (XFS)\n- Labor - Clickjacking\n- Clickjacking geht \u00fcber die Entf\u00fchrung eines Klicks hinaus\n- Bew\u00e4hrte Praktiken zum Schutz vor Clickjacking\n- \u00dcbung - Verwendung von CSP zur Verhinderung von Clickjacking (Erkundung mit Copilot)\n\n\nTag 3\n\n\n\nDie OWASP Top Ten aus der Sicht von Copilot\n\n\n\n\n- A05 - Fehlkonfiguration der Sicherheit\n\n- Grunds\u00e4tze der Konfiguration\n- Server-Fehlkonfiguration\n- Bew\u00e4hrte Verfahren f\u00fcr die Python-Konfiguration\n- Flask konfigurieren\n- Cookie-Sicherheit\n\n- Cookie-Attribute\n- XML-Entit\u00e4ten\n\n- DTD und die Entit\u00e4ten\n- Erweiterung der Entit\u00e4t\n- Angriff auf externe Entit\u00e4ten (XXE)\n- Einbeziehung von Dateien mit externen Stellen\n- Server-Side Request Forgery mit externen Entit\u00e4ten\n- Labor - Angriff einer externen Einheit\n- Verhinderung von XXE\n- Labor - Verbot der DTD\n- Fallstudie - XXE-Schwachstelle in Ivanti-Produkten\n- Labor - Experimentieren mit XXE in Copilot\n- A06 - Anf\u00e4llige und veraltete Komponenten\n\n- Verwendung anf\u00e4lliger Komponenten\n- Import von nicht vertrauensw\u00fcrdigen Funktionen\n- B\u00f6sartige Pakete in Python\n- Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io\n- Management von Schwachstellen\n- \u00dcbung - Auffinden von Schwachstellen in Komponenten von Drittanbietern\n- Sicherheit von KI-generiertem Code\n- Praktische Angriffe auf Tools zur Codegenerierung\n- Abh\u00e4ngigkeits-Halluzination durch generative KI\n- Fallstudie - Eine Geschichte der Schw\u00e4chen von GitHub Copilot (bis Mitte 2024)\n- A07 - Fehler bei der Identifizierung und Authentifizierung\n\n- Authentifizierung\n\n- Grundlagen der Authentifizierung\n- Multi-Faktor-Authentifizierung (MFA)\n- Fallstudie - Der InfinityGauntlet-Angriff\n- Zeitbasierte Einmal-Passw\u00f6rter (TOTP)\n- Passwortverwaltung\n\n- Verwaltung eingehender Passw\u00f6rter\n- Speichern von Kontopassw\u00f6rtern\n- Passwort im Transit\n- Labor - Reicht das Hashing von Passw\u00f6rtern aus?\n- W\u00f6rterbuchangriffe und Brute-Forcing\n- Salzen\n- Adaptive Hash-Funktionen f\u00fcr die Passwortspeicherung\n- \u00dcbung - Verwendung adaptiver Hash-Funktionen in Python\n- \u00dcbung - Verwendung adaptiver Hash-Funktionen in Copilot\n- Passwort-Politik\n- NIST-Authentifikator-Anforderungen f\u00fcr gespeicherte Geheimnisse\n- Migration der Passwort-Datenbank\n- A08 - Fehler in der Software und Datenintegrit\u00e4t\n\n- Schutz der Integrit\u00e4t\n\n- Nachrichten-Authentifizierungs-Code (MAC)\n- HMAC-Berechnung in Python\n- \u00dcbung - MAC-Berechnung in Python\n- Digitale Unterschrift\n\n- Digitale Unterschrift in Python\n- Integrit\u00e4t der Subressource\n\n- JavaScript importieren\n- \u00dcbung - JavaScript importieren (mit Copilot erkunden)\n- Fallstudie - Die Datenschutzverletzung bei British Airways\n- A10 - Server-seitige Anforderungsf\u00e4lschung (SSRF)\n\n- Server-seitige Anforderungsf\u00e4lschung (SSRF)\n- Fallbeispiel - SSRF in Ivanti Connect Secure\n- Einpacken\n\n- Grunds\u00e4tze der sicheren Kodierung\n- Grunds\u00e4tze der robusten Programmierung von Matt Bishop\n- Und was nun?\n- Quellen zur Softwaresicherheit und weiterf\u00fchrende Literatur\n- Python-Ressourcen\n- Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung\n- Generative AI - Ressourcen und zus\u00e4tzliche Anleitungen","outline_plain":"- Verantwortungsbewusst kodieren mit GenAI\n- Die OWASP Top Ten aus der Sicht von Copilot\n- Einpacken","comments_plain":"Dieser Text wurde automatisiert \u00fcbersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte hier.","summary_plain":"Generative KI ver\u00e4ndert die Softwarebranche. Mit Tools wie GitHub Copilot und Codeium k\u00f6nnen Entwickler ein noch nie dagewesenes Mass an Effizienz erreichen. Dies ist ein aufregender Fortschritt, der aber auch wichtige Bedenken aufwirft und die Beteiligten dazu ermutigt, diese Technologien mit Vorsicht zu geniessen. Den aktuellen KI-Tools mangelt es oft an einem nuancierten Verst\u00e4ndnis, das notwendig ist, um subtile, aber kritische Aspekte der Softwareentwicklung anzugehen, insbesondere im Bereich der Sicherheit.\n\nDieser Kurs bietet einen umfassenden Einblick in den verantwortungsvollen Einsatz von generativer KI in der Programmierung. Die Teilnehmer befassen sich mit Themen der Softwareentwicklung, die am ehesten durch den unvorsichtigen Einsatz von generativer KI beeintr\u00e4chtigt werden k\u00f6nnen, darunter Authentifizierung, Autorisierung und Kryptografie. Der Lehrplan umfasst auch eine Analyse der Art und Weise, wie KI-Tools wie Copilot sichere Kodierungspraktiken im Zusammenhang mit den wichtigsten Schwachstellen der OWASP Top Ten, wie z. B. Path Traversal, SQL Injection oder Cross-Site Scripting, handhaben.\n\nDurch praktisches Lernen und Experimentieren erhalten die Teilnehmer ein solides Verst\u00e4ndnis sowohl f\u00fcr die St\u00e4rken als auch f\u00fcr die Grenzen der KI-gest\u00fctzten Entwicklung. Dar\u00fcber hinaus zeigen Fallstudien zu realen Vorf\u00e4llen die Folgen von unsicherem Code und verdeutlichen die doppelte Natur der generativen KI als Ressource und potenzielles Risiko.\n\nAm Ende des Kurses werden die Entwickler mit dem Wissen und den F\u00e4higkeiten ausgestattet sein, KI-Tools verantwortungsvoll in den Lebenszyklus der Softwareentwicklung zu integrieren und die Effizienz zu steigern, ohne die Sicherheit oder die Produktqualit\u00e4t zu beeintr\u00e4chtigen.","version":"1.0","duration":{"unit":"d","value":3,"formatted":"3 Tage"},"pricelist":{"List Price":{"DE":{"country":"DE","currency":"EUR","taxrate":19,"price":2250},"SI":{"country":"SI","currency":"EUR","taxrate":20,"price":2250},"AT":{"country":"AT","currency":"EUR","taxrate":20,"price":2250},"SE":{"country":"SE","currency":"EUR","taxrate":25,"price":2250},"CH":{"country":"CH","currency":"CHF","taxrate":8.1,"price":2250}}},"lastchanged":"2025-10-29T08:40:00+01:00","parenturl":"https:\/\/portal.flane.ch\/swisscom\/json-courses","nexturl_course_schedule":"https:\/\/portal.flane.ch\/swisscom\/json-course-schedule\/36419","source_lang":"de","source":"https:\/\/portal.flane.ch\/swisscom\/json-course\/cydrill-crwgaip"}}