Web-Sicherheit

April 14, 2011

Zwei weitere Rezensionen

Filed under: Allgemein — sebastiankuebeck @ 15:59
Tags: , , , ,

Kürzlich sind zwei weitere Rezensionen erschienen, eine von Guido Strunck und eine weitere von Frank Große im Magazin it-administrator.

Herr Strunk spricht unter anderem den wichtigsten Grund an, warum ich das Buch geschrieben habe:

Das Buch richtet sich an Softwareentwickler, die sich noch nicht intensiver mit Informationssicherheit und dem Schreiben sicheren Codes befasst haben. Und die somit einen Einstieg in die Themen Informationssicherheit sowie Methoden sicherer Webentwicklung suchen.

Tatsächlich wird man in den meisten Büchern erst einmal mit technischen Details erschlagen und wenn man sich mit der Materie noch nicht näher beschäftigt hat, ist es äußerst schwierig, sich da zurecht zu finden.
Daher habe ich erst einmal versucht, ein grundlegendes Verständnis für das Thema Sicherheit zu schaffen und dabei gleich einmal mit den häufigsten Mißverständnissen aufzuräumen, nämlich das es sich bei der Web-Sicherheit um ein rein technisches Thema handelt und dass es prinzipiell nicht möglich ist, eine Webanwendung zu erstellen, die hundertprozentig sicher ist.

Herr Große findet den Titel „Web-Sicherheit“ und den Untertitel „Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen“ irreführend. Möglicherweise hat er sich eher Informationen darüber erwartet, wie man Webapplikationen durch eine sichere Konfiguration des Webservers absichert. Leider funktioniert das nicht! Um Webanwendungen sicher zu bekommen müssen die Anwendung UND der Server sicher sein, wie beispielsweise folgende Statistik des WASC zeigt:

Die Wahrscheinlichkeit, Schwachstellen zu finden, bezogen auf ihren Ursprung, also Fehlkonfiguration oder Programmierfehler. Erster Balken: 43% der Schwachstelln ergaben sich durch Fehler in der Administration und 57% durch Programmierfehler. 85% der überprüften Seiten waren verwundbar durch Fehlkonfigurationen und 58% durch Programmierfehler. Eine sichere Konfiguration hätte die Seiten mit Programmierfehlern also auch nicht sich gemacht.

Und da Webanwendungen im Gegensatz zu Standardsoftware in der Praxis eine extrem hohe Diversität aufweisen (zahlreiche Unternehmen verwenden individuell erstellte Anwendungen) ist es unmöglich, etwas brauchbares über Web-Sicherheit zu schreiben, ohne auf die Programmierung von Webanwendungen einzugehen.

1 Kommentar »

  1. […] in der Rezension (und auch in der von Frank Große) richtig erwähnt enthält das Buch keine Schritt-für-Schritt-Anleitung, mit denen […]

    Pingback von Noch eine nette Rezension – diesmal von Matthias Manns « Web-Sicherheit — Juli 14, 2011 @ 12:34 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: