Clemens Hübner
Software Security Engineer
Software Security Engineer
Munich, Germany
Actions
For more than fifteen years, Clemens Hübner has been working at the interface between software and security. After roles as a software developer and in penetration testing, he joined inovex in 2018 as a software security engineer. Today, he supports development projects at the conception and implementation level, trains colleagues, and advises on DevSecOps.
Clemens Hübner arbeitet seit mehr als fünfzehn Jahren an der Schnittstelle zwischen Software und Sicherheit. Nach Stationen als Softwareentwickler und im Penetration Testing ist er seit 2018 als Software Security Engineer bei inovex tätig. Heute unterstützt er Entwicklungsprojekte auf der Konzeptions- und Implementierungsebene, schult Kollegen und berät zu DevSecOps.
Links
Area of Expertise
Topics
Built-in security: Secure web apps using modern browser features en de
For the development of secure web applications, developers can make use of an increasing number of security functionalities in established browsers instead of having to develop them themselves at great expense or creating dependencies through 3rd-party libraries.
For example, the WebAuthn standard can be used to implement passwordless authentication. For cryptographic operations, the WebCrypto API provides simple interfaces for hashing, encrypting or signing in all common browsers. With the Reporting API, information about security events can be collected directly from the productive user environment, for example via CSP violations.
The talk will give an overview of the distribution of these features and demonstrate the possibilities for their use in development projects. Participants will learn about various security APIs in current browsers and their development status. They will learn how these features can be used in the development of secure web applications and gain practical insights for implementation and deployment in own software.
Passwordless future: WebAuthn and Passkeys in practice en de
Passwords are bad. How can we replace them?
With WebAuthn, a promising option for passwordless authentication in web browsers was published in 2019, but was rarely adopted. Just until 2022, when both Google and Apple introduced the integration of WebAuthn in their identity systems, giving hope for further progress.
This session will explain the basics of WebAuthn and Passkeys and evaluate the state of adoption both on client and server side. It will then focus on the practical realization when developing a web application: How to build a passwordless authentication yourself? Which features make it easier or more difficult to use in web applications? What are the impressions from practical use? In the end, the talk will also shed a light on future developments in the WebAuthn environment.
Learning from the mistakes of others: Understanding web security through counterexamples en de
New hacks and leaks in web applications are reported almost daily, which is why the importance of security is no longer seriously disputed by anyone. At the same time, there is often a lack of direct reference to existing risks in day-to-day development and security activities are subordinated to other tasks.
This presentation uses specific vulnerabilities and successful exploits to highlight the relevance of security measures in web development projects. Based on the OWASP Top Ten, specific security incidents will be explained, the errors identified and how they can be avoided.
Using real vulnerabilities, participants learn how they can avoid them themselves. Whether unsecured APIs, incorrect use of JWTs, poorly designed authentication processes or the use of hacked libraries: practical examples are used to illustrate the relevance of web security activities
Aus den Fehlern anderer lernen: Web Security verstehen durch Gegenbeispiele en de
Quasi täglich wird von neuen Hacks und Leaks in Web-Anwendungen berichtet, weshalb die Wichtigkeit von Security inzwischen von niemandem mehr ernsthaft bestritten wird. Gleichzeitig fehlt im Entwicklungsalltag oft der direkte Bezug zu den bestehenden Risiken und Security-Aktivitäten werden anderen Aufgaben untergeordnet.
Dieser Vortrag stellt anhand von spezifischen Schwachstellen und erfolgreichen Exploits die Relevanz von Security-Maßnahmen in Web-Entwicklungsprojekten in den Vordergrund. Ausgehend von den OWASP Top Ten werden konkrete Sicherheitsvorfälle erklärt, die Fehler benannt und erläutert, wie sich diese vermeiden lassen.
Die Teilnehmenden lernen anhand realer Schwachstellen, wie sie diese selbst vermeiden können. Ob ungesicherte APIs, fehlerhafte Nutzung von JWTs, schlecht designte Authentifizierungsprozesse oder die Nutzung gehackter Libraries: anhand praktischer Beispiele wird die Relevanz von Web-Security-Aktivitäten deutlich gemacht
Passwordless future: WebAuthn und Passkeys in der Praxis en de
Passwörter sind schlecht. Wie können wir sie ersetzen?
Mit WebAuthn wurde 2019 eine vielversprechende Option für die passwortlose Authentifizierung in Webbrowsern veröffentlicht, die jedoch kaum angenommen wurde. Dies änderte sich Mitte 2022, als sowohl Google als auch Apple die Integration von Passkeys in ihre Identitätssysteme einführten, was Hoffnung auf weitere Fortschritte macht.
In diesem Vortrag werden die Grundlagen von WebAuthn und Passkeys erläutert und der Stand der Einführung sowohl auf Client- als auch auf Serverseite bewertet. Anschließend wird der Schwerpunkt auf die praktische Umsetzung bei der Entwicklung einer Webanwendung gelegt: Wie kann man selbst eine passwortlose Authentifizierung aufbauen? Welche Merkmale erleichtern oder erschweren den Einsatz in Webanwendungen? Was sind die Eindrücke aus der praktischen Anwendung? Schließlich wird der Vortrag auch einen Blick auf zukünftige Entwicklungen im WebAuthn-Umfeld werfen.
Built-in security: Sichere Webapps dank moderner Browserfeatures en de
Zur Entwicklung von sicheren Javascript-Anwendungen können Webdeveloper:innen auf immer mehr Security-Funktionalitäten in Browsern zurückgreifen, anstatt sie aufwendig selbst entwickeln zu müssen oder Abhängigkeiten durch 3rd-party-Bibliotheken zu schaffen.
Beispielsweise kommt zur Umsetzung einer passwortlosen Authentifizierung der WebAuthn-Standard zum Einsatz. Für kryptografische Operationen bietet die WebCrypto-API in allen gängigen Browsern einfache Schnittstellen für Hashing, Verschlüsseln oder Signieren an.
Der Vortrag gibt einen Überblick über die Verbreitung dieser und weiterer Features und demonstriert die Möglichkeiten für einen Einsatz in Entwicklungsprojekten. Die Teilnehmer lernen verschiedene JavaScript-Security-APIs in aktuellen Browsern und deren Entwicklungsstand kennen. Sie erfahren, wie diese Features bei der Entwicklung von sicheren Webanwendungen genutzt werden können. Sie bekommen praxisorientierte Einblicke zur Umsetzung und Implementierung in eigenen Webanwendungen.
Navigating the Security Maze: An interactive adventure en de
Although there has been talking about DevSecOps for years, it is still far from being a solved problem.
This interactive session brings the challenges of security in the development process to life: Participants are confronted with several scenarios from everyday project work and their decisions help shape the further course of the presentation. They have to reconcile security requirements with budget, development speed and user-friendliness and bring the project safely from the idea to live operation.
The session covers the entire development process, but each run is different as the audience decides the story via online-voting: How to proceed with the development project and think about security at the same time?
Navigating the Security Maze: Ein interaktives Abenteuer en de
Obwohl seit Jahren in aller Munde, ist DevSecOps noch lange kein gelöstes Problem.
Diese interaktive Session macht die Herausforderungen von Sicherheit im Entwicklungsprozess erlebbar: Die Teilnehmenden werden mit mehreren Szenarien aus dem Projektalltag konfrontiert und gestalten mit ihren Entscheidungen den weiteren Verlauf des Vortrags mit. Sie müssen dabei Sicherheitsanforderungen mit Budget, Entwicklungsgeschwindigkeit und Benutzerfreundlichkeit in Einklang bringen und das Projekt sicher von der Idee zum Livegang bringen.
Der Vortrag deckt den gesamten Entwicklungsprozess ab und ist mit jedem Durchlauf einzigartig, denn das Publikum entscheidet per Online-Voting wie die Story verläuft: Wie kann die Entwicklung erfolgreich umsetzt werden und gleichzeitig Security nicht aus den Augen verloren werden?
The Good, the Bad and the Ugly - Security between AI and Software Development en de
AI has been on everyone's lips not just since the masses gained access to LLMs and has long since reached a high level of hype. The new technologies are increasingly finding their way into almost all areas - including the development of secure software.
This presentation provides an overview of the relationship between AI, software development and security. It highlights the various aspects associated with the new possibilities: How can AI support development and how can this happen securely? How can systems with AI components themselves be developed and operated securely? What new vulnerabilities need to be considered? And, last but not least: What opportunities does AI offer for attackers? How are threat models changing as a result?
Finally, we take a look at future developments in the field of AI and security and the question of how companies can prepare for the challenges of the near future.
The Good, the Bad and the Ugly – Security im Spannungsfeld von KI und Entwicklung en de
KI ist nicht erst seit dem Zugang der breiten Masse zu LLMs in aller Munde und hat sich längst auf einem hohen Hype-Niveau eingependelt. Die neuen Technologien halten mehr und mehr in fast allen Bereichen Einzug – so auch in der Entwicklung sicherer Software.
Dieser Vortrag gibt einen Überblick zum Zusammenhang von KI, Softwareentwicklung und Security. Er beleuchtet die unterschiedlichen Aspekte, die mit den neuen Möglichkeiten verbunden sind: Wie kann KI bei der Entwicklung unterstützen und wie kann das sicher passieren? Wie können Systeme mit KI-Komponenten selbst sicher entwickelt und betrieben werden? Welche neuen Schwachstellen müssen berücksichtigt werden? Und, nicht zuletzt: Welche Möglichkeiten bietet AI für Angreifer? Wie verändern sich deshalb Threat Models?
Abschließend werfen wir einen Blick auf zukünftige Entwicklungen im Bereich KI und Security und die Frage, wie Unternehmen sich auf die Herausforderungen der nächsten Zukunft vorbereiten können.
Developer Week '24 Sessionize Event
Clemens Hübner
Software Security Engineer
Munich, Germany
Links
Actions
Please note that Sessionize is not responsible for the accuracy or validity of the data provided by speakers. If you suspect this profile to be fake or spam, please let us know.
Jump to top