vorige Präsentation: Unsichere direkte Objektreferenzen | zurück zum Buch-Kapitel [esc] | Nächste Präsentation Verlust der Vertraulichkeit sensibler Daten
Die OWASP beschreibt dieses Problem allgemein so:
Sicherheitsrelevante Fehlkonfiguration kann auf jeder Ebene der Anwendung, inkl. Plattform, Web- und Anwendungs-server, Frameworks oder Programmcode vorkommen. Die Zusammenarbeit zwischen Entwicklern und Administratoren ist wichtig, um eine sichere Konfiguration aller Ebenen zu gewährleisten.
In größeren Projekten / Firmen ist eine Arbeitsteilung üblich zwischen Entwicklung (Development) und Systemadmistration (Operations).
Für eine Web-Applikation muss man dabei mindestens folgende Schichte beachten:
Jeder dieser Schichten gilt es richtig zu konfigurieren und Sicherheits-Updates einzuspielen.
Wenn es eine Arbeitsteilung zwischen Development und Operations gibt ist zu klären wer für welche Schicht zuständig ist.
Zwei Szenarien:
Dafür gibt es oft schon fertige Konfigurationen, oder Tutorials
Keine Software ist sicher, in jeder Software werden Sicherheitsprobleme entdeckt. Die relevante Fragen sind: werden Sicherheitsprobleme die bekannt werden möglichst schnell behoben? Und in folge: Wenn ein Update zur Verfügung steht, wird es möglichst schnell installiert?
An dieser Stelle sollten Sie sich fragen: bei den Webprojekten, an denen Sie beteiligt waren … wer ist für welchen Teil der Konfiguration / Updates zuständig? Wo liegt Ihre persönliche Verantwortung?
vorige Präsentation: Unsichere direkte Objektreferenzen | zurück zum Buch-Kapitel [esc] | Nächste Präsentation Verlust der Vertraulichkeit sensibler Daten
/
#