Skip to content

Drucksache: PHP Magazin 5.17 - Das Web - Alles sicher oder was?

Im PHP Magazin 5.2017 ist ein Überblick über den aktuellen Stand der Web-Sicherheit erschienen.

Die Zeit der Schwachstellen und Angriffe mit klangvollen Namen wie ShellSchock und Heartbleed scheint vorbei zu sein. Aber auf den Sicherheitskonferenzen wurden trotzdem etliche neue bzw. verbesserte Angriffe vorgestellt.

Erinnern Sie sich noch? 2014 sah es zeitweise so aus, als ging das ganze Internet in Flammen auf. Immer neue Schwachstellen und Angriffe mit klangvollen Namen wie ShellSchock, Heartbleed, Poodle und Co. wurden entdeckt, und man kam aus dem Patchen ja kaum noch heraus ([1], [2]).

2016 konnte nicht mit so schönen Namen für seine Schwachstellen aufwarten, und zugegeben, auch nicht mit derartig spektakulären. Trotzdem wurden auf den Sicherheitskonferenzen zig Vorträge zu neuen oder verbesserten Angriffen auf, Schwachstellen in und Schutzmaßnahmen für Webanwendungen, -server und -clients gehalten. Zeit, da mal einen Blick drauf zu werfen. Also auf einige mehr oder weniger willkürlich ausgewählte Vorträge, denn ein Überblick über alle Vorträge würde jedes Heft sprengen.

Schon der kleine Ausschnitt zeigt aber: Im Bereich der Websicherheit sind noch lange nicht alle möglichen Schwachstellen und Angriffe entdeckt worden. Gerade im Bereich Sicherheit ist lebenslanges Lernen unerlässlich. Und nicht nur Lernen, sondern auch Umsetzen, denn auf manche neue Entwicklung müssen die vorhandenen Webanwendungen angepasst werden, um nicht ins Hintertreffen zu geraten. Von den vorgestellten Vorträgen erfordern vor allem die zur CSP eine Reaktion - wie sicher ist Ihre CSP-Policyeinstellung? Wenn die etwas komplexer ist als nur aus 2-3 Direktiven und 1-2 Origins zu bestehen ist die Wahrscheinlichkeit groß, dass es Nachbesserungsbedarf gibt. Lassen Sie die Regeln doch mal vom CSP Validator prüfen, und wenn der was zu meckern hat sollten Sie mal über einen Nonce-basierten Ansatz nachdenken. Es sei denn, Sie sind 100%ig davon überzeugt, dass Ihre Webanwendung garantiert keine XSS-Schwachstelle enthält. Und auch keine andere Schwachstelle, deren Ausnutzung über die CSP erschwert wird. Sind Sie das? Ich wäre es nicht.

Nachtrag 20.7.:
Einen Überblick über einige interessante, im Artikel aber mangels Platz nicht berücksichtige Vorträge gibt es hier.
Ende des Nachtrags

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Websecurity - Einige Vorträge von Sicherheitskonferenzen im Überblick

Vorschau anzeigen
Heute gibt es keinen Text zu den Top-10 der der IoT-Schwachstellen nach OWASP, sondern außer der Reihe ergänzend zum Artikel im PHP Magazin 5.17 ein Übersicht über einige weitere Vorträge zum Thema "Websecurity" von v

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!