2023 - Seite 2 - ctwebdev

Wie APIs angegriffen werden und wie Entwickler sicher entwickeln – OWASP API Security Top 10 2023

Web-APIs stecken unter der Haube moderner Single-Page-Webanwendungen und mobiler Apps und machen einen großen Teil des Internetverkehrs aus. Sicherheit ist auch hier, beim Entwerfen und Entwickeln von Schnittstellen, ein Thema, das nach wie vor vernachlässigt wird. Dem versucht das Open Web Application Security Project (OWASP) entgegenzuwirken, eine Non-Profit-Organisation es, deren Ziel es ist, die Sicherheit im Web zu verbessern.

Deren wohl bekannteste Veröffentlichung sind die OWASP Top 10, eine Liste der zehn kritischsten Sicherheitsrisiken in Webanwendungen. Weniger geläufig sind die OWASP API Security Top 10, eine Aufzählung der kritischsten und am weitesten verbreiteten Sicherheitslücken in Web-Schnittstellen. Ende 2019 veröffentlichte die „API Security“-Arbeitsgruppe der OWASP eine erste Version, im Juni 2023 erschien eine aktualisierte Version der API-Liste.

Der Vortrag stellt anhand der OWASP API Security Top 10 Angriffe auf Schnittstellen vor, geht den Ursachen auf den Grund und zeigt, was bei der Entwicklung dagegen hilft. Was müssen Architekten und Entwickler bei Mechanismen zur Authentifizierung und Autorisierung beachten? Warum darf man sich nicht auf Standardeinstellungen von Frameworks und Komponenten verlassen? Welche Sicherheitslücken entstehen durch fehlende Eingabevalidierung? Warum ist eine Schutzmaßnahme wie Rate Limiting wichtig, und wodurch kann ein Angreifer sie umgehen?

Remote Mob Programming — Zuhause, aber nicht allein

Das ganze Team sitzt in einem Online-Meeting und entwickelt gemeinsam. Einer tippt den Code, die anderen diskutieren. Klingt ungewöhnlich? Das ist Remote Mob Programming, eine spannende Arbeitsweise für verteilte Teams. Seit über 3 Jahren arbeitet Joshua Töpfer Vollzeit in einem Remote Mob und möchte nicht mehr anders arbeiten. Was es damit auf sich hat, was die Vor- und Nachteile dieser Methodik sind und wie ihr herausfinden könnt, ob diese Methodik etwas für euer Team ist, erfahrt ihr in diesem Vortrag.

Nuxt 3 in Aktion — Mehr als nur Vue

Meta-Frameworks haben sich in den letzten Jahren rapide entwickelt — so auch Nuxt mit seiner letzten Major-Version Nuxt 3!

In diesem Talk nehmen wir das vue-basierte Meta-Framework genauert unter die Lupe und finden heraus, was Unterschiede zu purem Vue und auch Unterschiede zu anderen Meta-Frameworks sind.

Das heißt: Ein bisschen Theorie, dann einiges an Livecoding! Zusammen entwickeln wir eine kleine Anwendung, werfen wi einen Blick auf Nitro (die Server-Engine von Nuxt), integrieren APIs und deployen die Anwendung 🤯

Building Dynamic Web Apps with SvelteKit and Firebase

Svelte has taken the frontend development world by storm with its innovative approach to building dynamic user interfaces. With the recent release of SvelteKit, the power of Svelte expands to full-blown application development. But how do you leverage this potential on the Firebase platform?

Join us in sharing what we learned at Loql and let us take you on a journey into the realm of web app development with SvelteKit and Firebase. In this talk, we’ll guide you through the process of setting up a SvelteKit project and seamlessly integrating it with Firebase. You’ll discover how to leverage powerful Firebase features like Authentication and Cloud Firestore to create dynamic, responsive, and real-time web applications.

Whether you’re a beginner eager to dive into the world of Svelte and Firebase or an experienced developer looking for pragmatic insights and real-world examples, this talk is for you. Get ready to unlock the true potential of SvelteKit on the Firebase platform and elevate your web app development to new heights!

Wunderwaffe Webbrowser: JavaScript-API-Highlights

Die Zeiten, in denen JavaScript lediglich für Pop-up-Fenster und Formularüberprüfung verwendet werden konnten, sind lange vorbei. Moderne Browser unterstützen zahlreiche APIs mit überraschenden Features: Hardwarezugriff, Sicherheitsprotokolle, Push-Benachrichtigungen, Verwaltung von Zahlungsdaten und einiges mehr. In diesem Vortrag, gespickt mit zahlreichen Codebeispielen, werfen wir einen Blick auf viele APIs, die Sie möglicherweise noch nicht kannten, aber hoffentlich gleich ausprobieren möchten.

UX — Ein Drama in drei Akten

In Software-Projekten beobachte ich immer wieder ähnliche Herausforderungen, die sich einer guten User Experience in den Weg stellen. Die drei größten will ich gerne mit euch teilen.
Bist du Entwickler und fragst dich manchmal, was zur Hölle diese UXler eigentlich machen und ob man das wirklich braucht?
Oder bist du als UXler schon mal im Projekt auf die Rolle des Pixel-Schubsers reduziert worden?
Kannst du als PO gut zwischen Forderungen und Anforderungen unterscheiden?
Ob PO, UXler oder Entwickler: UX ist eine Teamaufgabe.
Ziel des Vortrags ist es, euch konkrete Wege aufzuzeigen, wie ihr im Alltag effektiv — und gemeinsam — daran mitwirken könnt, eine großartige User Experience zu gestalten.

htmx: Interaktive Webanwendungen ohne JavaScript

Seit Jahren dominieren React, Angular & Co. die Webentwicklung, wenn es darum geht, interaktive Webanwendungen zu entwickeln. Klassische Multi-Page Applications gelten schnell als ungeeignet, wenn mehr als die Anzeige von Seiten benötigt wird.

Als mögliche Alternative dazu bietet sich mittlerweile die JavaScript-Bibliothek htmx an. Mit ihr können Web-Anwendungen, die z.B. mit Django oder Laravel entwickelt wurden, mit wenig Aufwand um umfangreiche Interaktivität erweitert werden. Bei der Entwicklung muss dafür kein JavaScript verwenden.

Dieser Vortrag stellt htmx und die Schwesterbibliothek hyperscript vor und zeigt, wie damit komplexe UIs für Web-Anwendungen werden können.

KoliBri — Die barrierefreie und gestaltbare Web Component-Bibliothek

Der HTML-WEBSTANDARD ist an sich sehr “offen” spezifiziert, um möglichst langlebig und robust zu sein. Es kommt daher häufig vor, dass HTML-Kompositionen nicht ohne Weiteres barrierefrei, semantisch und valide sind.

KoliBri baut direkt auf den WEBSTANDARDS des W3C auf (Framework-agnostisch), ist dabei eine generische Referenzimplementierung des WCAG-STANDARDS und der BITV für die Barrierefreiheit und als eine Multi-Theming-fähige Präsentationsschicht umgesetzt. Es gibt keinerlei fachlichen Bezug und keine Datenübertragungsfunktionalitäten. Damit ist KoliBri für die Realisierung beliebiger webbasierter Benutzeroberflächen unterschiedlicher Corporate Designs und Styleguides wiederverwendbar.

In diesem Talk schauen wir gemeinsam, welche Herausforderungen KoliBri für uns löst und wie stark man davon partizipieren kann.

Guerilla Organisation Enablement — entwicklergetriebene Transformation

Leistungsstarke Teams werden oft durch langsame Organisationen behindert, wodurch ihre Wirkungskraft geschmälert wird. Aber was kann man als Otto Normalentwickler dagegen tun?

Ich glaube, dass ganze Unternehmen von Grund auf verändert werden können, angefangen beim technischen Kern, ganz ohne Mandat.

Auf diesem Weg befinden sich einige Organisationen — mit aussichtsreichen ersten Ergebnissen. In diesem Vortrag teile ich mit dir Methoden aus meiner Praxis, z.B. Do then discuss, Help others first, Hold up a mirror, Maximise work not done, Make excellence easy und Take responsibility. Ich möchte dich dazu inspirieren, ähnliches zu tun. Wirst du dich der Revolution anschließen?

Neue Schulen der testgetriebenen Entwicklung

TDD ist nicht gleich TDD. Im Laufe der Jahre haben EntwicklerInnen unterschiedlichste Stile und Herangehensweisen entwickelt. Manche davon haben einen Namen und sind detailliert beschrieben, wie z.B. London oder Chicago — die Schulen der der testgetriebenen Entwicklung.

Neben den bewährten TDD-Schulen wie London oder Chicago, gibt es aber auch neuere wie München oder St. Pauli. Wir schauen uns an, was sie zu bieten haben und wann sich der Einsatz lohnt.

Kategorie: 2023