OWASP - User contributions [en]

File:20171113 Chapter Meeting German OWASP Chapter.pdf

2018-04-11T11:27:10Z

Michael Schaefer: Michael Schaefer uploaded a new version of File:20171113 Chapter Meeting German OWASP Chapter.pdf

Protkoll / Meeting Minutes Chapter Meeting German OWAP Chapter 2017-11-13 in Essen

Germany/Chapter Meetings

2018-04-11T08:33:42Z

Michael Schaefer: Added meeting minutes of chapter meeitng 2017-11-13

__NOTOC__

[[Image:owasp_germany_logo.png|right]]

{| style="background-color:inherit;border-bottom:1px solid black" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
In Deutschland haben wir als organisatorisches Dach ein Chapter, im Rahmen dessen alle Aktivitäten wie Konferenzen etc. stattfinden. Die Stammtische sind keine eigenständigen Chapter.

Anders als die meisten OWASP Chapter auf der Welt, haben wir daher bislang Chapter Meetings für Treffen eher organisatorischer Natur gehabt, bei denen es am Rande auch Vorträge gab. Die Chapter-Meetings im globalen Sinne waren/sind unsere jährliche Konferenzen (German OWASP Day).

=== Chapter Meetings ===
Hier sind Informationen zu den Treffen des German Chapter -- Chapter Meeting -- zu finden. Die Agenda, Einladung sowie die erarbeiteten Ergebnisse werden hier veröffentlicht.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |

=== Chapter Meetings ===
This page contains everything you need to know about Chapter Meetings of the OWASP German Chapter. Please note that in Germany we have the so-called "Stammtische" in the metropolitan areas which serve the purpose of other chapters world-wide. '''The''' -- we only have one -- German Chapter is our roof organisation which helps us to promote OWASP and it's goals within Germany.

Please note, most information is in German only.
|}

== OWASP Germany Chapter Meeting am 11.04.2018 in Frankfurt ==

Das nächste Chapter Meeting wird [http://lists.owasp.org/pipermail/owasp-germany/2018-February/001064.html am 11. April in Frankfurt stattfinden]. Bitte meldet euch bei [mailto:tobias.glemser@owasp.org Tobias Glemser], falls ihr teilnehmen wollt. Eine OWASP Mitgliedschaft ist '''keine''' Voraussetzung zur Teilnahme! Lediglich für die Abstimmungen ist eine Mitgliedschaft notwendig.
* Uhrzeit: Mittwoch, den 11.04.2018, 13-18h
* Ort: [https://www.saalbau.com/raumangebot/detail/?SAALBAU-Gutleut&objekt=78 SAALBAU Gutleut], FFM

'''Agenda:'''

* Begrüßung und kurze namentliche Vorstellung (Tobias, 15 Minuten)
* Aktuelles zu OWASP Global, AppSec Verschiebung (Tobias, 15 Minuten)
* Übersicht Finanzen (Ingo, 15 Minuten)
* OWASP Summit (Björn, 15 Minuten)
* OWASP TOP 10 2017 - Stand der Dinge (15 Minuten)
*GOD 2018 - Stand der Dinge (Christian Dreesen, 15 Minuten)
* Konkretes Vorgehen Chapter-Sponsoring (Alexios, 15 Minuten)
*10 Jahre OWASP Germany (?) (Alexios, 10 Minuten)
*Cheat Sheet Workshop mit Jim im Juli (??, 15 Minuten)
* Ort nächstes Chapter-Meeting.
== OWASP Germany Chapter Meeting am 13.11.2017 in Essen ==
* Uhrzeit: Montag, den 13.11.2017, 14-18h, [https://www.owasp.org/images/6/62/20171113_Chapter_Meeting_German_OWASP_Chapter.pdf Protokoll]
* Ort: Unperfekthaus in Essen ( <nowiki>http://www.unperfekthaus.de/anfahrt/</nowiki>)

'''Agenda mit Minutes:'''

* Begrüßung und kurze namentliche Vorstellung (Tobias, 15 Minuten)
* Stand der Finanzen, German Chapter Budget at OWASP. (Ingo, 60 Minuten)
** Support Projekte des German Chapter: benötigte Ressourcen / Budget
*** OWASP on the move
*** Cheat Sheet Workshop 2018
*** OWASP TOP 10 2017 - DE Workshop
*** Stammtische (assets)
*** weitere
** Support internationale Projekte
*** OWASP Summit London 2018
*** weitere
* OWASP TOP 10 2017 - deutsche Übersetzung: Team und Workshop (15 Minuten)
** Orga-Hut?
** Wer macht mit?
* Stand OWASP on the move Germany (Alexios, Torsten, Bastian, 15 Minuten))
* Öffentlichkeitsarbeit: bessere Sichtbarkeit für das German Chapter (30 Minuten)
** Einstiegsseite owasp.de (Stand der Dinge von Torsten und Henrik?) ([[User:Hwillert/sandbox/Germany|RC]])
** Optionen (selbstgestrickt, Agentur, abwarten, ...)
** Website GOD :-))
* aus dem letzten Meeting: Henrik & Torsten: Kümmern sich um ein Konzept für freie (oder kostengünstige) Trainings am Tag nach dem GOD 2017 in Essen: Stand? (10 Minuten)
* GODays 2018ff: Optimierungsmöglichkeiten Orga (30 Minuten)
** Zusammenarbeit mit Foundation
** Öffentlichkeitsarbeit
** Standardisierungen in Arbeitsabläufen (cheat sheet 2.0)
** Preisgestaltung (Henrik) [https://docs.google.com/a/owasp.org/spreadsheets/d/1bJWgYCvaUDfuI_54fhnobEOG-ylosZcQETwCd_KiXjg/edit?usp=sharing]
** Wer macht Orga?
* Umbennung der Stammtische? (Henrik, 15 Minuten)
* Stand Chapter-Sponsoring (Michael in Vertretung von Alexios, 10 Minuten)
*Wer möchte im neuen Chapter mitwirken? (15 Minuten)
** Personen
** Wahl eines neuen Chapter Lead (aktuell Tobias)
** Kassenwart (aktuell Ingo)
** Sponsorliason (aktuell Alexios)
* Ort nächstes Chapter-Meeting
==OWASP Germany Chapter Meeting am 31.03.2017 in München==
* Uhrzeit: Montag, den 28.11.2016, 11-17h
* Ort: "Stockwerk" Oppelner Str. 5 in 82194 Gröbenzell bei München

'''Agenda mit Minutes:'''

* Begrüßung und kurze namentliche Vorstellung (Tobias)
* Stand der Finanzen, German Chapter Budget at OWASP. (Ingo)
* Chapter Sponsoring (Alexios)
** Tobias berichtet von Alexios’ (abwesend) Vorschlag, das Chapter Sponsoring einzustellen. Alexios wird gebeten ein Vorschlagspapier mit Pros und Cons und Alternativen zu erstellen. Dann Beschluß durch Board-Telko
* Info Barter Deal mit it-sa (Tobias)
** Abstimmung mit OWASP Global ist erfolgt.
* 2-Tagesworkshop zu Cheat Sheet (Boris, Jan, Hartwig)
** Boris (lead)+Jan+Hartwig: machen einen Vorschlag: dann in die Boardrunde, um Feedback einzusammeln. Achim auf cc halten, damit er auf dem Summit informiert ist.
* Stand der Dinge Cheat Sheet zur Orga eines German OWASP Days (Ingo)
** Ingo hat ein Excel-Sheet dazu erstellt mit ca 50 Punkten.
** Kann für den den GOD 2017 verwendet werden und soll dann auch überarbeitet werden.
** Ingo schickt einen Link auf das Google Drive Document
* GOD 2017 (Christian)
** Wir planen auf max 200 Teilnehmer (inkl. Staff, Speaker,...)
** Christoph stellt Informationen zu Lokationen und Terminen zusammen.
** Entscheidungs-telko im April (Termin, Lokation)
** Anerkunng als Bildungsurlaub möglich?
* Stand der Dinge owasp.de (Tobias)
** Owasp.de bei Tobias “privat” (whois, DNS), Kai nicht mehr Owner
** Owasp.de als redirect betreiben -> Henrik
* Orga-Tools Stammtische wie Meetup (jeder, der dazu beitragen kann)
* OWASP on the move Germany (Alexios, Torsten, Bastian)
** Bastian: zwei Anfragen, aber keiner wollte am Ende Geld.
** Stammtische wurden angefragt, aber kein Feedback
** Alexios verläßt die Runde der “OWASP on the move Germany” Organisatoren
** FAQ auf der Stammtischseite für “neuer Stammtisch” und “Wie nutze ich OontmG” -> Stammtisch CheatSheet
** Stammtische sollen eine Liste auf owasp.org mit potentiellen Vortragenden pflegen. Achim legt die Seite an (done! https://www.owasp.org/index.php/Germany/Speaker ).
* OWASP Germany Social Media und Webseite-Inhalte insb. Startseite (Tobias, Torsten)
** Tobias: Die German Chapter Seite ist nicht “freundlich für Einsteiger”.
** Torstens Vorschlag: Einstiegsseite soll zielgruppenspezifische Landingpage bieten (Informationssuchende, Stammtischeinteressierte, jemand der beitragen möchte,....)
** Torsten und Henrik machen einen Vorschlag
** Twitteraccount owasp.de liegt derzeit bei Dirk und Boris
* Anfrage Mithilfe bei Orga "Large OWASP AppSec Trainings" der Foundation (Achim, Tobias)
** Torsten berichtet von Erfahrungen vom Münchner Stammtisch.
** Austausch zwischen den Stammtischen ist gewünscht, soll aber nicht formalisiert werden (keine Mailingliste)
** Torsten schickt ein Template für eine Umfrage zu Stammtischen an.
* Orga-Tools Stammtische wie Meetup, Mailingliste (auch Board)
** Mails an owasp.de sollen in Zukunft bouncen (Tobias, done)
** Für Board soll zukünftig die board-germany Liste auf mailman genutzt werden.
** Liste eingerichtet, hidden Liste, Member sind informiert; Admin z.Zt. Achim und Bastian
** Meetup: der Stammtisch Karlsruhe nutzt Meetup mit dem OWASP.org Beta Programm.
** Tobias erfragt bei Kate, ob Meetup von owasp.org zur Verfügung gestellt wird (Anfrage gestellt)
** Falls meetup nicht weiter unterstützt ist: Xing hatte bereits einen kostenfreien Pro-Account angeboten.
* Wie kann das German Chapter beim Beantragen und Durchführen von OWASP-Projekten unterstützten?
** Konkreter Painpoint: Review-Prozeß für Juice-Shop (oder allgemein für Projekte) hängt. Bei weiteren konkreten Problemen: Mail an Tobias. Tobias eskaliert an OWASP global.
** Weiterer Painpoint: SecurityRAT. Henrik bittet Daniel, mit Tobias Kontakt aufzunehmen.
* Anfrage Mithilfe bei Orga "Large OWASP AppSec Trainings" der Foundation (Achim, Tobias)
** Generell bestehen Kontakte zu Universitäten.
** Tobias erfragt Rahmendaten: Zielpublikum, Dauer, Sponsored, ...? (Anfrage läuft)
* Summit:
** Achim berichtet über den kommenden Summit im Juni in der Nähe von London.
** Abstimmung: das Chapter sponsored die Entsendung von Achim und Björn zum Summit. Wenn ihre ** Kosten vom “Editors Fund” übernommen werden, dann spenden wir 3.600 EUR vom Chapter Budget an den Summit. Falls Ingo wg. Finanzen teilnimmt, dann werden seine Kosten von dieser Summe gedeckt (Rest Spende). Einstimmig bei zwei Enthaltungen.
* Sonstiges
** Henrik & Torsten: Kümmern sich um ein Konzept für freie (oder kostengünstige) Trainings am Tag nach dem GOD 2017 in Essen
** Martin greift den “German OWASP Summer of Code” wieder auf.
Nächstes Chaptermeeting am Vortag des GOD 2017.
** Ingo: die Konferenzwebseite für den GOD muss professioneller ausschauen. Björn schaut sich an, ob man die appsec.eu Seite auf github “kopieren” kann.
** Torsten fragt, ob das Chapter eine Leinwand (80 EUR) finanziert. Board stimmt zu (einstimmig bei einer Enthaltung.. Ingo pflegt eine “Assetliste”. Seite angelegt: https://www.owasp.org/index.php/Germany/Assets

==OWASP Germany Chapter Meeting am 28.11.2016 in Darmstadt==
Am Vortag des German OWASP Day 2016 fand ein Chapter-Meeting statt. [https://www.owasp.org/images/d/d2/Protokoll_OWASP_Chapter-Meeting_2016-11-26.pdf Protokoll]

* Uhrzeit: Montag, den 28.11.2016, 15-18h
* Ort: Seminarraum des CAST e.V., Rheinstraße 75, 64295 Darmstadt

'''Draft Agenda:'''

* Begrüßung und kurze namentliche Vorstellung (~10min)

* Finanzen (~60min)
** Ingo: Finanzübersicht und Status des Chapters
** Dirk: Wofür wollen wir Geld ausgeben? Handlungszwang durch Foundation 60min (http://lists.owasp.org/pipermail/owasp-leaders/2016-November/017448.html)
** Dirk: Finanzübersicht erarbeiten/abstimmen für 2017 (siehe Sheet)

* Wer möchte im neuen Chapter mitwirken? (~45min)
** Projekte (siehe Reiter 2 im Sheet)
*** Vorstellen und Hand heben
**** German Summer of Code (Martin/Bastian)
**** Studentensponsoring zum GOD
**** Laison/Fadenhalter für Außenauftritte/fremde Konferenzen (Boris' Bemerkung, 1.11.)
**** Achim: Wiki: eigenes in DE? Oder bleibt's beim Foundation-Wiki?
** Personen
** Wahl eines neuen Chapter Lead
** "Kassenwart"
** Sponsorliason

* Pause 10 min (ab Minute 115)

* Boris: Retrospektive des GOD 2015 (Finanzen, Besucher): ~10 Min

* Ingo: Kurze Zahlen zum GOD 2016 (Finanzen, Besucher) ~5 Min

* GOD 2017 (15min)
** Gibt's jemanden, der 2017 die nationale Konferenz organisieren will?
** lessons learnt 2016/5
*** Programm
*** Generell

* IT Ressourcen des German OWASP Chapters (10min)
** owasp.de: Domain, HTTP, SMTP
** vServer bei Strato: was ist drauf. Brauchen wir's? Wer macht was?
** Zertifikat

* Logo, Neuer Sponsoren-Vertrag (10min)

* Restpunkte, sollten wir noch Zeit haben
** ..

==OWASP Germany Chapter Meeting am 13.04.2015 in Frankfurt==
Das OWASP Germany Chapter Meeting fand am Montag, den [https://lists.owasp.org/pipermail/owasp-germany/2015-March/000758.html 14.03.2014 um 13.00 Uhr in Frankfurt] statt. Die Agenda, Informationen und Beschlüsse sind dem [https://www.owasp.org/images/b/b9/Protokoll_OWASP_Chapter-Meeting_2015-04-13.reformatiert.pdf Protokoll] zu entnehmen.

==OWASP Germany Chapter Meeting am 14.03.2014 in Frankfurt==
Das OWASP Germany Chapter Meeting fand Freitag, 14.03.2014 um 13.30 Uhr in Frankfurt statt.

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
Ort: Gewerkschaftshaus Willi-Richter-Saal Wilhelm-Leuschner-Straße 69-77 60329 Frankfurt

Hiermit laden wir Euch nochmals herzlich zum Chapter Meeting des OWASP German Chapters ein.

Wer sich aktiv in die Gestaltung des Chapters einbringen möchte, ist hier genau richtig. Die Chapter-Meetings richten sich an all diejenigen, die aktiv am Chapter geschehen teilhaben möchten. Wir stellen die Weichen, um OWASP in Deutschland noch präsenter zu machen und freuen uns auf Deinen Beitrag! OWASP lebt von der Community, von der aktiven Beteiligung.
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
==== Invitation ====

|-
| style="vertical-align:top; padding-right:0.5em;" |
==== Agenda ====
* 13.30h Tobias Glemser, OWASP German Chapter Lead: Warme Willkommensworte und Rückblick auf Chapter-Aktivitäten 2013 (15 min)
* 13:45h "You are known by the company you keep: Introducing a secure software vendor exchange program" Chris Wysopal, CTO, Veracode (15 min)
* 14.00h "Password Storage: Adobe schlägt Forbes und OWASP" Arnim Rupp, LH Systems (15min)
* 14:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec Research Conference Chair: Rückblick OWASP AppSec Research 2013 und Ausblick OWASP Day 2014 (45 min)
* 15:00h Pause (15 min)
* 15:15h "25 Million Flows Later - Large-scale Detection of DOM-based XSS", Martin Johns SAP AG (45 min)
* 16:00h Tobias Glemser, OWASP German Chapter Lead:Verwendung der zur Verfügung stehenden Geldmittel im Chapter (45 min)
* 16:45h Tobias Glemser, OWASP German Chapter Lead: Chapter Board Wahl (wie 2013 entschieden alle Posten) (15 min)
* 17.00h offene Runde: OWASP Germany im kommenden Jahr (30 min)
* Gegen 17.30 Uhr Ende und wer mag im Anschluss noch einen Absacker im Ristorante Vitavera

[https://reg.owasp.de Meldet Euch bitte hier an].

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
* [[Media:OWASP_Chapter_Meeting_2014-03-14.pdf‎|→ Vortrag]] Tobias Glemser, OWASP German Chapter Lead: Warme Willkommensworte und Rückblick auf Chapter-Aktivitäten 2013
* Vortrag "You are known by the company you keep: Introducing a secure software vendor exchange program" Chris Wysopal, CTO, Veracode
* [[Media:Password_Storage.pdf‎|→ Vortrag]] "Password Storage: Adobe schlägt Forbes und OWASP" Arnim Rupp, LH Systems
* 14:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec Research Conference Chair: Rückblick OWASP AppSec Research 2013 und Ausblick OWASP Day 2014 Es wurden grundsätzliche Diskussionen geführt.
** Nach dem Rückblick über die äußerst gelungene AppSec in Hamburg wurden grundsätzliche Diskussionen geführt, wie wir 2014 unsere Konferenz ausrichten.
** ca November 2014 (Kollision mit BeNeLux, it-sa etc. vermeiden)
** CfP müsste bis Mai dann raus . Bis dahin muss Stadt und Ort gefixt sein
** Format eher wieder 1 Tag, 2 Tracks
** Freier Eintritt, komplette Finanzierung durch Sponsoren wird defavorisiert, da befürchtet wird, dass Sponsoren das schwer zu verkaufen ist.
** Problem des Billings/Rechnungsstellung. Viel Aufwand derzeit => Factoring Firma finden
** Wo: Hotel oder Uni?
*** Uni: keine sinnvollen Vorschläge beim Chapter Meeting
*** Hotels: Dresden, Hamburg, ...
** Ort ist relativ egal, Kriterien:
*** ICE-Bahnhof
*** Etwas Attraktivität kann nicht schaden
*** Etablierter Stammtisch dort wäre von Vorteil
*** idealerweise jemand mit lokalen Kenntnissen vor Ort
** Wer: Wir alle auf vielen Schultern oder ein Dienstleister
*** Auch in letztem Fall bleibt Arbeit bei uns hängen.
*** Dirk hat den Orga-Hut auf. Tobias Sponsoren-Hut, Martin PK-Hut.
** Ausrichtung der Konferenz:
*** Lassen wie es ist
*** Mehr an die Entwickler ran
*** Mehr an die Entscheider ran
*** Mehr an die Studenten ran
*** Mehr auch an Hobbyleute ran
*** => offen
**Für 2015: Beschluss Nähe zu Karlsruhe Entwicklertagen zu finden. Ohne Gegenstimme angenommen.

* Torsten Gigler stellte [https://www.owasp.org/index.php/Category:OWASP_Top_10_fuer_Entwickler Top10 für Entwickler] vor
* Anfrage aus Schottland wegen Sponsoring der Unkosten eines Vortrags von Mario Heidereich. Der Chapterlead wurde entsprechend auf OWASP on the Move verwiesen. Falls das nicht klappt, sponsort das deutsche Chapter die Reise.
* Auftrag für Konferenzen an Tobias Glemser Bücher und Infomaterial von OWASP zu kaufen, um es kostenfrei verteilen zu können.
* [[Media:OWASP domxss.pdf|→ Vortrag]] "25 Million Flows Later - Large-scale Detection of DOM-based XSS", Martin Johns SAP AG (45 min)
* Da die Diskussion um den German OWASP Day das Zeitkontingent gesprent hat, wurden die folgenden beiden Agendapunkte auf das Chapter Meeting 02/2014 geschoben.
** OWASP German Chapter Lead:Verwendung der zur Verfügung stehenden Geldmittel im Chapter (45 min)
** OWASP German Chapter Lead: Chapter Board Wahl (wie 2013 entschieden alle Posten) (15 min)
* Mit leckerem Essen im Ristorante Vitavera beendeten wir das Chapter Meeting.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
(see German text on left)
|}

==OWASP Germany Chapter Meeting am 17.05.2013 in Frankfurt==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
Das OWASP Germany Chapter Meeting fand am 17.05.2013 um 14 Uhr in Frankfurt statt.

Ort: Saalbau Gallus, Frankenallee 111, 60326 Frankfurt am Main
[[http://maps.google.de/maps?q=Frankenallee+111,+60326+Frankfurt+am+Main&hl=de&sll=50.104389,8.642389&sspn=0.002883,0.010375&vpsrc=0 Karte]] (Wenige Meter von der S-Bahnstation Galluswarte entfernt, ein Halt von Frankfurt Hbf)
----
==== Einladung ====
Hiermit laden wir Euch nochmals herzlich zum Chapter Meeting des OWASP German Chapters ein.

Wer sich aktiv in die Gestaltung des Chapters einbringen möchte, ist hier genau richtig. Die Chapter-Meetings richten sich an all diejenigen, die aktiv am Chapter geschehen teilhaben möchten. Wir stellen die Weichen, um OWASP in Deutschland noch präsenter zu machen und freuen uns auf Deinen Beitrag! OWASP lebt von der Community, von der aktiven Beteiligung.

[https://reg.owasp.de Meldet Euch bitte hier an]. Bitte!

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
|-
| style="vertical-align:top;" |

==== Agenda ====

* 14.00h Tobias Glemser, OWASP German Chapter Lead (30 min): Warme Willkommensworte und Rückblick auf Chapter-Aktivitäten 2012
* 14:30h Laurent Levi von Checkmarx (45 min): DevOps and Security: It's Happening. Right Now.
* 15:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec EU Research Conference Chair (30 min): Rückblick OWASP Day 2012 und Ausblick AppSec EU Research 2013
* 15:45h Pause (15 min)
* 16.00h Jim Manico, OWASP Board Member (45 min): Top Ten Web Defenses
* 16.45h Torsten Gigler, OWASP German Chapter (15 min): [https://www.owasp.org/index.php/OWASP_Top_10_Fuer_Entwickler_Project OWASP Top 10 fuer Entwickler]
* 17.00h Tobias Glemser, OWASP German Chapter Lead (15 min): Chapter Board Wahl
* 17.15h offene Runde (30 min): OWASP Germany im kommenden Jahr
* Gegen 17.30 Uhr Ende und wer mag im Anschluss noch einen Absacker im benachbarten Griechen.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |

==== Agenda ====
* 14.00h Tobias Glemser, OWASP German Chapter Lead (30 min): Welcome and Review of Chapter Activities 2012
* 14:30h Laurent Levi von Checkmarx (45 min): DevOps and Security: It's Happening. Right Now.
* 15:15h Dirk Wetter, OWASP German Chapter Board Member und AppSec EU Research Conference Chair (30 min): Review OWASP Day 2012 and Outlook AppSec EU Research 2013
* 15:45h Break (15 min)
* 16.00h Jim Manico, OWASP Board Member (45 min): Top Ten Web Defenses
* 16.45h Torsten Gigler, OWASP German Chapter (15 min): [https://www.owasp.org/index.php/OWASP_Top_10_Fuer_Entwickler_Project OWASP Top 10 fuer Entwickler]
* 17.00h Tobias Glemser, OWASP German Chapter (15 min): Chapter Board Election
* 17.00h offene Runde (30 min): OWASP Germany next year
* About 17.30h we will be finished. Who's interested in joining a get together in a greek restaurant nearby is asked to note
|-
| style="vertical-align:top; padding-right:0.5em;" |

==== Ergebnisse / Protokoll ====

* Begrüßung und Bericht durch Tobias [ [[Media:German_Chapter_Meeting_2013_Bericht_Chapter.pdf‎|→ Folien]] ]
* Talk: Laurent Levi, Checkmarx
* Kurze Vorstellungsrunde
* Talk: Torsten Gigler - OWASP Top 10 für Entwickler [ [[Media:German_Chapter_Meeting_2013_OWASP_Top_10_fuer_Entwickler.pdf‎|→ Folien]] ]
* Talk: Dirk Wetter - AppSec Research 2013
** GOD 2012
*** Rückblick auf GOD 2012 (German OWASP Day)
*** Fachlich und finanziell ein voller Erfolg
** Dev(i|e)l 2013
*** Ausblick auf AppSec Research 2013
*** Konferenz verspricht viel
*** Details unter https://appsec.eu
* Talk: Jim Manico - Top Ten Web Defenses [ [http://www.slideshare.net/JimManico/top-ten-defenses-v10 → Folien] ]
* Organisatorisches
** Chapter Lead: Tobias Glemser
** Board 2013:
*** Dirk Wetter
*** Martin Johns
*** Achim Hoffmann
*** Emin Tatlı
*** Kai Jendrian
** Entscheidung: Neubesetzung des Boards jährlich
* OWASP Day 2014
* Ortsauswahl durch Call for Venue
* Vorschläge vor Ort:
** Köln
** Karlsruhe
* Vorschläge Projekte
** Übersetzug OpenSAMM
** Übersetzung der Top 10 nach finaler Veröffentlichung (Trigger durch Kai)
* Sonstiges:
** Treffen des OWASP Chapters im Q4 mit Vortrag
** Bessere Präsenz der OWASP in andere Konferenzen

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |

==== Protocol ====
tbd
|

|-
! colspan="2" style="vertical-align:top;" align="left" |
==== Abstracts/Bios ====
|-
| colspan="2" |
===== DevOps and Security: It's Happening. Right Now. =====
How do you integrate security within a Continuous Deployment (CD) environment - where every 5 minutes a feature, an enhancement, or a bug fix needs to be released? Traditional application security tools which require lengthy periods of configuration, tuning and application learning have become irrelevant in these fast-pace environments. Yet, falling back only on the secure coding practices of the developer cannot be tolerated.
Secure coding requires a new approach where security tools become part of the development environment – and eliminate any unnecessary code analysis overhead. By collaborating with development teams, understanding their needs and requirements, you can pave the way to a secure deployment in minutes. Steps include:
* Re-evaluate existing security tools and consider their integration within a CD environment
* Deliver a secured development framework and enforce its usage
* Pinpoint precise security code flaws and provide optimal fix recommendations

Laurent Levi
Laurent is an experienced security professional with extensive technical knowledge in all aspects of application security. Over the last 6 years, Laurent has been managing Checkmarx's professional services team and prior to that led the code audit team of Lexsi in France. Laurent has extensive software development experience and has a post graduate degree in AI from Paris VI Université Pierre et Marie Curie.

===== Top Ten Web Defenses =====
We cannot “firewall” or “patch” our way to secure websites. In the past, security professionals thought firewalls, Secure Sockets Layer (SSL), patching, and privacy policies were enough. Today, however, these methods are outdated and ineffective, as attacks on prominent, well-protected websites are occurring every day. Citigroup, PBS, Sega, Nintendo, Gawker, AT&T, the CIA, the US Senate, NASA, Nasdaq, the NYSE, Zynga, and thousands of others have something in common – all have had websites compromised in the last year. No company or industry is immune. Programmers need to learn to build websites differently. This talk will review the top coding techniques developers need to master in order to build a low-risk, high-security web application.

Jim Manico is the VP of Security Architecture for WhiteHat Security, a web security firm. He authors and delivers developer security awareness training for WhiteHat Security and has a background as a software developer and architect. Jim is also a global board member for the OWASP foundation. He manages and participates in several OWASP projects, including the OWASP cheat sheet series and the OWASP podcast series.
----
|}

==OWASP Germany Chapter Meeting am 03.02.2012 in Frankfurt==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
OWASP Germany Chapter Meeting fand am 03.02.2012 in Frankfurt statt.

Ort: Saalbau Gallus, Frankenallee 111, 60326 Frankfurt am Main
[[http://maps.google.de/maps?q=Frankenallee+111,+60326+Frankfurt+am+Main&hl=de&sll=50.104389,8.642389&sspn=0.002883,0.010375&vpsrc=0 Karte]] (Wenige Meter von der S-Bahnstation Galluswarte entfernt, ein Halt von
Frankfurt Hbf).

----
==== Einladung ====
Hiermit laden wir Euch nochmals herzlich zum ersten Chapter Meeting 2012 des OWASP German Chapters ein.
Wer sich aktiv in die Gestaltung des Chapters einbringen möchte, ist hier genau richtig. Wir stellen die Weichen, um OWASP in Deutschland noch präsenter zu machen und freuen uns auf Deinen Beitrag! OWASP lebt von der Community, von der aktiven Beteiligung.
Nur aufgrund der vielen Köpfe sind wir dort, wo wir heute stehen. Also los! Wir würden uns insbesondere freuen, mehr von Euch aus dem edukativen Bereich (ja, Ihr liebe Studenten!) bei uns willkommen zu heißen.

Zur besseren Planung gebt bitte kurz per Mail Bescheid, wenn Ihr teilnehmt. Danke!

Plant auch danach noch gerne etwas Zeit ein, wir lassen den Tag bei einem gemeinsamen Essen und vielleicht einem Getränk nachwirken.

Viele Grüße und bis zum 03.02. in Frankfurt, wir freuen uns auf Euch.
OWASP German Chapter
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |

==== Invitation ====

|-
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
|-
|
==== Agenda ====

* Georg: Begrüßung durch Georg Heß, German Board Leader
* Kai: Vortrag "OWASP Top 10 auf Deutsch - Fallstricke und Überraschungen"
* Kai: Fragen und Antworten zu "OWASP Top 10 auf Deutsch"
* Boris: Vortrag "Das neue OWASP Chapter Handbook - wie wir weltweit arbeiten"
* Boris: Fragen und Antworten zu "OWASP Chapter Handbook"
* Dirk: Rückblick OWASP Day 2011, Ausblick 2012
* Tobias: Rückblick it-sa 2011, Ausblick 2012
* Dirk: AppSec Research EU: 2013 in Deutschland?
* Boris: Firmen-Chapter-Support (Kosten, Vorteile, Ablauf)
* Georg: Aktionen zur Mitgliedergewinnung
* Bruce: Möglichkeiten zur Intensivierung der Pressearbeit
* Boris: Zusammenarbeit mit dem BSI
* Tobias: Themen für Projekte 2012
* Georg: kurzer Abriss zu OWASP-Zertifizierungen
* Achim: Definition Rahmenbedingungen Jobseite
* Achim: Administratoren für owasp.org
* Georg: Wahl Leader und Board OWASP German Chapter

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
Das Protokoll des Chapter-Meetings ist [[Media:Chapter-Germany-20120203-Protokoll.zip|hier]] zu finden; das Passwort ist geheim ;-)

Wichtige Entscheidungen in Kürze:
* Tobias als Chapter Leader gewählt
* Wahl des Boards: Bruce, Dirk, Emin, Martin, Achim
* German OWASP Day 2012 im November in München
** 1,5 - 2 Tage, dieses Jahr keine kommerziellen Trainings
** CfP-Kommitee geführt von Dirk, Martin
** es wird eine Teilnahme/Anwesenheits-Bescheinigung geben
* OWASP-Stand auf it.sa 2012 in Nürnberg
* Firmensponsoring wird ermöglicht: local sponsor ca. 500,-/Jahr
* Zusammenarbeit mit BSI wird intensiviert
* es wird (vorerst) keine eigene deutsche Jobseite unter owasp.org geben; bitte [[OWASP_Jobs]] benutzen
...
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
Meetings minutes can be found [[Media:Chapter-Germany-20120203-Protokoll.zip|here]] . Note that it is in German.

Most important:
* Tobias as Chapter Leader elected
* Boards Members: Bruce, Dirk, Emin, Martin, Achim
* German OWASP Day 2012 will be in November in München
** 1,5 - 2 days, no trainings sessions this year
** CfP Commitee lead by Dirk, Martin
* OWASP will be present at it.sa 2012 in Nürnberg
* company sponsoring possible: local sponsor ca. 500,-/anno
* co-operation and collaboration with BSI will be initiated
* currently no local job page within owasp.org
...
|}

==Chapter Board Meeting am 19.8.2011 in München==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
==== Agenda ====
* Selbstverständnis Chapter – die Zukunft
* OWASP Germany in „das Bewusstsein“ bringen
* Vereinsgründung ja/nein
* Geldverwaltung/Rechnungen
* Firmen als Chapter Member
* IT-SA 2011
* Board (Kommunikation. Rollen, Wahl, Termin Chapter Meeting)
* Stand der Dinge: Flyer
* OWASP Day

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
Das Protokoll des Board-Meetings ist [[Media:Chapter-Germany-20110819-Protokoll.zip|hier]] zu finden; das Passwort ist geheim ;-)

Wichtige Entscheidungen in Kürze:
* OWASP Chapter Germany stellt auf der it.sa in Nürnberg aus, 11.10. - 13.10.2011
* es wird eine ''Firmen-Mitgliedschaft'' aka ''Chapter Supporter'' angeboten; Näheres in kürze auf der Webseite
* nächstes Chapter Meeting am 20.01.2012 oder 03.02.2012 in Frankfurt
...

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |

==== Protocol ====
The protocol of the Chapter Germany Board Meetings can be found [[Media:Chapter-Germany-20110819-Protokoll.zip|here]] . Note that it is in German.

Most important:
* OWASP Chapter Germany will be at it.sa in Nuremberg, 11.10. - 13.10.2011
* ''Chapter Supporter'' will be possible for companies; details comming soon
* next Chapter Meeting 20.01.2012 or 03.02.2012 in Frankfurt
...
|}

== Chapter Meeting am 20.5.2010 in München ==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
==== Agenda ====
* 14:00 Allgemeine Begrüßungs- und Vorstellungsrunde
* 14:15 Bruce Sams: „Strategie und Kosten für ein SDLC“
* 14:50 Diskussion
* 15:10 Boris Hemkemeier: „Two Factors Are Not Enough“
* 16:05 Diskussion (geht nahtlos über in die)
* 16:15 Kaffeepause
* 16:35 Vortrag mit Diskussion „Organisatorisches im Chapter“
* 17:15 Beginn der Beschlussfassungen und Wahlen
* 17:25 Vortrag mit Diskussion „OWASP Germany Conference 2010“

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====
===== Organisatorisches im Chapter =====

Die Wesentlichen Punkte, die umgesetzt oder verbessert werden sollen:

* Mehr Außenwirkung durch Public Relations, bessere Pressearbeit / Pressemitteilungen und Einführung und Pflege einer Sprecher- und Rednerliste (um z.B. bei öffentlichen Veranstaltungen OWASP adäquat vorstellen zu können)
* Gepflegtes Wiki sowohl für Außendarstellung als auch als Plattform für die interne Kommunikation
* Einführung von direkten Ansprechpartner für diverse Branchen

Es folgt eine kurze Diskussion, wie dies effektiv umgesetzt werden kann. Es wird ein Vorschlag durch konkludentes Handeln angenommen: Es soll ein Chapter Board bestehend aus 5 Mitgliedern gewählt werden. Jedes dieser Mitglieder bekommt eine oder mehrere dedizierte Aufgabe(n), um die oben genannten Punkte abzudecken und umzusetzen. Es folgt ein Aufruf, sich für eine entsprechende Wahl zur Verfügung zu stellen. Es soll ebenso der neue Chapter Leader gewählt werden. Da sich nur ein Kandidat für nur einen Posten zur Wahl für die nächsten zwei Jahre zur Verfügung stellt, wird folgendes entschieden: Bei Abstimmungen hat jedes Mitglied des Boards genau eine Stimme, während der Chapter Leader zwei Stimmen hat. So soll zukünftig bei Abstimmungen eine Stimmengleichheit verhindert werden.

===== Beschluss zur Anzahl der Chapter Leaders =====

Es wird von den 12 Teilnehmern des Chapter Meetings einstimmig beschlossen, das zukünftig das Chapter Germany (analog zu den meisten anderen OWASP Chapters) nur noch einen Chapter Leader hat.

===== Wahl des Chapter Leaders =====

''Georg Heß'' kandidiert als Chapter Leader und wird mit 11 von 12 Stimmen bei einer Enthaltung zum neuen Chapter Leader des OWASP Chapters Germany gewählt.

===== Beschluss zur zukünftigen Zusammensetzung des Boards =====

Einstimmig wird beschlossen, dass das zukünftige Board aus 5 Mitgliedern besteht. Diese sollen die Aufgaben wie in der Diskussion beschrieben wahr nehmen.

===== Wahl des Boards =====

Es kandidieren ''Tobias Glemser, Boris Hemkemeier, Achim Hoffmann, Uli Petersen und Bruce Sams'' für die 5 Sitze im Board. Alle werden einstimmig gewählt.

Alle Gewählten nehmen die Wahl an.

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
Not yet available in English, sorry.
|}

== OWASP German Chapter Meeting 10.07.2009, Mannheim ==

{| style="background-color:inherit;" width="100%"
| style="vertical-align:top; padding-right:0.5em;" width="70%" |
==== Einladaung ====
;Summary:We will start with three interesting fresh talks. The following topics are the next activities of the OWASP German Chapter: the new [http://www.owasp.org/index.php/OWASP_German_Chapter_Stammtisch_Initiative "Stammtisch Initiative"] and the planning of the [http://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference OWASP AppSec Germany 2009] at Nuremberg.

;Location:Aula of the [http://www.hs-mannheim.de Hochschule Mannheim], Building 3, Paul-Wittsack-Strasse 10, Mannheim ([http://maps.google.de/maps?f=d&source=s_d&saddr=Mannheim+Hbf&daddr=49.471303,8.48372&geocode=Fbr-8gIduTmBAA%3B&hl=de&mra=dme&mrcr=0&mrsp=1&sz=15&sll=49.474885,8.474715&sspn=0.015532,0.050254&ie=UTF8&z=15 Google Maps]). Please download the [http://www.hs-mannheim.de/campus/grafik/campusplan_legende_web.pdf campus map].
| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" width="30%" |
==== Invitation ====

|-
| style="vertical-align:top; padding-right:0.5em;" |
==== Agenda ====
* 12:00 - 13:00 : Lunch (optional, please send an email to [mailto:Georg.Hess@artofdefence.com?subject=OWASP%20Chapter%20Meeting%20Lunch%20registration Georg Heß] to register for lunch), meeting point for the lunch is at the Aula in Building 3
* 13:15 - 13:30 : Opening by our host Prof. Rainer Gerten (German)
* 13:30 - 14:30 : OWASP Educational Services - Teaching Security!, Martin Knobloch, Member of OWASP Global Education Committee (English)
* 14:30 - 15:00 : Vorstellung und aktueller Stand des OWASP Germany Projekts "Best Practice: Projektierung von Sicherheitsprüfungen von Web Applikationen", N.N., Projekt-Mitarbeiter (German)
* 15:00 - 15:45 : Cloud Application Security - Chancen und Risiken - Einige Ansatzpunkte zum Thema, Georg Hess (German)
* 15:45 - 16:15 : Coffee
* 16:15 - 17:00 : Organisational topics of the OWASP German Chapter (German)
** OWASP Stammtisch Initiative
** Outlook and organisational tasks for the 2nd [[OWASP Germany 2009 Conference]]
* nach 17:00 : Come together (Any ideas for a near pub??)

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Agenda ====
|-

| style="vertical-align:top; padding-right:0.5em;" |
==== Ergebnisse / Protokoll ====

===== OWASP AppSec 2010 =====

Es folgt ein kurzer historischer Rückblick der Veranstaltungsorte: 2008 im Hotel in Frankfurt, 2009 auf der Messe it-sa in Nürnberg. Kurze Diskussion pro und contra Hotel vs. Messe vs. Hochschul-Location.

* Es soll geprüft werden, ob die diesjährige '''„OWASP Germany Conference 2010“''' wieder in Kooperation mit der Messe Nürnberg / it-sa durchgeführt werden kann (z.B. am 20.10.2010).
* Weiterhin ist ein Konferenztag mit '''zwei verschiedenen Tracks (Technik und Management)''' angedacht.
* Um die inhaltliche Gestaltung voranzutreiben wird ein '''Programm-Komitee''' (initial bestehend aus ''Bruce Sams, Kai Jendrian, Boris Hemkemeier und Martin Johns'') ins Leben gerufen, das alsbald den '''CFP''' starten soll.

Gegen 18:15 löst sich das OWASP German Chapter Meeting auf und geht nahtlos in den 12. „Happy Anniversary!“ OWASP Stammtisch München über.

Weitere Ergebnisse sind [https://lists.owasp.org/pipermail/owasp-germany/2009-July/000086.html in den Minutes hier] zu finden

| style="vertical-align:top; padding-left:0.5em;border-left:1px solid black" |
==== Protocol ====
Minutes: [https://lists.owasp.org/pipermail/owasp-germany/2009-July/000086.html See the list archive for the minutes.]
|}

== OWASP German Chapter Meeting - February 20th, 2008 in Darmstadt ==

;Date: February 20th, 2008, 11:00-16:15
;Location: The next chapter meeting will be hosted at CAST in Darmstadt.
: CAST (http://www.cast-forum.de<nowiki/>)''' Fraunhoferstr. 5 (vormals Rundeturmstr. 6) - EG Room 072 - [http://www.cast-forum.de/workshops/anfahrt.html Anfahrt]'''

;Agenda: This time the focus is on technical presentations and discussion.
: Technical presentation slots will consist of 20-30 minute presentation and 15 minute discussion.
# (11:00 - 11:15) Welcome, Introduction and Administrativia
# (11:15 - 11:30) Vorstellung von CAST (Dr. Heinemann)
# (11:30 - 11:45) Short OWASP organisation introduction and update (Tobias Gondrom)
# (11:45 - 12:30) First technical presentation "Best Practices beim Einsatz einer Web Application Firewall 1.0" (Slides: [http://www.owasp.org/images/1/1b/WAF-Paper.pdf PDF]) (Alexander Meisel)
# (12:30 - 13:15) Break
# (13:15 - 14:00) Second technical presentation "Defending against Web Application DoS Attacks" (Maximilian Dermann)
# (14:00 - 14:45) 20-Minutes Talks (15 Min Presentation + 5-10 Min Discuss)
: * "Input validation in ASP.NET -- tips, tricks & pitfalls" (Boris Hemkemeier)
: * "Managing of extremely large Web Application Firewall Installations" (Slides: [http://www.owasp.org/images/f/f6/VeryLargeWAFs.pdf PDF]) (Alexander Meisel)
# (14:45 - 15:00) Coffee Break
# (15:00 - 15:45) Fourth technical presentation "Secure Coding and Development Guidelines (part of CLASP)" (Tobias)
# (15:45 - 16:00) Wrap-up and outlook

== Chapter Meeting on September 7th 2007 in Frankfurt/Main ==

After two years of absence the German Chapter has been restarted. The chapter meeting was on September 7th 2007, 15:00 - 18:00.

This first chapter meeting had as its main goal the re-initiation of the German chapter and to start work on projects. Talks and presentations are secondary and will receive more focus at subsequent meetings.

Read meeting notes/minutes [https://lists.owasp.org/pipermail/owasp-germany/2007-September/000038.html here].

----
[https://www.owasp.org/index.php?title=Germany/Chapter_Meetings <top>] [[Germany|<zurück>]] [[Germany|<Germany>]]

[[Category:Germany]]
[[Category:Europe]]

File:20171113 Chapter Meeting German OWASP Chapter.pdf

2018-04-11T08:28:29Z

Michael Schaefer:

Protkoll / Meeting Minutes Chapter Meeting German OWAP Chapter 2017-11-13 in Essen

German OWASP Day 2012

2012-08-30T21:30:35Z

Michael Schaefer: Falsche TLD in Schutzwerk Link geaendert

__TOC__

[[Image:2012_owasp_day_w_480px.png|center|Logo 5th German OWASP Day]]

<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center>
 

== German OWASP Day 2012 ==


An dem überaus erfolgreich verlaufenden OWASP Day [https://www.owasp.org/index.php/German_OWASP_Day_2011 2011] wollen wir 2012 anknüpfen. Wir freuen uns auf zahlreiche spannende Einreichungen für die fünfte Inkarnation unserer Konferenz.


=== Wann + Wo ===
Mittwoch, den 7.11.2012, ab 9:00 bis zirka 18:00 Uhr

Hotel [http://www.dolcemunich.com/ Dolce Munich Unterschleissheim] (Andreas-Danzer-Weg 1, 85716 Unterschleißheim)

Die Vorabendveranstaltung wird im Augustiner Bräu München ab 19:30 Uhr stattfinden.

== CfP und Speaker Agreement ==

Das Programmkomitee freut sich wieder auf zahlreiche und spannende Beiträge zum OWASP Day 2012. Fachliche Details, Deadlines und mehr sind dem
[[German_OWASP_Day_2012/CfP|CfP]] zu entnehmen.

'''Submission Deadline: 15. August 2012.'''

== Programm ==

Wir haben bereits Zusagen renommierter [[German_OWASP_Day_2012/Programm|Invited Speaker]].

== Sponsoren ==

Auch dieses Jahr gibt es wieder die Möglichkeit für interessierte Firmen, Ihren Support für das Open Web Application Security Project zu zeigen und sich in verschiedenen Formen während des OWASP Days 2012 zu präsentieren. Details haben wir auf einer
[[German_OWASP_Day_2012/Sponsoren|separaten Seite]] zusammengestellt.

== Übernachtungen/Anreise ==

Für alle, die nicht aus München kommen, gibt es [[German_OWASP_Day_2012/Lokales|hier]] weitere Infos wie Abrufkontingente und ein paar lokale Informationen.

== Eintrittspreise ==

Die Eintrittspreise werden in Kürze bekanntgegeben.

== Anmeldung ==

Die Anmeldeseite wird in Kürze freigeschalten.

== Wir danken unseren Sponsoren ==

{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"
|-
| align="left" style="border-bottom:1px solid black;min-width:8em" | Platin
|-
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]]
|}

{| cellspacing="5" cellpadding="2" border="0" style="width:97%;margin-bottom:1em;"
|-
| align="left" style="border-bottom:1px solid black;min-width:10em" | Gold
| align="left" style="border-bottom:1px solid black;min-width:10em" | Silber
| align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze
|-
| [[Image:Sicsec-130x39.png|left|link=http://www.sicsec.de/|www.sicsec.de]]
| [[Image:Isseco_logo_224x84.gif|left|link=http://www.isseco.org/|www.isseco.org]]
| [[Image:TC-Logo-mit-Firmennamen-RGB.gif|left|link=http://www.tele-consulting.com|www.tele-consulting.com]]
|-
| [[Image:Schutzwerk-300x29.png|left|link=http://www.schutzwerk.com|www.schutzwerk.com]]
|
| [[Image:1und1_Logo_4c_62x62.png|left|link=http://www.1und1.de/|www.1und1.de]]
|-
| [[Image:SecureNet-Logo-240x56.png|left|link=http://www.securenet.de|www.securenet.de]]
|
|
|-
| [[Image:denyall.jpg|left|link=http://www.denyall.com|www.denyall.com]]
|
|
|-
| [[Image:logo-infrasec-1.jpg|left|link=http://www.infrasec-ag.de|www.infrasec-ag.de]]
|
|
|}

== Organisation ==

*Birgit Bernskötter (Extern)

*Hartwig Gelhausen
*[[User:Ingo Hanke|Ingo Hanke]]
*[[User:Achim|Achim Hoffmann]] (Board Member)
*Martin Johns (Board Member)
*[[User:Bruce Sams|Bruce Sams]] (Board Member)
*[[User:Dr. Emin Tatlı|Emin Tatlı]] (Board Member)
*[[User:Dirk Wetter|Dirk Wetter]] (Board Member)

== Hash tag ==

[https://twitter.com/#!/search/%23owasp_d2012 #owasp_d2012]

 <headertabs /> 

[https://www.owasp.org/index.php?title=German_OWASP_Day_2012 <top>]

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]] [[Category:German OWASP Day]]

German OWASP Day 2011

2012-03-07T10:43:24Z

Michael Schaefer: Fixed misspelled name

__NOTOC__

[[Image:2011 owasp day.png|center|Logo 4th German OWASP Day]]
<center style="font-size: 180%;margin:2em;">'''Die führende deutsche Konferenz zur Webapplikations-Sicherheit'''</center>
 

= OWASP Day 2011 =
=== OWASP Day 2011 ===

== 4. German OWASP Day 2011 ==

Langsam wird es zur erfreulichen Gewohnheit: Wie die letzten drei Jahre (siehe [https://www.owasp.org/index.php/OWASP_AppSec_Germany_2010_Conference 2010], [https://www.owasp.org/index.php/OWASP_AppSec_Germany_2009_Conference 2009], [https://www.owasp.org/index.php/OWASP_Germany_2008_Conference 2008]) gab es auch dieses Jahr in Deutschland wieder eine OWASP-Konferenz, den 4. German OWASP Day (früher bekannt als "AppSec Germany"). Dieses Mal fand die Konferenz in München statt.

Am Event nahmen circa 160 Leute teil. Von diesen kamen etwa 100 bereits am Vortag an, um sich bei einem traditionell bayerischen Abendessen in einem von Münchens berühmten Brauerei-Wirtshäusern auf den kommenden Tag vorzubereiten.

Die Konferenz wurde von Keynote-Speakerin Isabel Münch vom BSI eröffnet. Anschließend konnten sich die Teilnehmer dann zwischen zwei parallel stattfindenden Tracks mit jeweils fünf Vorträgen entscheiden.
Die vorgestellten Themen deckten von Mobile und WebService Security über SDLC und Cross-Domain-Policy bis hin zu Cyberthreats und XML Encryption ein Breites Spektrum der IT-Sicherheit ab.

 

== Wir danken unseren Sponsoren ==

{| cellspacing="5" cellpadding="2" border="0" align="left" style="width:99%;margin-bottom:1em;"
|-
! align="left" style="border-bottom:1px solid black;min-width:8em" colspan="3" | Platin
|-
| [[Image:Riverbed.jpg|left|www.riverbed.com]]
 

|-
! align="left" style="border-bottom:1px solid black;min-width:10em" | Gold
! align="left" style="border-bottom:1px solid black;min-width:10em" | Silber
! align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze
|-
| [[Image:Optimabit logo 692.33p.jpg|left|228x51px|www.optimabit.com]]
 

| [[Image:Gemalto brand fullcol web.png|left|gemalto.com]]
 

| [[Image:Telecons.kl.jpg|left|www.tele-consulting.com]]
|-
| [[Image:Schutzwerk-300x29.png|left|www.schutzwerk.de]]
 

| [[Image:Airlock ergon.png|left|152x55px|www.airlock.ch]]
 

| [[Image:Sicsec-130x39.png|left|www.sicsec.de]]
|-
| [[Image:SecureNet-Logo-240x56.png|left|www.securenet.de]]
 

|
| [[Image:Astaro sophos.png|left|www.astaro.com]]
|-
| [[Image:Trustwave logo.jpg|left|www.trustwave.com]]
 

|
|
|-
| [[Image:Sonicwall.png|left|www.sonicwall.com]]
 

|
|
|-
| [[Image:Cancom.jpg|left|www.cancom.de]]
|
|
|-
| [[Image:Imperva 250x34.jpg|left|www.imperva.de]]
|
|
|}

== Konferenzdaten ==

=== Wo ===

Die Konferenz fand im [http://maps.google.de/maps?f=q&source=s_q&hl=en&geocode=&q=nh+muenchen+dornach+Einsteinring&aq=&g=Einsteinring+20,+85609+Munich&ie=UTF8&hq=nh&hnear=Einsteinring,+Dornach+85609+Aschheim,+M%C3%BCnchen,+Bayern&ll=48.147019,11.714859&spn=0.048105,0.13175&z=14 NH-Hotel München Dornach] statt.

Die Vorabendveranstaltung fand im Augustiner Bräu München statt.

=== Wann ===

*Vorabendveranstaltung: Mittwoch, den 16.11.2011
*Konferenz: Donnerstag, den 17.11.2011

== Highlights ==

Das '''OWASP Academy Portal''' bot ein "Labor" mit theoretischen und praktischen Übungen zu den ''OWASP Top 10'' an. Das Portal wurde im Rahmen des Vortrags [[German OWASP Day 2011#tab.3DAgenda_.2F_Presentations|OWASP Global Education Committee]] von Martin Knobloch vorgestellt und erklärt.

{| cellspacing="5" cellpadding="2" border="0" align="left" style="width:99%;margin-bottom:1em;background:transparent;"
|-
| Der Service '''FREE OWASP TOP 10''' für die Übungen, Bewertungen und Auswertungen wurde von Hacking-Lab kostenlos für OWASP zur Verfügung gestellt.
| [[Image:Hacking-lab 177x65.png|right|www.hacking-lab.com]]
|}

== Organisation ==

*Birgit Bernskötter (Extern)
*Georg Hess (Chapter Leader)
*Bruce Sams (Board Member)
*Tobias Glemser (Board Member)
*[[User:Achim|Achim Hoffmann]] (Board Member)
*Ulrike Petersen (Board Member)
*[[User:Dirk Wetter|Dirk Wetter]]

=== Hash tag ===

[https://twitter.com/#!/search/%23owasp_d2011 #owasp_d2011]

 

= Pressemitteilungen =
=== Pressemitteilungen ===
== 25.11.2011 ==

[[Media:Pressemeldung 25 11 2011.pdf|PDF Version]]

=== Vierter German OWASP Day 2011: Hochklassige Websicherheitskonferenz ===

Am 17.11.2011 lockte die vierte Konferenz der deutschen Sektion des OWASP (Open Web Application Security Project) – der German OWASP Day – mehr als 160 Interessierte und Experten aus dem Bereich der Web- und Softwaresicherheit nach München, um sich über ak-tuelle und zukünftige Bedrohungen und deren Kontrolle zu informieren und Kontakt mit Vor-tragenden und Gleichgesinnten zu pflegen.

Nicht zuletzt durch die Datenlecks bei namhaften amerikanischen als auch bei einer Reihe von deutschen Firmen ist 2011 das Jahr der Datenlecks im Internet, die größtenteils auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Mehr als doppelt so viele Teil-nehmer wie im vergangenen Jahr verdeutlichen das stark wachsende Interesse am Thema Websicherheit.
Pünktlich zum German OWASP Day hat ein engagiertes Team eine deutsche Übersetzung der bekannten OWASP Top10 fertiggestellt und als Broschüre auf der Konferenz verteilt. Sie soll helfen, Risiken im Bereich der Websicherheit Managern wie Technikern besser zu ver-deutlichen.

Als Keynote konnte das German Chapter des OWASP Isabel Münch vom Bundesamt für Si-cherheit in der Informationstechnik (BSI) gewinnen. Ihre Eröffnung der vierten deutschen OWASP-Konferenz bot ein Review der sich ändernden Bedrohungen im Internet und endete mit einem Kollaborationsangebot des BSI für die deutsche OWASP-Community.
Die Konferenz bot ein vielschichtiges Programm im Anschluss an die Keynote. Zwei paral-lele Tracks deckten von Secure Software Development Life Cycle, Statischer Code Analyse über Web-Service-Security, Mobile Security und Browser-Sicherheit sowie aktuellen Cyber-Bedrohungen ein breites Spektrum ab. Eins der Highlights war Juraj Somorovsky, der zeigte, wie unsicher XML Encryption bei Verwendung des Cipher Block Chaining Mode (CBC) auf-grund eines Orakelphänomens ist, und an welchen Stellen Eucalyptus und Amazon durch XML Signature Wrapping ein Problem hatten. Als eingeladener Sprecher markierte Thomas Roessler vom W3C den Abschluss der Konferenz, der eindringlich davor warnte, den client-seitigen Teil der Sicherheit von Webanwendungen zu vernachlässigen. Das Anwendungspara-digma heißt heute „Cloud“, JavaScript und Flash sei nun weitaus leistungsfähiger und um-fangreicher, aber auch komplexer in puncto Sicherheit. Das Letztere wird auch bei weiterer Verbreitung von HTML5 gelten.
Teilnehmer, Sprecher sowie die Organisatoren vom German Chapter des OWASP äußerten sich hoch zufrieden über den Verlauf und die Qualität der Konferenz. Ort und Datum des fünften German OWASP Day wird Anfang nächsten Jahres bekannt gegeben.

OWASP ist eine offene Community mit dem Ziel, Know-How im Bereich der Websicherheit aufzubauen. Im Vordergrund stehen Best Practices, Tools und Konzepte für die sichere Ent-wicklung, Test und Schutz von Webanwendungen. Zielgruppe sind Entwickler, Sicherheitsbe-rater, Projektmanager und Sicherheitsbeauftragte. Weitere Informationen zum deutschen Chapter des OWASP sind unter [https://www.owasp.org/index.php/Germany https://www.owasp.org/index.php/Germany] verfügbar.

= Abendveranstaltung =
=== Abendveranstaltung ===

=== Wann ===
Mittwoch, den 16.11.2011, ab 19:30

=== Wo ===
[http://www.braeustuben.de/lokal.php Augustiner Bräustuben], Landsberger Str. 19, 80339 München
[http://maps.google.de/maps?q=LANDSBERGER+STRASSE+19+80339+M%C3%9CNCHEN&hq=&hnear=0x479e7601b699ffd5:0x4be4ced9008a615b,Landsberger+Stra%C3%9Fe+19,+D-80339+M%C3%BCnchen&gl=de&ei=12GhTpmxPMTusga_h73pAg&sa=X&oi=geocode_result&ct=image&resnum=1&ved=0CB0Q8gEwAA Stadtplan und Streetview]

Raum Alte Schmiede

=== Anreise ===

== S-Bahn ==
* Vom Hauptbahnhof: S1, S2, S3, S4, S6, S7, S8 bis Hackerbrücke, dann ca. 5 Minuten Fußweg (Hackerbrücke Richtung Süden, Grasserstr. bis Landsbergerstr., dann rechts bis zur nächsten Straße links)
* Vom Westen (z.B. Pasing): S3, S4, S6, S8 bis Hackerbrücke, dann wie vom Hauptbahnhof
[http://efa.mvv-muenchen.de/mvv/XSLT_TRIP_REQUEST2 Fahrplanauskunft]

== Hauptbahnhof ==
(Ausgang Süd) ca. 15 Minuten, zu Fuß Bayerstraße Richtung Westen, weiter in Landsbergerstr. bis Nr. 19
== Auto ==
* Vom Westen (z.B. Autobahnende A8): am Autobahnende rechts nach Pasing, dort links in Richtung München Zentrum, wird zur Landsbergerstr.
* alle anderen Richtungen über Mittlerer Ring West bis Donnersbergerbrücke, dort Richtung München Zentrum, ist die Landsbergerstr.

= Eindruecke = 
=== Eindrücke ===

== Teilnehmer-Meinungen ==

Das sagen unsere Teilnehmer über uns:

<blockquote>Es war sehr interessant und relevant. Gute Kontakt-Knüpfungs-Möglichkeit </blockquote>

<blockquote>Meine Erwartungen wurden mehr als erfüllt </blockquote>

<blockquote>Hoher Nutzen, kompetente Referenten, Networking, Aufbau eines kontinuierlichen Erfahrungsaustauschs </blockquote>

<blockquote>Einfach toll! </blockquote>

<blockquote>Der Vorabend war gigantisch </blockquote>

== Bilder ==

[[File:20111116-img 0611.jpg]]
===== Alle genossen die Abendveranstaltung in den Augustiner Bräustuben =====

[[File:20111117-img%200820.jpg]]
===== Ein herzliches Dankeschön an die Organisatorinnen Birgit Bernskötter und Andrea Gartner =====

[[File:20111117-img_0811.jpg]]
===== Der Konferenzraum war bis auf den letzten Platz besetzt =====

[[File:20111117-img_0772.jpg]]
===== Die Übersetzer der OWASP Top 10 Broschüre =====
(v.l.n.r. Kai Jendrian, Frank Dölitzscher, Ralf Reinhardt, Tobias Glemser, Dr. Ingo Hanke und Michael Schäfer)
 

[[File:20111117-img_0706_crop.jpg]]
===== Sebastien Deleersnyder gibt eine lebhafte Einführung in die OWASP =====

[[File:20111117-img_0693.jpg]]
===== Die Keynote von Isabella Münch vom BSI fand großen Anklang =====

= Agenda : Presentations =
=== Agenda / Presentations ===

Die Agenda für den 4. German OWASP Day 2011: 

{| border="0" align="center" class="FCK__ShowTableBorders" style="width: 80%;"
|-
| align="center" colspan="4" style="background: none repeat scroll 0% 0% rgb(64, 88, 160); color: white;" | '''17. November 2011'''
 

|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 
| align="center" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Auditorium 1
| align="center" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Auditorium 2
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:00 - 9:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Begrüßung / Welcome''' -- Georg Hess (Head German Chapter) [[Image:16px-mime-application-pdf.png|right|16px-mime-application-pdf.png]]
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 09:15 - 10:15
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Keynote: Isabel Münch (BSI) ''' ''Sicherheit in und für Deutschland'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:15 - 10:45
| align="center" colspan="3" style="width: 80%; background: none repeat scroll 0% 0% rgb(252, 252, 150);" | '''OWASP Introduction''' ''Sebastien Deleersnyder'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 10:45 - 11:15
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Kaffeepause / Coffee Break
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 11:15 - 12:00
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Quellcodescans von Webanwendungen in der Praxis - gängige Fallstricke und Wege zum erfolgreichen Einsatz in Unternehmen ''Sebastian Schinzel''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | What are hackers hacking? ''Rob Rachwald'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:00 - 12:45
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Sicherheit mobiler Apps ''Andreas Kurtz'' 
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | OWASP Global Education Committee ''Martin Knobloch'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 12:45 - 13:45
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Mittagspause / Lunch Break
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 13:45 - 14:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Client-Side Cross-Domain Requests im Webbrowser: Techniken, Policies und Sicherheitsprobleme ''Sebastian Lekies, Walter Tighzert''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | No reason to be SAD? The Integration of a Secure Development Life Cyle in OSS Enterprise Web Applications ''Thomas Biege''
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 14:30 - 15:15
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | Web-Services-Security - Reicht der REST? ''Hans-Joachim Knobloch'' und ''Kai Jendrian''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | Secure SDLC für die Masse dank OpenSAMM? <del>Markus Wagner</del> ''Bruce Sams'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:15 - 15:45
| align="left" colspan="3" style="background: none repeat scroll 0% 0% rgb(194, 194, 194);" | Pause / Coffee Break
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 15:45 - 16:30
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(230, 209, 209);" | How To Break XML Signature and XML Encryption ''Juraj Somorovsky''
| align="left" style="width: 44%; background: none repeat scroll 0% 0% rgb(153, 255, 153);" | IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten ''Amir Alsbih'' 
|-
| style="width: 12%; background: none repeat scroll 0% 0% rgb(199,199,199);" | 16:30 - 17:30
| align="center" colspan="3" style="background: none repeat scroll 0% 0% rgb(242, 242, 242);" | '''Invited Talk: Thomas Roessler (W3C) ''' ''Von Webseiten zu verteilten Cloud-Anwendungen: Entwicklungen in der Web-Sicherheit''
|}

 

== Downloads ==

*Georg Heß — [[Media:00_OWASP_German_Day_4_Einleitung_-_Georg_Hess.pdf|Begrüßung]]
*Isabel Münch (BSI) ''Keynote'' — [[Media:01_OWASP_German_Day_4_Keynote_-_Isabel_Muench.pdf|Sicherheit in und für Deutschland]]
*Sebastien Deleersnyder - [[Media:02_OWASP_German_Day_4_OWASP-Introduction_-_Sebastien_Deleersnyder.pdf|OWASP Introduction]]
*Sebastian Schinzel — [[Media:03A_Quellcodescans_-_Sebastian_Schinzel.pdf|Quellcodescans von Webanwendungen in der Praxis - gängige Fallstricke und Wege zum erfolgreichen Einsatz in Unternehmen]]
*Rob Rachwald, Noa Bar-Yosef — [[Media:03B_What_are_hackers_hacking_-_Rob_Rachwald.pdf|What are hackers hacking?]]
*Andreas Kurtz — [[Media:04A_Sicherheit_mobiler_Apps_-_Andreas_Kurtz.pdf|Sicherheit mobiler Apps]]
*Martin Knobloch — [[Media:OWASP_GermanyDay_2011-Global_Education_Committee.pdf|OWASP Global Education Committee]]
*Sebastian Lekies, Walter Tighzert — [[Media:05A_Client-Side_Cross-Domain_Requests_-_Sebastian_Lekies%2BWalter_Tighzert.pdf|Client-Side Cross-Domain Requests im Webbrowser: Techniken, Policies und Sicherheitsprobleme]]
*Thomas Biege — [[Media:05B_No_reason_to_be_SAD_-_Thomas_Biege.pdf|No reason to be SAD? The Integration of a Secure Development Life Cyle in OSS Enterprise Web Applications]]
*Hans-Joachim Knobloch, Kai Jendrian — [[Media:06A_Web-Services-Security_-_Reicht_der_REST_-_Hans-Joachim_Knobloch%2BKai_Jendrian.pdf|Web-Services-Security - Reicht der REST?]]
*Bruce Sams — [[Media:06B_Secure_SDLC_-_Bruce_Sams.pdf|Secure SDLC für die Masse dank OpenSAMM?]]
*Amir Alsbish — [[Media:07B_IT-Sicherheit_in_Unternehmen_-_Amir_Alsbih.pdf|IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten]]
*Juraj Somorovsky — [[Media:07A_Breaking_XML_Signature_and_Encryption_-_Juraj_Somorovsky.pdf|How To Break XML Signature and XML Encryption]]
*Thomas Roessler (W3C) ''Invited Talk'' — [[Media:08_OWASP_German_Day_4_Invited_Talk_Von_Webseiten_zu_verteilten_Cloud-Anwendungen_-_Thomas_Roessler.pdf|Von Webseiten zu verteilten Cloud-Anwendungen: Entwicklungen in der Web-Sicherheit]]

== Details zu den Vorträgen ==

 

=== ''Keynote'': Isabel Münch (BSI) — Sicherheit in und für Deutschland ===

=== ''OWASP Introduction'': [[User:Sdeleersnyder|Sebastien Deleersnyder]] - OWASP (global) Board Member ===

 

=== [[User:Sebastian Schinzel|Sebastian Schinzel]] — Quellcodescans von Webanwendungen in der Praxis - gängige Fallstricke und Wege zum erfolgreichen Einsatz in Unternehmen ===

Statische Code-Analyse (SCA) ist ein Software-Testverfahren, um nach Schwachstellen im Quelltext einer Anwendung zu suchen, ohne diese auszuführen. Automatisierte Werkzeuge (so genannte SCA-Tools) sollen bei der Analyse unterstützen. Mittlerweile sind diese Werkzeuge technische ausgereift und finden reale Schwachstellen – auch und gerade in Webanwendungen, die häufig ein besonderes Risiko für Unternehmen darstellen.

Häufig werden SCA-Tools noch als simple "Bug-Finder" angesehen, mit denen ein Softwaretester bereits fertig entwickelte Anwendungen auf Schwachstellen untersucht. Diese Ansicht ist aus vielerlei Gründen problematisch: Erstens werden Schwachstellen erst sehr spät im Entwicklungsprozess gefunden. Da es bekanntlich deutlich günstiger ist, Defekte während der Entwicklung zu beheben als zu einem späteren Zeitpunkt, ist die nachgelagerte Ausführung häufig unwirtschaftlich. Zweitens bekommen die Entwickler kein direktes Feedback, lernen daher nicht aus ihren Fehlern und machen die gleichen Fehler wieder und wieder. Hier kommen letztendlich auch psychologische Aspekte zum Tragen: Anstatt am Ende eines Projekts für seine Programmierfehler gerügt zu werden, sollten die Entwickler durch SCA-Tools bereits während der Entwicklung auf mögliche Schwachstellen hingewiesen werden. Drittens kann das SCA-Tool am Ende von großen Projekten mehrere Hundert oder Tausend potentielle Schwachstellen melden. Diese Ergebnisse zu bewerten bedeutet erheblichen Aufwand und kann sowohl Budget und Abgabefristen, als auch die Nerven des Teams überstrapazieren.

In diesem Vortrag zeige ich, wie und an welcher Stelle im Entwicklungsprozess SCA-Tools in erfolgreichen Entwicklungsprojekten eingesetzt werden, wie man nach dem Kosten/Nutzen-Prinzip entscheidet, welche Testfälle eines SCA-Tools aktiviert werden sollten und wie man auch große Mengen gefundener Schwachstellen aus der Sicht des Risikomanagements bewertet.

 

=== Rob Rachwald, Noa Bar-Yosef — What are hackers hacking? ===

Vulnerabilities are everywhere. Knowing where they are is useful - but knowing which one will be exploited is much more useful. Security professionals need to focus on real threats plaguing today’s practitioners and provide up-to-date statistics on actual attack data. Where can they get such data?

Imperva’s HII analyzes hacker attack data on a regular, detailed basis and helps answer: What are the most commonly exploited vulnerabilities? What are the trending topics hackers are discussing? Where should practitioners focus their Web security controls? The talk will discuss each of these questions separately and provide data collected from:

*Honey pots which track and record live attack traffic.
*Monitored discussions on hacker forums.
*Analyses of hacker technologies and innovations.

 

=== Andreas Kurtz — Sicherheit mobiler Apps ===

Apples Mobilgeräte, wie das iPhone und das iPad, erfreuen sich nicht nur im Consumer-Bereich immer größerer Beliebtheit, sondern erhalten auch mehr und mehr Einzug in Unternehmen. Aufgrund des mittlerweile hohen Verbreitungsgrads von iPhones und iPads, sowie der Sensitivität, der auf diesen Geräten verarbeiteten Daten, ergeben sich hohe Sicherheitsanforderungen an das iOS Betriebssystem sowie die betriebenen Apps.

Während sich Sicherheitsüberlegungen in der Vergangenheit dabei meist auf die Integration und Pflege der mobilen Endgeräte in der Unternehmensinfrastruktur beschränkten, wurde die Sicherheit der darauf betriebenen Apps zuweilen meist vernachlässigt.

Im Rahmen dieses Vortrags werden zahlreiche Sicherheits- und Datenschutzprobleme mobiler Apps am Beispiel von Apples iOS demonstriert. Anhand einiger identifizierter Schwachstellen in weit-verbreiteten und populären Apps, werden häufige Programmier- und Designfehler erläutert, die immer wieder zu gravierenden Schwachstellen in mobilen Apps führen.

In diesem Zusammenhang wird auch das „OWASP Mobile Security Project“ vorgestellt und die Erfahrungen aus zahlreichen Sicherheitsüberprüfungen mobiler Apps mit dem aktuellen Entwurf der „OWASP Top 10 Mobile Risks“ abgeglichen.

 

=== [[User:Knoblochmartin|Martin Knobloch]] — OWASP Global Education Committee ===

The OWASP Global Education Committee (GEC) has various new projects that are important and worth sharing:

*'''OWASP Academy Portal'''

:The OWASP Academy Portal will be the online Application Security training environment of OWASP. Powered and Sponsored by Hacking Labs and SecurityInnovations, the portal offers training material and training excercises.

:To main groups will be addressed by the Academy Portal:
:- Teachers, e.g. professors teaching about IT
:- Students, e.g. all who want to learn about Application Security
:The talk will show the goals, status and future plans of the AcademyPortal!

*'''OWASP Training Events'''

:As already familiar in relation to the OWASP AppSec conferences, the GEC is busy organizing OWASP Training Conferences, indepent to AppSec conferences.
:This part will update the audience with the status and plans of the OWASP Training Events.

 

=== Sebastian Lekies, Walter Tighzert — Client-Side Cross-Domain Requests im Webbrowser: Techniken, Policies und Sicherheitsprobleme ===

Von Beginn an verändert sich das World Wide Web stetig. Um neue Anwendungen zu realisieren werden ständig neue Technologien entwickelt und in den Browser integriert. Cross-Domain Requests stellen eine dieser neuen Technologien dar. Mit Hilfe von Adobe Flash, Microsoft Silverlight oder dem in HTML5 integrierten Cross-Origin Resource Sharing (CORS) lassen sich trotz der "Same-Origin Policy" client-seitig HTTP-Anfragen erzeugen, die im Authorisierungskontextes des Benutzers ausgeführt werden. Prinzipiell ist es mit diesem Mechanismus möglich, private Daten zu stehlen oder geschützte Aktionen auszuführen. Um dies zu vermeiden, setzen all diese Technologien eine server-seitige Erlaubnis voraus. Hierzu muss der Server eine Policy bereitstellen in der vertrauenswürdige Domains gelistet sind. Bevor ein sogenannter Cross-Domain Request durchgeführt wird, lädt der Browser diese Policy herunter und überprüft, ob die anfragende Webseite für den Server vertrauenswürdig ist oder nicht. Falls ja, wird die Anfrage durchgeführt. Falls nein, verhindert der Browser den Request. Um mögliche Sicherheitsprobleme mit diesem Modell zu untersuchen, haben wir eine große Studie durchgeführt. Im Rahmen dieser Studie wurden 1.000.000 Internetseiten überprüft und deren Cross-Domain Policies ausgewertet. Insgesamt wurden hierbei zirka 83.00 Policies gefunden, von denen zirka 31.000 potentiell unsicher sind. Wiederum zirka die Hälfte dieser Webseiten (15.000) weisen deutliche Anzeichen darauf hin, dass private Daten durch Cross-Domain Requests gestohlen werden könnten. Im weiteren Verlauf wird vorgestellt, welche Webseiten besonders unsicher sind und wie Cross-Domain Policies sicher eingesetzt werden können. Zusätzlich wird eine Firefox Extension vorgestellt, die in der Lage ist potentiell schädliche Requests zu entschärfen, indem Session Cookies von maliziösen Requests abgeschnitten werden. Ein Nutzer kann sich somit vor unsicheren Policies schützen, ohne die Anwendungslogik legitimer Anwendungen zu stören.

 

=== Thomas Biege — No reason to be SAD? The Integration of a Secure Development Life Cyle in OSS Enterprise Web Applications ===

Secure software is the Achilles' heel of todays IT infrastructure, especially in a open-source world were development cycles are short, budgets are small and competitors did not sleep.To cut our costs and decrease the Total Cost Of Ownership for our products we attacked the most expensive bugs, security bugs, by integrating a simple Secure Development Life-Cycle, called SAD, into the agile development processes of our enterprise web-applications. The process itself is an assemble of different industry-standard approaches plus a good dose of common sense due to lessons learned during my work. The tools and resources used were open-source (i.e. from OWASP) and often self-written to fill the gaps of the FOSS world. During the session you will see how we saved us and our customers several thousands Euros and released a product with solid security properties.

 

=== Hans-Joachim Knobloch, [[User:Kai Jendrian|Kai Jendrian]] — Web-Services-Security - Reicht der REST? ===

Derzeit gibt es zwei verbreitete Ansätze für Web-Services: SOAP und REST. RESTful Web-Services können sich zunächst "nur" auf die Sicherheitsfunktionen von SSL/TLS und HTTP abstützen. Rund um SOAP gibt es dagegen eine elaborierte WS-Security Architektur. Daher scheint aus Sicherheitsgesichtspunkten zunächst SOAP gegenüber REST im Vorteil. Dennoch geht der Trend in der Praxis zur Nutzung von RESTful WebServices.

Es wird ein kurzer Überblick über die beiden Ansätze und über die Sicherheitsmechanismen im SOAP-Umfeld (WS-Security, WS-SecureConversation, WS-Federation, WS-Authorization, WS-Policy, WS-Trust, WS-Privacy) gegeben. Deren Funktionalitäten müssen für RESTful WebServices bei Bedarf per SSL/TLS und/oder durch explizite Programmierung auf Anwendungsebene ersetzt werden.

Trotz der Vielzahl an sicherheitsbezogenen, teilweise noch in Bearbeitung befindlicher Spezifikationen im SAOP-Umfeld reichen diese jedoch aus unserer Ansicht nach ebenfalls nicht aus, um Sicherheitsanforderungen aus der Praxis vollständig abzudecken. So fehlt beispielsweise ein Bandbreitenmanagement als Schutz gegen Überlastung. Auch steht momentan kein etablierter, allgemein nutzbarer Federated Identity Management Dienst zur Verfügung.

Umgekehrt sind viele SOAP-Sicherheitsmechanismen - zumindest momentan noch - eher wenig praxisrelevant: Die WS-Security-Architektur ist für die beliebige Verknüpfung von Webdiensten in einer völlig offenen Landschaft gedacht. Dies kommt dem Problem gleich, durch Rufen auf einem belebten Marktplatz eine Skatrunde aus völlig Fremden zusammen zu stellen und miteinander eine Partie zu spielen.

In der Praxis dominieren derzeit jedoch andere Anwendungsszenarien, bei denen die Grenzen zwischen Vertrauensbereichen (Trust Domains) wesentlich einfacher verlaufen als in einer völlig offenen Landschaft, nämlich interne Verknüpfung von Anwendungen, bilateraler Datenaustausch mit Partnern und geschlossene Benutzergruppen (CUG). Innerhalb einer Trust Domain kann ein WebService sich dann häufig darauf abstützen, dass die aufrufende Anwendung bereits grundlegende Sicherheitsfunktionen wie die Authentifikation und Autorisierung des dahinter stehenden Anwenders erbringt. D. h. der aufgerufene WebService muss diese nicht - wie in einer offenen Landschaft - zwingend selbst gewährleisten.

Für die drei genannten Anwendungsszenarien reichen daher auch die Sicherheitsmechanismen aus, die RESTful WebServices zur Verfügung stehen, d. h. besonders SSL/TLS mit Client-Authentifkation, ergänzt um Maßnahmen zum Schutz der Verfügbarkeit gegen Überlastung (die auch in WS-Security so nicht enthalten sind) sowie bei Bedarf Maßnahmen auf Anwendungsebene wie bspw. XMLDsig oder andere Signaturen der übergebenen Daten. Besonders wichtig ist eine genaue Überprüfung der Daten und die Prüfung der Autorisierung an Übergabepunkten zwischen Trust Domains. Auf organisatorischer Seite kommen dazu noch SLAs oder andere rechtlich bindende Vereinbarungen mit Partnern und CUG-Mitgliedern.

Daraus ergibt sich für uns als Antwort auf die Frage im Titel: Für die Mehrzahl der heutigen WebService-Anwendungsszenarien werden Sicherheitsfunktionen der WS-Security-Architektur von SOAP nicht unbedingt benötigt; die für REST nutzbaren Mittel reichen aus. Getreu dem Motto: Lieber erst einmal das Einfache richtig machen, anstatt sich beim potentiell Perfekten zu verheddern.

 

=== <s>Markus Wagner</s> Bruce Sams — Secure SDLC für die Masse dank OpenSAMM? ===

Mit der Grundaussage „(Web-)Anwendungssicherheit kann nicht durch eine Einzelaktion erreicht werden“ wird bereits seit Jahren (erfolgreich?) versucht das Sicherheitsbewusstsein von Anwendungsentwickler und Sicherheitsverantwortlichen zu erhöhen und das Thema Security als essentielle Komponente eines Softwareentwicklungsprozesses zu verstehen. Um dies möglichst effizient zu gestalten und Unterstützung bei der Einführung eines secure Software Development Life Cycle (SSDLC) zu bieten, wurden bereits vor einigen Jahren Verfahren und Modelle erarbeitet.

Dieser Vortrag soll daher einen kurzen Vergleich des OWASP-eigenen Projekts OpenSAMM mit den bekanntesten Vertretern BSIMM und Microsoft SDL bieten.

Der Schwerpunkt liegt allerdings auf Erfahrungsberichten aus dem täglichen Einsatz von OpenSAMM in Unternehmen. Positive Erkenntnisse, aber auch fehlende Aspekte sollen dabei von der ersten Analyse, über die Etablierung bis hin zum Regelbetrieb veranschaulicht werden. 

=== Amir Alsbish — IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten ===

Wie in anderen Bereichen, weicht die Theorie auch im Bereich der Informationssicherheit von der Wirklichkeit ab. In dieser Präsentation werden auf Probleme eingegangen, die sich für die Verantwortlichen für die Informationssicherheit in Unternehmen ergeben. Am Beispiel von interner und externer Softwareentwicklung in Projekten, soll gezeigt werden, wie die Sicherheit durch die Kombination von Personen, Prozessen, Verträgen und Technologie auf pragmatischem Werg erhöht werden kann. Dabei werden konkrete Erfahrungen und Beispiele zu unterschiedlichsten Themen aufgezeigt. Insbesondere sollen dabei kostenfreie Blueprints z.B. aus diversen OWASP Projekten, Tools wie das SDL Threat Modeling Tool, oder Hardening Vorgaben wie beispielsweise den CIS Vorgaben angesprochen werden, mit denen positive Erfahrungen gesammelt wurden. Weiterhin soll gezeigt werden, welchen Mehrwert Checklisten für Unternehmen darstellen, auch wenn diese von vielen Unternehmen abgelehnt werden. Abschließend soll auf einen Ansatz eingegangen werden, mit denen fehlendes Budget ausgeglichen werden kann.

 

=== Juraj Somorovsky — How To Break XML Signature and XML Encryption ===

Extensible Markup Language (XML) is a syntax for serialization of tree-shaped data structures. This standard is used for data storage, data transmission or in Web Services. It is employed in a large number of major web- based applications, ranging from business communications, e-commerce, cloud computing, and financial services over healthcare applications to governmental and military infrastructures. In order to secure sensitive XML data, the W3C standardization group has specified application of cryptographic primitives in XML documents. The resulted standards have become XML Signature and XML Encryption. They allow to ensure basic security properties -- integrity, authenticity, and confidentiality -- of arbitrary XML data. In this work, we present two practical attacks on XML-based SOAP Web Services interfaces breaking these security properties in the exchanged XML documents.

First, we present XML Signature wrapping attacks. Using these techniques, the attacker who is in possession of a validly signed SOAP message can execute arbitrary functions on the Web Service interface on behalf of the message signer. We demonstrate practical impacts of this attack by its application on Web Service interfaces of two major cloud systems: Amazon and Eucalyptus.

Second, we describe a practical attack on XML Encryption, which allows to decrypt a ciphertext by sending related ciphertexts to a Web Service and evaluating the server response. We show that an adversary can decrypt a ciphertext by performing only 14 requests per plaintext byte on average. This poses a serious and truly practical security threat on all currently used implementations of XML Encryption.

=== ''Invited Talk'': Thomas Roessler (W3C) — Von Webseiten zu verteilten Cloud-Anwendungen: Entwicklungen in der Web-Sicherheit ===

HTML5 verändert die Landschaft, in der Webapplikationen entwickelt werden. Das Web wird zu einer Infrastruktur, mit deren Hilfe interaktive Cloud-Applikationen mit komplexen, verteilten und abhängigen browserseitigen Komponenten entwickelt werden. Als Konsequenz verschieben sich unsere Konzepte von Web-Sicherheit und die Rollen, die Webserver und Browser in diesen Konzepten spielen. Der Vortrag wird einen Überblick aktueller und kommender Technologien im Web liefern und eine Vorschau auf neue Sicherheits-Technologien wie Content Security Policy bieten.

 

= Infos fuer Sponsoren =
=== Infos für Sponsoren ===

Als Sponsor des German OWASP Day 2011 setzen Sie ein klares Zeichen: Sie unterstützen ''den'' deutschen Branchentreffpunkt im Bereich Web Application Security und stärken so sichtbar das Image Ihres Unternehmens als Experte in diesem stark wachsenden Gebiet.

Dieses Jahr findet die deutsche OWASP-Konferenz in München statt. Im Rahmen einer konferenzbegleitenden Ausstellung können Sie die Teilnehmer mit einem eigenen Stand von Ihren Produkten und/oder Dienstleistungen überzeugen. Wir erwarten zwischen 100 – 150 Teilnehmer aus verschiedenen Branchen, insbesondere Finanz-, eBusiness- und Telekommunikationsindustrie. Sollten Sie nicht ausstellen wollen, so bieten wir Ihnen die Möglichkeit des “Gold-, Silber oder Bronze-Sponsorings” (Logo- oder Roll-Up). Ihr Logo mit Link ist in jedem Fall bei uns auf der Landing Page.

Mehr Infos zum Sponsoring sind [[Media:OWASP_D_2011_SponsorenInfo_GHE_2011_06_11_version1_0x.pdf|diesem PDF]] zu entnehmen.

Alle Sponsoren-Einnahmen dienen ausschließlich der Kostendeckung der Konferenz sowie gegebenenfalls der Mission der unabhängigen und [https://www.owasp.org/index.php/About_OWASP#Tax_Status:_501.28c.29.283.29_Not-For-Profit_Organization gemeinnützigen] OWASP Foundation (501c3 Not-For-Profit).

= Kontakt =
=== Kontakt ===

[mailto:orga2011@owasp.de orga2011@owasp.de]

Unseren Pressekontakt finden Sie [[Germany/press|auf dieser Seite]].

= Medienpartner =
=== Medienpartner ===

{| style="background: white repeat scroll 0% 0%;width:99%"
|-
| [[Image:Hakin9 logo.gif|left|de.hakin9.org]]
| [[Image:It-grundschutz logo.png|left|www.grundschutz.info]]
| [[Image:KES Logo.png|left|150x75px|www.kes.info]]
|}

 

= English Version =
=== English Version ===
== Welcome ==

The German section of the Open Web Application Security Project (OWASP) conducted the 4th German OWASP Day. The conference took place on November 17, 2011 in Munich. The German OWASP Day is primarily oriented towards a German speaking audience but presentations in English are also welcome. The 4th OWASP German Day in 2011 will extend the range of typical security conferences with contributions covering development, operation and test of web-based applications. No marketing talks please.

== Opinions from Participants ==

<blockquote>It was very interesting and relevant. Great opportunity for socialzing </blockquote>

<blockquote>My expectations were more than fulfilled </blockquote>

<blockquote>Great benefit, competent speakers, networking, building of a continuous exchange of experiences </blockquote>

<blockquote>Simply great! </blockquote>

<blockquote>The pre-event dinner was fantastic </blockquote>

== Conference Sponsors ==

{| cellspacing="5" cellpadding="2" border="0" align="left" style="width:99%;margin-bottom:1em;"
|-
! align="left" style="border-bottom:1px solid black;min-width:10em" colspan="3" | Platin
|-
| [[Image:Riverbed.jpg|left|link=http://www.riverbed.com/|www.riverbed.com]]
|-
! align="left" style="border-bottom:1px solid black;min-width:10em" | Gold
! align="left" style="border-bottom:1px solid black;min-width:10em" | Silber
! align="left" style="border-bottom:1px solid black;min-width:10em" | Bronze
|-
|
[[Image:Optimabit logo 692.33p.jpg|left|228x51px|link=http://www.optimabit.com/|www.optimabit.com]] [[Image:Schutzwerk-300x29.png|left|link=http://www.schutzwerk.com/|www.schutzwerk.de]] [[Image:SecureNet-Logo-240x56.png|left|link=http://www.securenet.de/|www.securenet.de]] [[Image:Trustwave_logo.jpg|left|233x40px|link=https://www.trustwave.com/|www.trustwave.com]] [[Image:Sonicwall.png|left|link=https://www.sonicwall.com/|www.sonicwall.com]] [[Image:Cancom.jpg|left|link=http://www.cancom.de/|www.cancom.de]] [[Image:Imperva_250x34.jpg|left|link=https://www.imperva.de/|www.imperva.de]]

|
[[Image:Gemalto brand fullcol web.png|left|link=http://gemalto.com/financial/ebanking/index.html|gemalto.com]] 
[[IMage:Airlock_ergon.png‎|left|152x55px|link=http://www.airlock.ch|www.airlock.ch]] 

|
[[Image:Telecons.kl.jpg|left|link=http://www.tele-consulting.com/|www.tele-consulting.com]] [[Image:Sicsec-130x39.png|left|link=http://sicsec.de/|www.sicsec.de]] [[Image:Astaro_sophos.png|left|link=http://www.astaro.com|www.astaro.com]]

|}

== When ==

*Pre-event Dinner: Wendsday, 16'th November 2011
*Conference: Donnerstag, den 17'th November 2011

== Venue ==

The conference will be located at [http://maps.google.de/maps?f=q&source=s_q&hl=en&geocode=&q=nh+muenchen+dornach+Einsteinring&aq=&g=Einsteinring+20,+85609+Munich&ie=UTF8&hq=nh&hnear=Einsteinring,+Dornach+85609+Aschheim,+M%C3%BCnchen,+Bayern&ll=48.147019,11.714859&spn=0.048105,0.13175&z=14 NH-Hotel München Dornach] .

== Pre-event Dinner ==
* when: Wendsday, 16'th November 2011
* where: Augustiner Bräustuben, Landsberger Str. 19, 80339 München
[http://maps.google.de/maps?q=LANDSBERGER+STRASSE+19+80339+M%C3%9CNCHEN&hq=&hnear=0x479e7601b699ffd5:0x4be4ced9008a615b,Landsberger+Stra%C3%9Fe+19,+D-80339+M%C3%BCnchen&gl=de&ei=12GhTpmxPMTusga_h73pAg&sa=X&oi=geocode_result&ct=image&resnum=1&ved=0CB0Q8gEwAA Map und Streetview]
* S-Bahn [http://efa.mvv-muenchen.de/mvv/XSLT_TRIP_REQUEST2?language=en Journey Planner]: from Hauptbahnhof S1, S2, S3, S4, S6, S7, S8 to Hackerbrücke, 5 minutes walk

== Organisation ==

*Birgit Bernskötter (Extern)
*Georg Hess (Chapter Leader)
*Bruce Sams (Board Member)
*Tobias Glemser (Board Member)
*Achim Hoffmann (Board Member)
*Ulrike Petersen (Board Member)

 

== Call for Presentations / Speaker Agreement ==

'''CfP is closed.'''

To submit a proposal, please submit online an abstract of the presentation (500 to 4000 chararters) and a brief biography (150 to 800 characters). Please also state the desired length: 25 or 40 minutes (excl. 5 minutes for discussion). You can also attach a preliminary version of your presentation. (Please watch out for mistakes as we take your abstract and publish this 1:1 into our program).

We are interested in all topics related to Web Application Security and OWASP, in particular:

*Technical presentations related to operations
*Frameworks and best practices for secure development
*Cloud Security
*Privacy in Web Applications
*Secure Development Lifecycle
*Metrics for application security
*Security awareness programs for developers, testers, architects and project owners
*Security management for applications in the corporate environment
*Application security for Outsourcing and Offshoring projekts
*Field reports from corporations regarding the institution of Web Application Security processes, internal and external auditing etc.
*OWASP in your workplace, university, etc.

Depending on the number of submissions we will offer either one or two tracks. If a proposal is accepted, we may contact you regarding the length. All presentations will be published on the conference website under the OWSAP license. Therefore all speakers must accept and sign the [[Speaker Agreement|OWASP Speaker Agreement]] without changes prior to the conference. It requires that you use one of the following templates: [[Media:OWASP_Presentation_template.ppt|PPT]], [[Media:OWASP_Presentation_template.pptx|PPTX]], [[Media:OWASP_Presentation_template.odp|ODF/OpenOffice]].

Unfortunately we can't cover any travel expenses or costs for accomodations.

'''Participants and speakers are all warmly invited to attend the evening program on the 16th of November 2011. '''

 

=== Program Committee ===

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*Dirk Wetter

 

=== Dates ===

*'''Submissions no later than September 9, 2011''' only online via [https://www.easychair.org/conferences/?conf=owaspger11 Easychair].
*Please read and follow the requirements above: Abstract, bio, length and maybe slides!
*Notification of acceptance by September 16, 2011
*Program to be online: September 20, 2011
*Prefinal submission of the slides by October 20, 2011
*Conference: November 17, 2011

 

== Registration Fees ==

*Non-Member = 279,00 EUR + 19% VAT
*<s>Non-Member (Early Bird) = 219,00 EUR + 19% VAT (*) </s>
*OWASP Member = 219,00 EUR + 19% VAT
*<s>OWASP Member (Early Bird) = 189,00 EUR + 19% VAT (*) </s>
*Students = 59 EUR + 19% VAT (**)

(*) Early-Bird registration was open 'til 10.10.2011

(**) Proper proof of student status is required on site.

== Registration ==

Registration is open, please visit [https://www.optimabit.com/owasp/ 4. German OWASP Day Registration ].

== Contact ==

[mailto:orga2011@owasp.de orga2011@owasp.de]

= Archive =
=== Archive ===
== Eintrittspreise ==

Für den 4. OWASP German Day 2011 gelten die folgenden Preise:

*<s>normaler Teilnehmer (Early Bird) = 219,00 EUR + gesetzl. MwSt (*) </s>
*normaler Teilnehmer = 279,00 EUR + gesetzl. MwSt = 332,01 EUR
*<s>OWASP-Mitglied (Early Bird) = 189,00 EUR + gesetzl. MwSt (*) </s>
*OWASP-Mitglied = 219,00 EUR + gesetzl. MwSt = 260,61 EUR
*Studenten = 59 EUR + gesetzl. MwSt = 70,21 EUR (**)

(*) Eine Registrierung zu Early-Bird-Preisen war bis zum 9.10.2011 möglich

(**) Ein gültiger Studenten- oder Hausausweis o.ä. ist bei der Registrierung vor Ort vorzulegen.

 

== Anmeldung ==

Bitte melden Sie sich für die Konferenz und die Vorabendveranstaltung auf der [https://www.optimabit.com/owasp/ Anmeldungseite] an.

= CfP =
=== CfP und Speaker Agreement ===

'''Der CfP ist geschlossen'''

Die deutsche Sektion des Open Web Application Security Project (OWASP) richtet die zum vierten Mal eine deutsche OWASP-Konferenz aus: den 4. German OWASP Day. Das German OWASP Chapter ruft für diese Konferenz einen Call for Presentations (CfP) aus. Die Konferenz richtet sich primär an ein deutsches Publikum. Die Konferenzsprache ist Deutsch, Vorträge in Englisch sind auch willkommen. Der OWASP German Day 2011 ist eine klassische technologieorientierte Security-Konferenz, die Fachvorträge zu Entwicklung, Betrieb und Test von webbasierten Anwendungen bietet. Auch fachübergreifende, nicht-technische Themen sind
willkommen, bitte keine Marketingvorträge.

== Einreichungen von Vorträgen ==

Für Vortragsvorschläge bitten wir um eine Kurzzusammenfassung oder eine Vorabversion des Vortrags. Die Zusammenfassung sollte nicht weniger als 500 (maximal: 4000) Zeichen lang sein, damit das Programmkomitee eine gute Entscheidungsgrundlage hat. (Bitte auf Orthographie achten, da die Zusammenfassung so wie sie ist ggf. im Programm erscheint). Die gilt ebenso für die obligatorische Kurzbiographie (150-800 Zeichen). Präsentationen können 25 oder 40 Minuten dauern (exklusive 5 Minuten Diskussion), bitte Wunschlänge vermerken.

Erwünscht sind alle Themen mit Bezug zu Webapplikationssicherheit und OWASP, insbesondere:

*Praxisrelevante technische Vorträge
*Sichere Entwicklungs-Frameworks und Best Practices
*Sichere Webanwendungen in der Cloud
*Secure Development Lifecycle
*Security-Awareness-Programme für Entwickler, Tester, Architekten und Auftraggeber
*Security-Management von Anwendungen im Unternehmen
*Anwendungssicherheit bei Outsourcing- und Offshoring-Projekten
*Erfahrungsberichte aus Unternehmen, insbesondere bzgl. Einführung von Application-Security-Prozessen, internem und externem Auditing etc.
*OWASP in Ihrem Unternehmen, Ihrer Hochschule etc.
*Anwendungssicherheit und Metriken
*Datenschutz bei Webanwendungen

Abhängig von der Anzahl eingehender Vorträge bieten wir ein oder zwei Tracks an. Wird der Beitrag akzeptiert, kann ggfs. Rücksprache bzgl. der Länge erfolgen. Folien der Vorträge werden unter der freien [[OWASP Licenses#Licensing_of_OWASP_Website_Content|OWASP Lizenz]] auf der Konferenzwebseite veröffentlicht. Daher muss bei Annahme des Beitrags durch das Programmkomitee das [[Speaker Agreement|OWASP Speaker Agreement]] ohne Änderung akzeptiert und unterschrieben werden. Das Speaker Agreements sieht vor, dass die Standardfoliensätze von OWASP verwendet werden ([[Media:OWASP_Presentation_template.ppt|PPT]], [[Media:OWASP_Presentation_template.pptx|PPTX]], [[Media:OWASP_Presentation_template.odp|ODF/OpenOffice]]).

Kosten (für Reise und Unterkunft) können wir leider nicht übernehmen.

'''Alle Teilnehmer sowie Vortragende sind herzlich eingeladen zur Vorabendveranstaltung am 16.11.2011.'''

== Programmkomitee ==

*Bruce Sams
*Martin Johns
*Kai Jendrian
*Boris Hemkemeier
*[[User:Dirk_Wetter|Dirk Wetter]] (koordinierend)

 

== Termine ==

*Einreichungen bis '''09.09.2011''' ausschließlich online über https://www.easychair.org/conferences/?conf=owaspger11 .
*Bitte geben sie alle vortragsrelevanten Informationen an (siehe Call for Presentations oben): Abstract, Bio, Länge, ggf. Foliensätze
*Benachrichtigung der Vortragenden: 16.09.2011
*Programm online: 20.9.2011
*Einreichung der Foliensätze (prefinal): 20.10.2011
*Konferenz: 17.11.2011

 <headertabs /> 

[[Category:OWASP_AppSec_Conference]] [[Category:Germany]] [[Category:Europe]]