Grundlagen von JSON Web Tokens

JWTs sind als offener Standard definiert (RFC 7519) (Siehe Beitrag über RFC und HAL) und sind in vielen Programmiersprachen und Plattformen implementiert. Ein JWT besteht aus drei Teilen: Header, Nutzlast (Payload) und Signatur. Diese Teile sind durch Punkte getrennt und bilden einen kompakten Token, die man beispielsweise in einem https-Header oder einer URL übertragen kann.

Struktur von JWT

Header

Der Header enthält Informationen über den verwendeten Algorithmus zur Signatur des Tokens und den Token-Typ. Typischerweise sieht ein Header folgendermaßen aus:

{
"alg": "HS256",
"typ": "JWT"
}

Nutzlast (Payload)

Die Nutzlast enthält die eigentlichen Informationen, die man zwischen den Parteien austauscht. Diese Informationen bezeichnet man auch als Claims. Der Payload kann sowohl vordefinierte als auch benutzerdefinierte Claims enthalten.

Siehe nachfolgendes Beispiel:

{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}

oder

{
  "user_id": "42"
}

Im zweiten Beispiel ist user_id der Claim-Schlüssel und 42 der zugehörige Wert. Diesen Claim kann man beispielsweise in einem JWT verwenden, um den authentifizierten Benutzer zu identifizieren.

Signatur

Die Signatur dient dazu, die Integrität des Tokens sicherzustellen und zu verhindern, dass man dessen Inhalt manipulieren kann. Dier Erstellung erfolgt durch die Verwendung eines geheimen Schlüssels und des im Header angegebenen Algorithmus (z. B. HMAC-SHA256).

Vorteile von JWT

Stateless und skalierbar

JWTs ermöglichen eine stateless Authentifizierung, da die Nutzlast alle erforderlichen Informationen enthält. Dies bedeutet, dass man keine Sitzungsdaten auf der Serverseite speichern muss. Dadurch sind und bleiben Anwendungen leichter skalierbar.

Einfache Implementierung

Da JWTs auf dem weit verbreiteten JSON-Format basieren, ist ihre Implementierung einfach und sie unterstützt eine Vielzahl von Bibliotheken und Frameworks.

Selbstenthaltend

JWTs enthalten alle erforderlichen Informationen in sich selbst. Dadurch sind keine zusätzlichen Datenbankabfragen zur Verifizierung des Benutzers erforderlich.

Nutzungsszenarien von JWT

Authentifizierung

Man nutzt JWTs häufig zur Authentifizierung von Benutzern in Single-Page-Anwendungen (SPAs) Single Page Applications und APIs.

Autorisierung

Man kann ein JWT auch zur Autorisierung verwenden. Dies lässt sich bewerkstelligen, sofern Informationen über die Rollen und Berechtigungen des Benutzers in den Claims des Tokens enthalten sind.

Informationen teilen

Da JWTs einfach zu erstellen und zu verifizieren sind, kann man sie verwenden, um Informationen zwischen verschiedenen Diensten oder Parteien sicher auszutauschen.

Sicherheitsbedenken und Best Practices

Sichere Übertragung

Man sollte JWTs immer über sichere Kommunikationskanäle wie https übertragen, um Man-in-the-Middle-Angriffe zu verhindern.

Gültigkeit bzw. Ablaufzeit

Tokens sollten eine Gültigkeit bzw. Ablaufzeit (Expiration Time) enthalten, um das Risiko einer Kompromittierung zu minimieren. Sobald ein Token abgelaufen ist, kann man nicht mehr auf die Ressource zugreifen. Dies schafft eine weitere Sicherheitsinstanz, da der Angreifer, selbst wenn er den Zugang gehacked hat, im Besitz des immer wieder neu generierten Tokens sein muss.

Aufbewahrung von geheimen Zugangsdaten

Man sollte den geheimen Schlüssel, den man zur Signatur von JWTs verwendet, sicher aufbewahren und vor unbefugtem Zugriff schützen.

Die Wahl des richtigen Algorithmus

Man sollte einen sicheren Algorithmus für die Signatur von Tokens verwenden. Beispielsweise HMAC-SHA256 oder RSA. Dies, davon ist auszugehen, kann sich mit der fortschreitenden Entwicklung der Quantencomputertechnologie ändern. Folglich ist es immer von enormer Wichtigkeit, die Entwicklungen dahingehend zu beobachten.

Token – Hijacking)

Man sollte darauf achten, dass JWTs nicht im Local Storage oder Session Storage des Browsers gespeichert sind. Dies kann die Seite bzw. Anwendung anfällig für Cross-Site-Scripting-Angriffe (XSS) machen. Daher kann es Sinn machen, https-Only-Cookies zu verwenden.

Fazit

JSON Web Tokens bieten eine moderne, flexible und sichere Methode zur Authentifizierung und Autorisierung von Benutzern in Webanwendungen und APIs. Durch die Stateless-Natur, einfache Implementierung und Selbstenthaltung von JWTs lassen sich skalierbare Lösungen für die Identitätsverwaltung erstellen. Dennoch sollte man sich der Sicherheitsrisiken bewusst sein und Best Practices befolgen, um die Integrität und Sicherheit der Anwendung zu gewährleisten.

Der Beitrag JWT – JSON Web Tokens – Die moderne Authentifizierungsmethode erschien zuerst auf CEOsBay.

Änderungen am Protokoll werden von den Besitzern einer eigenen Kryptowährung und eines Governance-Tokens mit dem Namen UNI abgestimmt und dann von einem Entwicklerteam umgesetzt. UNI-Token wurden zunächst an frühe Nutzer des Protokolls verteilt: Jede Ethereum-Adresse, die vor dem 1. September 2020 mit Uniswap interagiert hatte, erhielt die Möglichkeit, 400 UNI-Token zu beanspruchen, die zu dem Zeitpunkt etwa 1.400 US-Dollar wert waren. Die Marktkapitalisierung des UNI-Tokens liegt Stand heute bei 4.3 Milliarden Euro.

Wie alles begann

Uniswap wurde am 2018 von Hayden Adams, einem ehemaligen Maschinenbauingenieur gegründet. Das Unternehmen Uniswap erhielt Investitionen von Risikokapitalfirmen, darunter Andreessen Horowitz, Paradigm Venture Capital, Union Square Ventures LLC und ParaFi. Händler und Investoren haben Uniswap primär wegen der Verwendung im dezentralen Finanzwesen (DeFi) genutzt.

Das Protokoll

Im Gegensatz zu zentralisierten Börsen nutzt Uniswap Liquiditätspools, statt als Market Maker zu fungieren. Dies geschieht, um primär effizientere Märkte zu schaffen. Einzelpersonen und Bots – so genannte „Liquiditätsanbieter“ – stellen der Börse Liquidität zur Verfügung, indem sie einem Smart Contract ein Token-Paar hinzufügen, dass von anderen Nutzern nach der Constant – Product Regel gekauft und verkauft werden kann. Im Gegenzug erhalten die Liquiditätsanbieter einen Prozentsatz der für dieses Handelspaar erzielten Handelsgebühren.

Bei jedem Handel wird eine bestimmte Menge an Token aus dem Pool für eine bestimmte Menge des anderen Tokens entfernt, wodurch sich der Preis anpasst. Für die Auflistung von Token werden keine Gebühren verlangt, so dass eine große Menge an Ethereum-Token verfügbar sind und die Nutzer sich nicht bei einer zentralen Stelle registrieren müssen.

Als Open Source kann der Code von Uniswap auch genutzt werden, um neue bzw. Alternative Börsen zu erschaffen. Ein solches Vorhaben in Deutschland erfordert meines Wissens nach einer Lizenz von der BaFin. Auch wenn die Gründung in einem anderen Land erfolgt, doch die Transaktionen von und in Deutschland stattfinden, kann eine solche selbsterstellte Plattform äußerst schnell in Verruf bringen, wenn man nicht im Besitz der notwendigen Lizenzen ist.

Sicherheit

Um es gleich vorwegzunehmen: Uniswap ist bereits seit mehreren Jahren auf dem Markt und kann als seriöse Plattform bezeichnet werden. Das hohe Handelsvolumen, dass pro Tag mittlerweile im 3-stelligen Millionen Euro Bereich „schwimmt“, spricht für das Vertrauen, welches Anleger der Plattform entgegenbringen.

Im April 2020 wurde die Website von Uniswap vorübergehend abgeschaltet, nachdem Hacker versucht hatten, mit einem Reentrancy-Hack in die Börse einzudringen.

Relativ zeitgleich bzw. wenig vorher wurde Lendf.me attackiert. Die hatten etwas weniger Glück. Denn die Hacker konnten mehr als 25 Millionen Dollar in Kryptowährung von der Kreditplattform entwenden.

Was ist ein Reentrancy-Hack?

Der Reentrancy-Hack ist eines der destruktivsten Angriffe, die in der Regel Solidity-Smart Contracts als Angriffsziel haben. Der Angriff erfolgt, wenn eine Funktion einen externen Aufruf an einen anderen nicht vertrauenswürdigen Smart Contract tätigt. Der nicht vertrauenswürdige Smart Contract ruft dann rekursiv die ursprüngliche Funktion auf, um Kryptowährung zu transferieren.

Wenn der Smart Contract seinen Status nicht aktualisiert, bevor der Transfer der Kryptowährung stattfindet, kann der Angreifer die Abhebungsfunktion wiederholen, um die Geldmittel des Smart Contracts abzuziehen.

Wie kann man nun dieses Protokoll bzw. die Plattform nutzen?

Hier geht es auf die Seite von Uniswap. Im Anschluss rechts oben auf Launch App und es kann losgehen. Im Grunde genommen erklärt sich alles von selbst.

Der Tausch

Wenn man eine bestimmte Kryptowährung swapen (tauschen) will, geht es auf den „Tauschen“ Reiter. Oben den Betrag eingeben, den man zur Verfügung stehen hat und unten die Währung, in die man tauschen will. Done. Hierbei sollte man auf jeden Fall die Transaktionskosten im Auge behalten. Auch wenn ETH mittlerweile das langerwartete Update erhalten hat, kann es relativ schnell teuer werden, wenn gerade viel auf der Chain los ist.

NFTs

Die NFTs gibt es unter dem Reiter NFTs. Genauso wie bei einem normalen Onlineshop die Ware anklicken, die Wallet verbinden und zahlen. Done.

Der Liquiditätspool

Zu dem Pool geht es über den Pool Reiter. Man benötigt immer ein Kryptowährungspaar. Folglich wählt man links und rechts jeweils eine Währung aus und stellt diese in dem sogenannten Pool zur Verfügung. Werden nun Transaktionen getätigt, die diese Token benötigen, wird man belohnt. Man kann es als provisionierte Entlohnung betrachten, weil man die Transaktionen erleichtert indem man Liquidität zur Verfügung stellt.

Gebühren

Bei der Anmeldung auf der Plattform und der Erstellung eines Liquiditätspools wird man mit 0,3 % an den Transaktionsgebühren der Pools beteiligt. Außerdem hat man Zugriff auf den prozentualen Anteil der Liquidität, den man bereitstellt. Wenn man also beispielsweise 60% der Gesamtliquidität für den Liquiditätspool bereitstellt, erhält man auch 60% der gesamten Transaktionsgebühren.

Wo gibt es den Source Code?

Hier auf GitHub.

Achtung

Ich empfehle ausdrücklich, immer die Verwendung von Hardware Wallets, wenn es um die Lagerung und Interaktion mit Kryptowährungen bzw. NFTs geht. Ich habe auf meinem Blog die Ledger und Trezor Wallet vorgestellt. Man sollte sich die Beiträge auf jeden Fall anschauen, wenn man beabsichtigt in diesem Bereich tätig zu werden. Nichtsdestotrotz No Financial Advice 😉

Der Beitrag Uniswap – Krypto Handelsplattform erschien zuerst auf CEOsBay.

Es wird alles schlimmer!

Wirklich? Als Unternehmer und politisch engagierter Mensch verfolge ich auch die Nachrichten mit. Eine schreckliche Nachricht jagt die andere. Die Reichen werden reicher, die Armen ärmer. Es gibt immer mehr Kriege, Gewaltverbrechen, Naturkatastrophen. Viele Menschen tragen solche beängstigenden Bilder im Kopf. Besonders in den sozialen Medien, bei der jede(r) in einer gewissen künstlichen Blase festsitzt und nur noch mit auf die eigene Person zugeschnittenen Feeds (Ein Feed ist eine ständig aktualisierte Liste der neuen Inhalte, die von den Accounts gepostet werden, denen ein Nutzer in den sozialen Medien folgt. Die meisten Social Media-Feeds sind aber nicht rein chronologisch angeordnet und basieren auf den selbstgewählten Kontakten, sondern werden von einem Algorithmus gesteuert) zugemüllt wird.

Unser Gehirn verführt uns zu einer dramatisierenden Weltsicht, die mitnichten der Realität entspricht, wie der geniale Statistiker und Wissenschaftler Hans Rosling erklärt. Wer Factfulness gelesen hat, wird ein sicheres, auf Fakten basierendes Grundgerüst erhalten, um die Welt so zu sehen, wie sie wirklich ist. Die zehn gängigsten Arten von aufgebauschten Geschichten erkennen, bessere Entscheidungen treffen können, gegebenenfalls die persönliche Sachlichkeit so steigern, dass in der Zukunft eine offenere, neugierige und entspannte Geisteshaltung, in der man nur noch Ansichten teilt und Urteile fällt, die auf soliden Fakten basieren. Und im Zeitalter des Social Engineerings, der Botnet’s und Fake News, ist dies bitter nötig. Diese Begriffe werden im Anschluss kurz erklärt.

Was ist Social Engineering?

Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Cyber-Kriminelle verleiten das Opfer auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren. Social Engineering ist an sich nichts Neues und dient seit Menschengedenken als Grundlage für die unterschiedlichsten Betrugsmaschen. Im Zeitalter der digitalen Kommunikation ergeben sich jedoch äußerst effektive, neue Möglichkeiten für Kriminelle, mit denen sie Millionen von potenziellen Opfern erreichen können.

Botnet?

Ein Botnet oder Botnetz ist eine Gruppe automatisierter Schadprogramme, sogenannter Bots. Die Bots (Roboter) werden auf vernetzten Rechnern ausgeführt, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen, ohne Einverständnis des Eigentümers, zur Verfügung stehen. In Deutschland gab es 2010 über 470.000 solcher Bots, von denen im Durchschnitt etwa 2.000 pro Tag aktiv waren. Die Initiative botfrei.de (Da kann man übrigens auch einen Phishing Selbsttest machen) des Verbandes der Internetwirtschaft ECO stellte 2014 bei 220.000 stichprobenartig untersuchten Computern 92.000 verseuchte Systeme mit rund 725.000 infizierten Dateien fest, woraus sich eine Infektionsrate von ca. 40 Prozent aller Computer in Deutschland errechnet.

Laut Bericht zur Lage der IT-Sicherheit in Deutschland 2015 des Bundesamtes für Sicherheit in der Informationstechnik (BSI), wurden im ersten Halbjahr 2015 in Deutschland täglich bis zu 60.000 Systeme neu infiziert. Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Benutzer auf deren Computer und nutzen sie für ihre Zwecke. Die meisten Bots können von einem Botnetz-Operator (Auch Bot-Master oder Bot-Hirte genannt) über einen Kommunikationskanal überwacht werden und Befehle empfangen. Dieser wird in der Fachsprache als Command-and-Control-Server bezeichnet. Kurz: C&C-Server. Ich muss da immer an Command & Conquer denken. Ja, das ist ein Computerspiel 😉 Über Botnet’s kann man Bücher schreiben. Daher werde ich dieses Thema wohl zu einem späteren Zeitpunkt nochmal aufgreifen.

Fake News

Als Fake News werden im engeren Sinn und im Rahmen aktueller Debatten vor allem das Streuen von Falschmeldungen als Propagandamittel verstanden. Meist soll mit deren Hilfe der politische Diskurs verschoben sowie Angst und Hass gegenüber bestimmten Personengruppen geschürt werden. Fake News lassen sich anhand ihres Umgangs mit realen Gegebenheiten und Ereignissen unterteilen in: Aus dem Kontext gerissene Meldungen,
manipulierte Nachrichten und erfundene Geschichten. Auch bei diesem Thema kann man so richtig in die Tiefe gehen. Doch dies werde ich gewiss nicht auf diesem Blog machen, da man hierzu genug Informationen im Netz findet. Nur aufpassen, dass man bei der Recherche auch keine Fake News erwischt 😉

Weiter zum Buch

Es gehört aus meiner Sicht zu den besten und unterhaltsamsten Sachbüchern dieses Jahrzehnts. Ich finde es etwas schade, dass der Autor im Jahr 2017 verstorben ist. Dadurch hat er das Erscheinen und den Erfolg seines Buches Factfulness leider nicht mehr erleben und feiern dürfen. Auch hat die Menschheit damit eine Person verloren, die einen großen Beitrag für ein gutes Miteinander geleistet bzw. das Potential dafür signifikant gesteigert hat.

Factfulness beginnt mit einem aus 13 Fragen bestehenden Quiz, die im Multiple-Choice-Verfahren beantworten werden. Wobei jeweils nur eine Antwort richtig ist. Teilt mir Eure Resultate gerne gleich zu Beginn mit, wenn Ihr Eure Antworten evaluiert. Ich möchte jetzt aber nicht zu viel verraten. Ich war fasziniert über meine Resultate. Die 13 Fragen werden heute von fast 90% aller Befragten und in allen Bildungsschichten fast auf die gleiche Weise falsch beantwortet. Man hat auch Schimpansen nach dem Zufallsprinzip für die 13 Fragen jeweils den Buchstaben A, B oder C auswählen lassen und das Ergebnis war im Gesamtdurchschnitt lediglich zu 60% falsch.

Das Buch zeigt gekonnt falsche Wahrnehmungen auf, die leider allzu oft auch zu falschen Entscheidungen in der Politik und Wirtschaft führen. Rosling zeigt aber auch die Methoden auf, wie man sich dieser Falschwahrnehmungen entziehen kann und eine ganz große Hilfe dabei spielt das Hinterfragen von vorgelegten Statistiken und anderem Zahlenmaterial. Das Buch eignet sich auch hervorragend als legitime Informationsquelle.

Klimawandel?

Das Zahlen und Datenmaterial hat – so berichtet der Autor selbst in seinem Buch Factfulness – auch den ehemaligen Kandidaten für das US-Präsidentenamt, Al Gore, begeistert. In einem persönlichen Gespräch bat er Rosling, ob er die Diagramme auch für seine Präsentationen bezüglich des Klimawandels nutzen dürfe. Rosling lehnte dies ab. Doch die Begründung dafür findet Ihr im Buch!

Muss gleich in mein Meeting und habe noch 40 Minuten Zeit, um mich vorzubereiten.

In diesem Sinne – Wünsche ich Euch noch einen schönen Abend und bis morgen! Da geht es dann um virtuelle Maschinen 😉

Der Beitrag Factfulness – Buchempfehlung erschien zuerst auf CEOsBay.