Drucksache: Windows Developer 12.18 - Was tun gegen die REST-Unsicherheit?
Im Windows Developer 12.18 ist ein Artikel über die Sicherheit der REST-Architektur erschienen.
Gibt es beim REST, dem "Representional State Transfer" eigentlich irgend was zu schützen? Und wenn ja, wo und wie? Und wieso?
Was ist ja wohl klar: Die Daten des Web Services. Wo? Während des Transports und auf dem Server, so wie immer wenn es um Websicherheit geht. Womit auch das "Wie? klar ist: Wie bei einer Webanwendung. Und wieso? Na, weil sonst garantiert irgendwann ein Cyberkrimineller daherkommt und sich über den REST-Service her macht.
Ein weitere Zusammenfassung des Artikels entfällt diesmal - wie sollte die auch aussehen? Denken Sie einfach daran, dass ein Web Service eigentlich nur eine Webanwendung ohne eigenen Client ist. Und damit den gleichen Gefahren ausgesetzt ist wie jede normale Webanwendung auch. Weshalb für die Absicherung die gleichen Forderungen wie für diese gelten. Nur dass es bei einem Web Service eben nicht wie bei einer Webanwendung "Traue nie dem Client" heißt, sondern "Traue nie den anderen". Oder auch "Traue niemandem außer dir selbst".
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Fielding, Roy Thomas: "Architectural Styles and the Design of Network-based Software Architectures"; Doctoral dissertation, University of California, Irvine, 2000
- [2] OWASP REST Security Cheat Sheet
- [3] OpenID
- [4] OAuth 2.0
- [5] OpenID Connect
- [6] Eilers, Carsten: "Von Semantik und Tokens"; Windows Developer 9.2018
- [7] Eilers, Carsten: "Confused Deputy 2015"; PHP Magazin 4.2015
- [8] Eilers, Carsten: "Fälschungsalarm auf dem Server"; PHP Magazin 3.2015
- [9] Eilers, Carsten: "XML-Sicherheit – XXE, XSLT und etwas SSRF"; PHP Magazin 1.2016
- [10] OWASP Top 10 - 2017 - The Ten Most Critical Web Application Security Risks (PDF)
- [11] Eilers, Carsten; entwickler.de: "Incident Response: Was passiert, wenn etwas passiert?"
- [12] RFC 7519 - JSON Web Token (JWT)
- [13] JSON Web Token Introduction - jwt.io
- [14] Eilers, Carsten: "HTML5 Security - Cross Origin Requests"
Trackbacks