vorige Präsentation: A4 - Insecure design | zurück zum Buch-Kapitel [esc] | Nächste Präsentation A6 - Komponenten
Auf Platz 5 der OWASP Top 10 2021: Security Misconfiguration.
Sicherheitsrelevante Fehlkonfiguration kann auf jeder Ebene der Anwendung, inkl. Plattform, Web- und Anwendungsserver, Frameworks oder Programmcode vorkommen. Die Zusammenarbeit zwischen Entwicklerinnen und Administratorinnen ist wichtig, um eine sichere Konfiguration aller Ebenen zu gewährleisten.
In größeren Projekten / Firmen ist eine Arbeitsteilung üblich zwischen Entwicklung (Development) und Systemadmistration (Operations).
Für eine Web-Applikation muss man dabei mindestens folgende Schichte beachten:
Jeder dieser Schichten gilt es richtig zu konfigurieren und Sicherheits-Updates einzuspielen.
Wenn es eine Arbeitsteilung zwischen Development und Operations gibt ist zu klären wer für welche Schicht zuständig ist.
Zwei Szenarien:
Dafür gibt es oft schon fertige Konfigurationen, oder Tutorials. Ein guter Suchbegriff ist “hardening”.
Keine Software ist sicher, in jeder Software werden Sicherheitsprobleme entdeckt. Die relevante Fragen sind: werden Sicherheitsprobleme die bekannt werden möglichst schnell behoben? Und in Folge: Wenn ein Update zur Verfügung steht, wird es möglichst schnell installiert?
vorige Präsentation: A4 - Insecure design | zurück zum Buch-Kapitel [esc] | Nächste Präsentation A6 - Komponenten
/
#