22:
Sicherheit? ... hast du sicher nur geträumt! Absolut sicher ist man nirgends und nichts ist beständiger als der Wandel! Also warum sich die Mühe machen und einem Gespenst hinterher jagen? Es gibt ja keine Garantie!
Und doch gibt es Gründe, warum ein Entwickler von Web-Applikation trotzdem über das Thema nachdenken sollte. 100%ige Sicherheit lässt sich sicher nicht erreichen, nur reichen oft auch 60% oder 90%.
Beim diesem Thema ist vor allem eines wichtig: die Rahmenbedingungen müssen Beachtung finden! Erstelle ich eine Anwendung, die rein lesenden Zugriff auf bereitgestellte Daten besitzen soll, so muss sicher gestellt sein, dass von aussen keine schreibenden Aktionen getätigt werden können. Wird die Möglichkeit angeboten, eigene Informationen einbringen zu können, muss diese so eingeschränkt sein, das der Nutzer nur auf diesen Bereich Einfluss nehmen kann.
Bei user generated content ist es zudem notwendig, die potentielle Gefahr für den Webseiten-Betreiber zu analysieren. Hat anstößiger Inhalt rechtliche Konsequenzen (Copyright, Grundgesetz, …), ist mit lediglich mit einer Abmahnung wegen weniger harten Gesetzes-Konflikten zu rechnen oder kratzt er lediglich am Image des Betreibers oder der Marke/Firma?
Für all diese Bereiche gibt es unterschiedliche Mess-Latten, was Sicherheit wirklich bedeutet. Es ist in der Tat nicht nur ein Thema, was aus Sicht des Entwicklers zu betrachten ist, sondern vielmehr ein Zusammenspiel vieler Verantwortungs-Bereiche:
Aus Sicht der Entwicklung möchte dieses Türchen ein paar wenige Resourcen mit auf den Weg geben, die helfen, Anwendungen sicher zu gestalten:
Und noch ein paar interessante Threads aus dem Forum:
Euer Nikolaus
Und doch gibt es Gründe, warum ein Entwickler von Web-Applikation trotzdem über das Thema nachdenken sollte. 100%ige Sicherheit lässt sich sicher nicht erreichen, nur reichen oft auch 60% oder 90%.
Beim diesem Thema ist vor allem eines wichtig: die Rahmenbedingungen müssen Beachtung finden! Erstelle ich eine Anwendung, die rein lesenden Zugriff auf bereitgestellte Daten besitzen soll, so muss sicher gestellt sein, dass von aussen keine schreibenden Aktionen getätigt werden können. Wird die Möglichkeit angeboten, eigene Informationen einbringen zu können, muss diese so eingeschränkt sein, das der Nutzer nur auf diesen Bereich Einfluss nehmen kann.
Bei user generated content ist es zudem notwendig, die potentielle Gefahr für den Webseiten-Betreiber zu analysieren. Hat anstößiger Inhalt rechtliche Konsequenzen (Copyright, Grundgesetz, …), ist mit lediglich mit einer Abmahnung wegen weniger harten Gesetzes-Konflikten zu rechnen oder kratzt er lediglich am Image des Betreibers oder der Marke/Firma?
Für all diese Bereiche gibt es unterschiedliche Mess-Latten, was Sicherheit wirklich bedeutet. Es ist in der Tat nicht nur ein Thema, was aus Sicht des Entwicklers zu betrachten ist, sondern vielmehr ein Zusammenspiel vieler Verantwortungs-Bereiche:
- Legal
- Operating
- Development
- Brand
Aus Sicht der Entwicklung möchte dieses Türchen ein paar wenige Resourcen mit auf den Weg geben, die helfen, Anwendungen sicher zu gestalten:
- Grundlagen der Sicheren Web-Programmierungen
- Sichere LAMP-Anwendungen
- Chorizo Security Scanner - für die regelmäßige Prüfung einer Applikation
- PHPIDS ― Security Layer für deine Web-Anwendungen
- Übersicht über Sicherheitsprobleme bei Web-Anwendungen
Und noch ein paar interessante Threads aus dem Forum:
Euer Nikolaus
Kommentar