Fünf falsche Ansichten über Web-Security

Jeremiah Grossman von Whitehat Security hat sich für die US-Zeitschrift VARBusiness Gedanken über fünf Mythen gemacht, die bei Anwendern über die Sicherheit von Web-Applikationen verbreitet sind. Eine kurze Zusammenfassung:

  1. The Web site uses SSL, so it’s secure.
    SSL (Secure Sockets Layer) bedeutet erst einmal nur, dass die Informationen, die bei einer Verbindung übertragen werden, verschlüsselt sind. Nicht mehr und nicht weniger. Der Server, mit dem ein Client kommuniziert, kann jedoch durch einen Hackerangriff kompromittiert worden sein.
  2. A firewall protects the Web site, so it’s safe.
    Eine Firewall prüft, wer oder was Zugriff zu einer Website haben darf, aber nicht die Inhalte einer Datenübertragung. In erlaubtem Traffic kann jedoch ein Angriffsmuster verborgen sein.
  3. The vulnerability scanner reported no security issues, so the web site is secure.
    Ein Vulnerability Scanner kann nicht vor allen Fehlern in einer Web-Applikation schützen. Enthält die Anwendung eine Sicherheitslücke, ist ein IDS (Intrusion Detection System) in der Regel machtlos.
  4. Web application security is a developer problem.
    Software hat Bugs. Punkt. Softwareentwicklung ist heute meist die Arbeit mehrerer Programmierer. Selbst wenn zwei Entwickler jeweils „sichere“ Teilanwendungen abliefern, können Lücken bei ihrer Kombination entstehen, die nicht beabsichtigt waren.
  5. Security assessments are performed on the Web site every year, so it’s secure.
    Die wenigsten Web-Anwendungen bleiben statisch, sondern werden fortlaufend weiterentwickelt. Bei jeder Überarbeitung können neue Lücken entstehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.