Web Application Security Tips (V April 2004)

Größe: px
Ab Seite anzeigen:

Download "Web Application Security Tips (V1.00-2. April 2004)"

Transkript

1 Web Application Security Tips (V April 2004) Dieses Dokument einschließlich aller Teile ist urheberrechtlich geschützt. Die unveränderte Weitergabe (Vervielfältigung) des Dokuments ist ausdrücklich erlaubt. Jede weitergehende Verwertung ausserhalb der engen Grenzen des Urhebergesetzes ist ohne Zustimmung des Ingenieurbüro David Fischer GmbH unzulässig und strafbar Ingenieurbüro David Fischer GmbH, Lindenstrasse 21, 4123 Allschwil, Schweiz In vielen frei verfügbaren Quellen wie z.b. dem BSI IT-Grundschutzhandbuch finden Sie qualifizierte Empfehlungen zum sicheren Betrieb von Netzwerken, Betriebssystem und Datenbanken. Konkrete Vorgaben zur sicheren Programmierung und Konfiguration von Web Applikationen sind aber nach wie vor ein Spezialgebiet, welches von anerkannten Standards naturgemäss oft nur allgemein behandelt wird. Die hier publizierten Web Application Security Tips sollen ein Teil dieser Lücke schliessen und beziehen sich hauptsächlich auf die sichere Programmierung und Konfiguration von Web Applikationen wie z.b. E-Commerce Shops, Web Portale oder E-Banking Lösungen. Die Empfehlungen sind aus der täglichen Praxis entstanden und bewusst in der Sprache der Programmierer formuliert, jedoch soweit wie möglich Technologie-neutral gehalten. Für den oft etwas imperativen Text möchten wir uns im Voraus entschuldigen. Überlegen Sie immer auch selbst, ob der entsprechende Vorschlag für Sie Sinn macht. Wir sind jedoch fast sicher, dass Sie bei der genauen Durchsicht - nebst vielen bekannten Empfehlungen - auch eine Reihe von neuen, interessanten Security-Aspekten entdecken. Seite 1 von 17

2 Inhalt: I. Basic Security: minimale Schutzmassnahmen für Web Applikationen 1. Server unprivilegiert starten 2. Default MIME-Type dekonfigurieren 3. Tailoring der Server Funktionalitäten realisieren 4. Keine internen Informationen im Fehlerfall preisgeben 5. Log-Files und Applikation gegen Download sichern 6. Alle CGI und Form Input-Parameter bei jedem HTTP Request neu prüfen 7. Daten-Import von externen Quellen auch prüfen 8. Unzulässige Requests verzögern 9. Unzulässige Requests separat aufzeichnen 10. Server Administrations-Port von Web Service-Port trennen 11. Betrieb ohne Log-Aufzeichnungen verunmöglichen II. Standard Security: für persönliche Daten und einfache Geschäftstransaktionen 12. Nur verschlüsselte HTTPS-Verbindungen verwenden 13. Web Applikationen nicht im Browser integrieren 14. Nur offiziell ausgestellte SSL Server-Zertifikate verwenden 15. Session(-ID) beim Login wechseln 16. Temporäre Cookies als Session-Kontext erzwingen 17. Keine zusätzlichen Session-Kontexte verwenden 18. Keine sensitiven Daten in permanenten Cookies speichern 19. Kein initiales Standard-Passwort setzen 20. Passwort-Speicherung im Web Browser unterdrücken 21. Passwort-Änderung zulassen 22. Logout ermöglichen 23. Passwörter nur als Hashwert speichern 24. Benutzer Accounts bei mehrmaligem falschen Login automatisch sperren 25. Zugriffsverletzungen des Rollenkonzepts immer prüfen und loggen 26. Keine Preise als CGI- oder hidden Formular-Parameter übergeben 27. Login- und Logout-Vorgang der Benutzer protokollieren 28. Business-Transaction Log separat führen 29. Log-Files nicht auf dem eigenen Rechner speichern 30. Remote IP-Adresse vom Reverse Proxy an den Applikationsserver weiterleiten III. High Security: für E-Banking sowie für besonders schützenswerte Daten 31. Verschlüsselungs-Tiefe und -Protokoll kontrollieren 32. Immer vollständige Zertifikats-Kette des SSL Server-Zertifikats übertragen 33. SSL Client-Zertifikate verwenden 34. SSL Server-Zertifikat in spezieller Hardware speichern 35. "Trusted" SSL Library verwenden 36. Starke Authentisierung verwenden 37. URL Whitelist-Filter implementieren 38. Keine Hyperlinks auf fremde Web-Seiten integrieren 39. Session-Timeout kurz halten 40. Keine endlosen Surf-Sessions erlauben 41. Mehrfaches Login des gleichen Benutzers ausschliessen 42. Initial-Authentisierung nicht über ungesicherte Kanäle übertragen 43. Gesperrte Accounts nur nach sorgfältiger Authentisierung wieder entsperren 44. Kryptologische Zufallszahlen-Generatoren verwenden 45. Limiten setzen und Risk-Management implementieren 46. GMT als applikations-interne Zeitbasis verwenden 47. Anonyme Benutzer von authentisierten Benutzern trennen Seite 2 von 17

3 48. Schutzmassnahmen auf Kundeseite fördern 49. Benutzeranfragen und Störungsmeldungen richtig behandeln 50. Angriffsversuche periodisch Auswerten 51. Shutdown-Kriterien und Notfall-Konzepte vorbereiten IV. Weitere Empfehlungen 52. Alle Team-Mitglieder sensibilisieren 53. Qualitätssicherung mit einbeziehen 54. Umsetzung von Security-Massnahmen bei Aufwandschätzungen mit berücksichtigen 55. Auf ausgewogene Sicherheit achten 56. Hilfe anfordern, Übersicht behalten und Risiken delegieren V. Hyperlinks VI. Feedback Seite 3 von 17

4 I Basic Security: minimale Schutzmassnahmen für Web Applikationen Dieses Unterkapitel beschreibt grundlegende Schutzmassnahmen, welche in jeder Web Applikation realisiert werden sollten. Selbst wenn diese "nur" einen öffentlichen Bereich enthält und sich die Benutzer nicht anmelden müssen. 1. Server unprivilegiert starten Der Server sollte immer unter einem unprivilegierten System-Account gestartet werden. Dies verhindert, dass bei einer eventuellen Sicherheitslücke wie z.b. "Buffer-Overflow" der Angreifer direkt die volle Kontrolle über das gesamte Betriebssystem erhält. Bei den HTTP Server-Ports unter 1024 ist ein Starten unter einem privilegierten System-Account (leider) nötig, doch kann in der Konfiguration des Servers (fast) immer noch ein zusätzlicher, unprivilegierter Account spezifiziert werden, unter dessen Kontext die eigentliche Verarbeitung der HTTP Requests erfolgt. 2. Default MIME-Type dekonfigurieren Konfigurieren Sie den Server so, dass dieser bei statischem Content (z.b. Bilder, Text-Files), im Zusammenhang mit unbekannten Datei-Erweiterungen (z.b. ".dat"), nicht einfach die verlangte - und gefundene - Ressource mit einem Default-MIME Type wie z.b. "TEXT/PLAIN" liefert, sondern in einem solchen Fall stattdessen eine Fehlermeldung an den Endbenutzer ausgibt. Durch die genaue Kontrolle der zulässigen MIME-Typen, welche vom Server überhaupt geliefert werden können, verringern Sie die Wahrscheinlichkeit ganz erheblich, dass unerwünscht interne Daten preisgegeben werden. 3. Tailoring der Server Funktionalitäten realisieren Deaktivieren bzw. dekonfigurieren Sie auf dem Server gezielt alle Funktionalitäten, welche nicht benötigt werden. Beispiel: falls eine Remote-Administration nicht nötig ist, so sollten Sie diese dekonfigurieren. Dekonfigurieren Sie im Server auch die Unterstützung exotischer HTTP Request Methoden wie z.b. HEAD, TRACE und DELETE. Üblicherweise wird nur GET und POST benötigt. Falls sich unerwünschte HTTP Request Methoden nicht direkt dekonfigurieren lassen, so stehen oft alternative Möglichkeiten/Schnittstellen auf dem Server zur Verfügung, die HTTP Request Methode zu Prüfen und gegebenenfalls die Netzwerk-Verbindung zum Web Browser ohne Antwort zu schliessen. 4. Keine internen Informationen im Fehlerfall preisgeben Konfigurieren bzw. Programmieren Sie den Server so, dass beim Auftreten eines Fehlers nie interne Fehler-Details wie z.b. einen Stack-Dump oder lokale Umgebungsvariablen im Browser Fenster preisgegeben werden. Bei Applikations- Servern sollten Sie stattdessen nur eine eindeutige Fehler-Id ausgeben, welche mit einer genauen, internen Fehler-Aufzeichnung korrespondiert. Wichtig ist auch, dass der fehlerhafte URL-Request nicht in der Antwort repetiert wird, denn dies kann eventuell dazu führen, dass der Server seine eigene HTML- Antwort vor der Ausgabe selbst (dynamisch) interpretiert und über diesen Mechanismus sich z.b. beliebige Server Side Includes oder Java Server-Pages ausführen lassen (mittels server-seitigem Script Code in der Anfrage). 5. Log-Files und Applikation gegen Download sichern Legen Sie die Log-Files des Servers nicht im HTTP Request Path ab, damit diese in jedem Fall vor einem unerwünschten Download geschützt sind. Konfigurieren Sie zudem den Server so, dass direkt ausführbarer Code niemals herunter geladen Seite 4 von 17

5 werden kann. Deaktivieren Sie unbedingt auch "Directory-Browsing". 6. Alle CGI und Form Input-Parameter bei jedem HTTP Request neu prüfen Prüfen Sie die Input-Parameter bei jedem HTTP Request. D.h. es darf nicht möglich sein, HTML-, Javascript-, ActiveX oder SQL-Code als Input in die Applikation einzuschleusen. Es besteht sonst die Gefahr, dass dieser Code direkt von der Web Applikation ausgeführt wird (z.b. bei SQL) bzw. dass über die Datenbank der Web Applikation dieser Code im Kontext eines anderen Benutzers in dessen Web Browser ausgeführt wird. Beachten Sie auch, dass der Wert von HTML Form Feldern auf Client-Seite sehr einfach "böswillig" gefälscht werden kann und z.b. in Formular Input-Feldern, in welchen sich üblicherweise nur Zahlen selektieren lassen, Cross-Scripting oder SQL-Code auftritt. Besondere Beachtung benötigt auch die oft unterlassene Server-Seitige Prüfung von hidden HTML Form-Parametern oder Parametern von Auswahllisten, Radiobuttons und Checkboxen. 7. Daten-Import von externen Quellen auch prüfen Prüfen Sie beim automatisierten Datenimport von externen Quellen die Daten genau so sorgfältig, wie die Input-Parameter eines HTTP Requests (siehe vorhergehendes Unterkapitel). Dies ist besonders wichtig, wenn die importierten Daten bzw. Fragmente davon direkt im Browser-Fenster Ihrer Endbenutzer ausgegeben werden. Bei einem Unterlassen dieser Massnahme besteht sonst die Gefahr, dass über den Daten- Import böswilliger Code im Browser-Context der Endbenutzer ausgeführt wird. Dazu Ergänzend sollte bei dynamischen erzeugten HTML Text-Fragmenten - welche z.b. aus einer Datenbank stammen - deren Inhalt immer über eine Wrapper-Methode bzw. -Funktion ausgegeben werden, welche alle "exotischen" ASCII-Zeichen wie z.b. ", &, <, >, ", ' und : vor jeder Ausgabe konsequent in die entsprechenden dezimalen HTML Unicode-Zeichen umcodiert (z.b. &#039; statt '). Dadurch stelle Sie sicher, dass ein ausgegebener Text niemals als Script von einem Web Browser interpretiert wird, sondern in jeden Fall "nur" dargestellt wird. 8. Unzulässige Requests verzögern Falls ein unzulässiger bzw. fehlerhafter URL-Aufruf erkannt wird, so sollte die entsprechende Fehlermeldung einige Sekunden (5..10) verzögert ausgegeben werden. Dadurch reduzieren Sie die Bandbreite von Hacking-Versuchen gegenüber der Web Applikation und verringern so die Wahrscheinlichkeit eines erfolgreichen Angriffs. 9. Unzulässige Requests separat aufzeichnen Zeichnen Sie unzulässige URL Requests in einer separaten Log-Datei auf - damit Sie die "Schwarzen Schafe" unter den Endbenutzern besser erkennen können. Zur Aufzeichnung gehört in jedem Fall die genaue Zeit, die remote IP-Adresse sowie das genaue URL des unzulässigen Requests. Bei angemeldeten Benutzern sollte auch die eindeutige Benutzer-Identifikation in die Aufzeichnung mit einfliessen. 10. Server Administrations-Port von Web Service-Port trennen Viele Server verfügen oft über interne "Service-Funktionalitäten", welche z.b. "online Konfigurationsänderungen" oder ein Remote-Shutdown über einen Web Browser zulassen. Trennen Sie den Server Port dieser internen "Service- Funktionalitäten" vom "gewöhnlichen" Server Port, damit Ihre Firewall diese "Service-Funktionalitäten" für (externe) Internet-Benutzer blockieren kann. Beachten Sie in diesem Zusammenhang, dass auch eine spezielle Authorisierung - besonders bei unverschlüsselten HTTP Verbindungen - kein wirksamer Schutz ist und ein Trennen der beiden Server Ports nie ersetzen kann. Seite 5 von 17

6 11. Betrieb ohne Log-Aufzeichnungen verunmöglichen Stellen Sie sicher, dass der Server seinen Dienst verweigert, wenn keine Log- Aufzeichnungen mehr geschrieben werden können (.z.b. wenn kein Disk-Platz mehr zur Verfügung steht). Seite 6 von 17

7 II Standard Security: für persönliche Daten und einfache Geschäftstransaktionen Dieses Unterkapitel enthält - ergänzend zur Basic Security - zusätzliche Sicherheits- Empfehlungen. Z.B. für E-Commerce Shops oder auch für Web Applikationen, welche die Speicherung und Verwaltung persönlicher Daten erlauben. 12. Nur verschlüsselte HTTPS-Verbindungen verwenden Verwenden Sie ausschliesslich das verschlüsselte HTTPS-Protokoll, um persönliche Daten zwischen dem Endbenutzer und der Web Applikation auszutauschen. Die Verschlüsselungs-Tiefe sollte dabei mindestens 128 Bit betragen (bzw. 112 Bits bei 3DES). 13. Web Applikationen nicht im Browser integrieren Liefern Sie die einzelnen Elemente eines Browser-Fensters (HTML-Seite inkl. referenzierte Bilder, HTML-Frames und Animationen, etc.) ausschliesslich von einem Web Server. Bei "zusammengesetzten" HTTP/HTTPS Seiten von mehreren Web Servern vermeiden Sie so die Warnung "Diese Seite enthält sowohl unsichere wie auch sichere Elemente". Ein Mix der Elemente, von zwei oder mehreren HTTPS Servern im gleichen Browser-Fenster, wird zur Zeit von keinem Browser richtig unterstützt - d.h. es wird vom Browser immer nur ein Server-Zertifikat dem Endbenutzer angezeigt, was verunmöglicht, dass der Benutzer die Gültigkeit aller Elemente einer Web Page verifizieren kann. Viele Web Browser kollabieren zudem unter solchen Bedingungen - einzig der Microsoft Internet Explorer "überlebt" eine solche Situation, jedoch auch nur unter der Voraussetzung, dass alle Server-Zertifikate vom Browser als "gültig" betrachtet werden und keine (implizite) Nachfrage nach der Gültigkeit beim Endbenutzer nötig ist. 14. Nur offiziell ausgestellte SSL Server-Zertifikate verwenden Verwenden Sie nie selbst erzeugten SSL Server-Zertifikate, da diese eine Warnungsmeldung im Web Browsers des Endbenutzers zur Folge haben. Die Endbenutzer gewöhnen sich unter solchen Umständen an diese Warnungsmeldung und ein realer Entschlüsselungs-Angriff mit einer "Man in the Middle" Attacke wird später nicht erkannt, d.h. es besteht die Gefahr, dass die vermeintlich gut verschlüsselte Verbindung zur Laufzeit von unberechtigten Dritten abgehört und dechiffriert wird. Das richtige Verhalten bei einer solchen Warnungsmeldung währe eigentlich, dass der Endbenutzer z.b. per Telefon beim Ihrem Support nachfragt, ob ein technischer Grund für eine solche Warnung besteht. Vermeiden Sie darum unbedingt solche Situationen. Das "Importieren" von selbst erstellten Root CA Zertifikaten in den Web Browser ist zwar auf den ersten Blick eine mögliche Lösung. Diese hat jedoch aus der Sicht des Endbenutzers den unerwünschten und eventuell (fatalen) Effekt, dass von nun an der Web Browser jedes abgeleitete (weitere) Zertifikat der neu importierten Root CA ungeprüft akzeptiert und so die Sicherheit gegenüber gefährlichen Web- Inhalten aus der Sicht des Endbenutzers stark reduziert wird. Verwenden Sie keine inoffiziellen Root CA Zertifikaten, welche von Software- Lieferanten zur Inbetriebnahme Ihrer Web Applikation abgegeben wurden. 15. Session(-ID) beim Login wechseln Falls Ihr Applikationsserver bereits vor dem Login-Vorgang eine anonyme Session erzeugt, so sollten der Applikationsserver während des Login-Vorgangs - nach der erfolgreichen Eingabe der Benutzer-Authentisierung - dem Benutzer eine neue Session(-ID) zuweisen. Dies ist besonders wichtig, wenn dabei gleichzeitig ein Übergang vom unverschlüsselten HTTP- Protokoll hin zum verschlüsselten HTTPS-Protokoll erfolgt. Seite 7 von 17

8 16. Temporäre Cookies als Session-Kontext erzwingen Erzwingen Sie durch eine entsprechende Programmierung und Konfiguration des Applikationsservers, dass ausschliesslich temporäre Session-Cookies als Session- Kontext verwendet werden. Sämtliche anderen Verfahren zum Halten des Session- Kontexts führen zu Sicherheitslücken oder sind zu vielen Web Browser-Produkten inkompatibel. Dekonfigurieren Sie auch URL-Rewriting als alternatives Verfahren zum Halten des Session-Kontexts. Programmieren Sie den Applikationsserver so, dass dieser Browser erkennt, bei denen temporäre Session-Cookies deaktiviert wurden: geben Sie in einem solchen Fall dem Endbenutzer eine Fehlermeldung mit der Aufforderung aus, temporäre Session-Cookies für Ihre Web Applikation zuzulassen. Stellen Sie sicher, dass das Secure-Flag im Session-Cookie gesetzt ist. 17. Keine zusätzlichen Session-Kontexte verwenden Halten Sie Ihre Programmierer dazu an, auch in schwierigen Situationen ausschliesslich die server-seitigen Speicher-Strukturen zum Führen von benutzerspezifischen Session-Informationen zu verwenden (sog. server-seitiger Session Context). Das Ergänzen eines Session-Cookies mit zusätzlichen, unabhängigen Kontext-Verfahren wie z.b. FORM/CGI-Parametern, oder auch zusätzlichen Cookies, enthält immer ein zusätzliches Sicherheitsrisiko. 18. Keine sensitiven Daten in permanenten Cookies speichern Speichern Sie in permanenten Cookies nur allgemeine, nicht sensitive Daten, wie z.b. die bevorzugte Sprache des Endbenutzers. Jedoch nie Daten, welchen einen direkten persönlichen oder geschäftlichen Bezug darstellen. 19. Kein initiales Standard-Passwort setzen Vergeben Sie für neue Benutzer-Accounts kein Passwort, welches immer gleich lautet oder aus dem Benutzer-Account Namen leicht abgeleitet werden kann. Verwenden Sie stattdessen ein zufällig generiertes Passwort welches für jeden neunen Benutzer unterschiedlich ist. Lässt sich dies aus betrieblichen Gründen nicht realisieren so müssen Sie mindestens erzwingen, dass ein neuer Benutzer beim der ersten Anmeldung sein Passwort ändern muss. 20. Passwort-Speicherung im Web Browser unterdrücken Verwenden Sie immer die Option AUTOCOMPLETE="off" bei Passwort- Eingabefeldern eines HTML-Formulars. Dadurch wird verhindert, dass das Passwort im Browser (lokal) permanent gespeichert wird, und ein unberechtigter Dritter, welcher sich an den PC setzt, das vom Browser gespeicherte Passwort "automatisch" benutzen kann. 21. Passwort-Änderung zulassen Geben Sie dem Benutzer immer die Gelegenheit, sein Passwort jederzeit - jedoch erst nach einer erfolgreichen Authentisierung - zu ändern. Verlangen Sie bei der Passwort-Änderung zur Sicherheit nochmals das alte Passwort. 22. Logout ermöglichen Geben Sie dem Benutzer immer die Gelegenheit, sich bei der Applikation abzumelden. 23. Passwörter nur als Hashwert speichern Speichern Sie die Passwörter der Benutzer nie im Klartext und auch nicht verschlüsselt in der Datenbank, sondern nur deren Hashwerte bzw. Prüfsummen (z.b. MD5 Algorithmus verwenden). Dadurch kann ein Passwort nicht ohne Seite 8 von 17

9 weiteres "intern" eingesehen werden oder versehentlich an unberechtigte Dritte "verraten" werden. Programmieren Sie den Login-Vorgang so, dass dieser die Prüfsumme des Passworts jeweils neu berechnet und diese danach mit der gespeicherten Prüfsumme vergleicht. 24. Benutzer Accounts bei mehrmaligem falschen Login automatisch sperren Bei mehrmaligen, fehlgeschlagenen Anmeldeversuchen eines Benutzers innert kürzerer Zeit sollte der Benutzer-Account automatisch gesperrt werden. Geben Sie auch nach einer automatischen Sperre die gleiche Fehlermeldung aus, wie wenn ein falsches Passwort eingegeben würde. Dadurch verhindern Sie mindestens eine gewisse Zeit, dass ein potentieller Angreifer die Sperre als solche erkennt und dadurch auf andere Arten von Attacken ausweicht. Je nachdem, wie schützenswert die Daten Ihrer Web Applikation sind, kann eine Sperre nur temporär für einige Zeit gelten - oder auch abschliessend sein. Zeichnen Sie jeden falschen Authentisierungs-Versuch eines Benutzers in den Logdaten auf, inkl. der genauen Zeit und der Remote-IP Adresse. 25. Zugriffsverletzungen des Rollenkonzepts immer prüfen und loggen Prüfen Sie bei jedem HTTP-Request (immer wieder), ob der Benutzer wirklich die Berechtigung hat, die entsprechende Aktion durchzuführen. Besonders dann, wenn im weiteren Sinn nur "Nummern" in Request-Parametern über die Berechtigung entscheiden. Es gibt auf dem Markt auch Tools WebProxy), mit denen sich hidden HTML Form-Parameter und andere HTTP-Request Daten zu Testzwecken leicht fälschen lassen. Damit können Sie auf einfache Weise selbst prüfen, ob die Web Applikation das Rollenkonzept und die Autorisierung des Benutzers immer - auf jeder Web Page - berücksichtigt. 26. Keine Preise als CGI- oder hidden Formular-Parameter übergeben Falls Sie einen E-Commerce Shop programmieren so achten Sie darauf, dass während der Zusammenstellung des Warenkorbs sowie auch bei Checkout/Bezahlen niemals die Preise sondern immer nur die Artikel-Nummer und die Anzahl Artikel als CGI- oder hidden Formular-Parameter dem nächsten URL- Aufruf übergeben werden - und berechnen Sie daraus den Totalpreis jeweils immer neu. Es besteht sonst die Gefahr, dass ein Kunde die HTTP-Parameter bzw. Preise zu seinen Gunsten fälscht und zu ungewollt tiefen Preisen einkauft. Führen Sie den Warenkorb falls immer möglich nur in einem Server-Seitigen Context. 27. Login- und Logout-Vorgang der Benutzer protokollieren Zeichnen Sie jede An- und Abmeldung eines Endbenutzers inkl. remote IP- Adresse und genaue Zeit auf. 28. Business-Transaction Log separat führen Trennen Sie das Business-Transaction Log, d.h. die Aufzeichnung der Geschäftstransaktionen, vom "gewöhnlichen" Applikations- und Fehler-Log. Der Nachvollzug von Geschäftstransaktionen wird so einfacher. Über längere Zeit gesehen sparen Sie auch Backup/Archiv-Kosten, da nur die Geschäftstransaktionen über Jahre gespeichert werden müssen. Eine gute Idee ist auch, das Business-Transaction Log direkt mittels Datenbank- Triggern zu realisieren und in der Datenbank selbst zu führen. Dies erlaubt u.a. die schnelle Suche nach Geschäftstransaktionen und bildet auch eine gute Grundlage für spätere statistische Auswertungen. Der Hauptnutzen aus Security-Sicht besteht bei der Verwendung von Datenbank-Triggern jedoch darin, dass Seite 9 von 17

10 Geschäftstransaktionen unter allen Umständen automatisch protokolliert werden. 29. Log-Files nicht auf dem eigenen Rechner speichern Leiten Sie den Log-Output des Applikationsservers und gegebenenfalls des vorgeschalteten Reverse-Proxys auf ein "write-only" Netzwerk-Device eines besonders sicheren "Log Servers" um, so dass die die Log-Dateien niemals lokal veränderbar sind. Dadurch sind die Log-Dateien auch bei einem Einbruch wesentlich besser geschützt, so dass das "Verwischen von Spuren" schwieriger bis unmöglich wird. Bei UNIX-Systemen sollte natürlich auch mit dem syslog so verfahren werden (syslogd) - und ebenso mit den Log-Dateien der Datenbank. 30. Remote IP-Adresse vom Reverse Proxy an den Applikationsserver weiterleiten Falls ein Reverse Proxy dem eigentlichen Applikationsserver vorgeschaltet ist, so sollte der Reverse Proxy so konfiguriert werden, dass dieser die remote IP- Adresse des Endbenutzers an den Applikationsserver weiterreicht. Damit im Log des Applikationsservers auch die ursprüngliche remote IP-Adresse des Benutzers gespeichert werden kann Seite 10 von 17

11 III High Security: für E-Banking sowie für besonders schützenswerte Daten Dieses Kapitel enthält zusätzliche Sicherheitsempfehlungen welche bei E-Banking Applikationen sowie für Web Applikationen mit besonders Schützenswerten persönlichen Daten (z.b. Patientendaten, Gerichtsakten etc.) zur Anwendung kommen. Nebst vielen, rein technischen Massnamen sind auf dieser Sicherheitsstufe auch organisatorische Massnahmen nötig, um einen entsprechende Sicherheit erfolgreich zu gewährleisten. Vorausgesetzt wird, dass die Empfehlungen für Basic Security und Standard Security bereits realisiert worden sind. 31. Verschlüsselungs-Tiefe und -Protokoll kontrollieren Kontrollieren Sie am Server-Seitigen Verschlüsselungs-Endpunkt die zwischen Web Browser und Web Server ausgehandelte Verschlüsselungstiefe. Leiten Sie alle Benutzer, bei welchen nur eine Verbindung mit einer geringen Verschlüsselungstiefe zustande kommt (kleiner 128 Bit, bzw. 112 Bit), auf eine Fehlerseite um. Kontrollieren Sie auch am Verschlüsselungs-Endpunkt die zwischen Web Browser und Web Server ausgehandelte Version des SSL Protokolls. Leiten Sie alle Benutzer, bei welchen nur eine Verbindung mit dem veralteten SSL Protokoll der Version 2 zustande kommt, auf eine Fehlerseite um. 32. Immer vollständige Zertifikats-Kette des SSL Server-Zertifikats übertragen Da bei vielen Web Browsern korrekterweise nur die Zertifikate der Root-CA (wie z.b. VeriSign) - jedoch nicht deren Zwischenzertifikate lokal gespeichert werden - muss der HTTPS Server so konfiguriert sein, dass beim ersten Verbindungsaufbau, bei der sog. Handshake-Phase, nebst den eigentlichen Server-Zertifikat auch die Zwischenzertifikate der Root-CA mit an den Web Browser gesendet werden. Geschieht dies nicht, so können viele Web Browser Produkte das Server-Zertifikat nicht überprüfen und geben eine Warnungs-Meldung an den Endbenutzer aus, welche fälschlicherweise suggeriert, dass die Verbindung nicht sicher ist. Die Endbenutzer gewöhnen sich damit an diese Warnungsmeldung und reagieren später falsch, wenn z.b. eine echte "Man in the Middle" Attacke auftritt bzw. eine ähnliche Warnungsmeldung (aus anderen Gründen) zurecht vom Web Browser angezeigt wird. Aktuell sind noch immer ca. 30% aller HTTPS Web Server diesbezüglich falsch konfiguriert. Mit dem auf unserer Web Page integrierten Web Server SSL Check im linken Navigationsbalken können Sie selbst überprüfen, ob Ihr HTTPS Server diesen Mangel enthält. Alternativ können sie z.b. mit einem aktuellen Mozilla Browser die entsprechende Fehlermeldung selbst verifizieren. Beim Microsoft Internet Explorer sind die Zwischenzertifikate jedoch bereits (fälschlicherweise) auf dem lokalen PC abgelegt. Aus diesem Grund wird darum keine Fehlermeldung ausgegeben. Beim Klicken auf das Schloss-Symbol -> Zertifizierungspfad wird dieser Pfad bei fehlenden Zwischenzertifikaten automatisch den lokal gespeicherten Zwischenzertifikaten ergänzt, so dass leider nicht festgestellt werden kann, welches Zertifikat nun vom Web Server stammt und welches lokal ergänzt wurde. 33. SSL Client-Zertifikate verwenden Sichern Sie die verschlüsselte Verbindung zusätzlich mit einem Client-Zertifikat. Nur dadurch können Sie Ihre Endbenutzer vor einer relativ leicht zu realisierenden "Man in the Middle" Attacke schützen. Seite 11 von 17

12 Ihre Endbenutzer sind so auch vor gefälschten s sicher, welche diese dazu verleiten, sich bei einer vorgetäuschten Web Site anzumelden. Es ist technisch nicht möglich durch einen vorgetäuschten HTTPS Web Server ein Client-Zertifikat zu kopieren oder weiterzugeben. Halten Sie das Client-Zertifikat auf dem Endbenutzer-PC am besten in einer eigenen Hardware mit integriertem Crypto-Prozessor (z.b. spezieller USB-Token oder Smartcard) - damit dieses nicht von der Festplatte gestohlen werden kann. 34. SSL Server-Zertifikat in spezieller Hardware speichern Halten Sie das Server-Zertifikat nie auf der Harddisk des Servers sondern immer in einer speziellen Hardware mit einem integrierten, leistungsfähigen Crypto- Prozessor (sog. HSM Modul). Die Hardware sollte zudem so beschaffen sein, dass in dieser das Zertifikat bzw. dessen private Key wohl gespeichert, jedoch niemals zurückgelesen werden kann. Der integriere Crypto-Prozessor dient einem ähnlichen Zweck: dadurch muss das Zertifikat nie in den Arbeitsspeicher des Servers geladen werden sondern bleibt unter allen Umständen innerhalb der speziellen Hardware. Dies verhindert, dass durch Kopieren unbemerkt ein Duplikat des Server-Zertifikats bzw. dessen Private-Key erzeugt werden kann. Ein solches Duplikat ist ideal dazu geeignet, eine perfekte "Man in the Middle" Attacke durchzuführen, ohne dass irgendeine Warnung im Browser-Fenster des Endbenutzers erscheint. 35. "Trusted" SSL Library verwenden Damit sichergestellt ist, dass die verwendete SSL-Library auch keine (gewollt) eingebaute Backdoors oder "geheime Schwachpunkte" enthält, sollten Sie nur OpenSource Libraries oder "Clean Room Implementationen" verwenden. Wie z.b. OpenSSL oder das kommerzielle Produkt IAIK-iSaSiLk der TUG Graz. Dabei sollten Sie Produkte vorziehen, deren Source-Code Sie zumindest einsehen können. 36. Starke Authentisierung verwenden Verwenden Sie zur Authentisierung eines Benutzers mindesten (zusätzlich) ein komplexes Sicherheitselement, welches nicht bereits im PC selbst gespeichert ist. Z.B. der vorhergehend erwähnte USB-Token. Auch TAN-Nummern/Zugangs- Nummernliste oder SecureID Cards können diesen Zweck erfüllen. Biometrische Verfahren sind im Prinzip auch gut geeignet. Zurzeit lassen sich diese (alle) jedoch noch sehr einfach austricksen und genügen darum den Sicherheitsanforderungen noch nicht. 37. URL Whitelist-Filter implementieren Unterdrücken Sie mit einem speziellen Filter im Reverse Proxy oder im Applikations-Server sämtliche URL-Aufrufe (URL Request Paths), welche nicht zu Ihrer Web Site gehören. Da nie ganz klar ist, welche URL s von der "eingebauten Intelligenz" eines Web- bzw. Applikations-Servers beantwortet werden, ist die Realisierung eines URL Whitelist-Filters ein muss. Der zulässige URL Request Path einer Web Applikation kann durchaus auch Wildcards ("*") enthalten. Alternativ unterstützen sog. Web Application Firewalls, welche das HTTP Protokoll inkl. sämtlicher zulässiger CGI- und Form-Parametern kontollieren u.a. auch die Realisierung von URL Whitelist-Filtern. 38. Keine Hyperlinks auf fremde Web-Seiten integrieren Setzen Sie in der Web Applikation keine Hyperlinks auf andere Web Sites. Auch nicht auf eigene Web Sites, wenn diese wiederum Hyperlinks auf fremde Web Sites enthalten. Seite 12 von 17

13 Sobald beim Endbenutzer die Situation auftritt, dass weitere Browser Fenster zu anderen Web Applikationen bzw. Web Sites offen sind, kann ein "bösartig" programmierter Web Server speziellen Code an den Web Browser übermitteln, welcher durch Client-Side Cross-Scripting Mechanismen z.b. die Session-ID Ihrer Web Applikation ausliest oder die Web Applikation ohne Zutun des Endbenutzers "fernbedient". Falls es unumgänglich ist, Daten von fremden Anbietern darzustellen, so sollten diese Daten mittels Ihrer Web-Applikation zuerst Server-Seitig geladen werden, wobei auch eine vollständige Prüfung gegenüber Cross-Scripting Code erfolgen muss. Erst danach erfolgt die Ausgabe dieser fremden Daten im Kontext Ihrer eigenen Web Applikation. 39. Session-Timeout kurz halten Halten Sie den Session-Timeout, d.h. die Inaktivitäts-Zeitdauer bei deren Überschreitung der Endbenutzer automatisch abgemeldet wird, kurz. Empfohlen sind Zeiten im Bereich von fünf bis zehn Minuten. Durch eine geschickte Programmierung Ihrer Web Applikation können sie zudem erreichen, dass ein automatisch abgemeldeter Benutzer nach einer erneuten Authentisierung sich wieder auf demselben Menüpunkt befindet, wo er letztmals - vor der automatische erzwungenen Abmeldung - war. Dies reduziert die Komforteinbusse des Endbenutzers durch den kurzen Session-Timeout ganz erheblich. 40. Keine endlosen Surf-Sessions erlauben Setzen Sie eine maximale Zeitdauer der Session - unabhängig vom inaktivitäts Session-Timeout. D.h. wie lange ein Endbenutzer sich maximal innerhalb der Web Applikation aufhalten kann, ohne sich neu zu Authentisieren. Empfohlen sind Zeiten um 2 bis 4 Stunden. Dies verhindert z.b., dass "Man in the Middle" Attacken und Trojanische Programme Session-ID s sammeln und durch automatisierte, periodische Requests die gesammelten Sessions "warm halten" und weiterleiten können. 41. Mehrfaches Login des gleichen Benutzers ausschliessen Dieser Fall sollte "theoretisch" eigentlich gar nicht vorkommen, da eine stake Authentisierung verwendet wird. Allenfalls hat sich der Endbenutzer versehentlich zweimal angemeldet - oder seine Internet-Verbindung wurde unterbrochen. Vielleicht wurde aber auch TAN-Nummern oder die Zugangs-Nummernliste inkl. der zusätzlichen Sicherheitselemente unbemerkt kopiert. Löschen Sie in jedem Fall im Applikations-Server die alte Session desselben Benutzers. Geben Sie zudem bei der neuen, doppelten Authentisierung dem Benutzer eine Warnungs-Meldung aus, dass eine bereits bestehende, aktive Session terminiert wurde. 42. Initial-Authentisierung nicht über ungesicherte Kanäle übertragen Übertragen Sie die Sicherheitselemente zum Zugriff auf die Applikation nie über ungesicherte Kanäle (wie z.b. ) an die Benutzer. Auch nicht in "dringenden Fällen" und auch nicht an eigene Support-Personen vor Ort beim Kunden. 43. Gesperrte Accounts nur nach sorgfältiger Authentisierung wieder entsperren Instruieren Sie Ihr Support-Personal dahingehend, dass gesperrte Benutzer- Accounts nur nach sorgfältiger, erneuter, nicht Computer-gestützter Authentisierung entsperrt werden. Kann keine vollständige Authentisierung durchgeführt werden (z.b. am Telefon), so sollte "höchstens" die Entsperrung unter Beibehaltung des alten Passworts vorgenommen werden - ohne dieses zu erwähnen. Noch besser ist, wenn Sie die gleichen Vorsichtsmassnahmen (wieder) anwenden, wie wenn der Benutzer zum ersten Mal in Ihrem System erfasst würde. Seite 13 von 17

14 Alternativ zu einer Entsperrung können auch neu erzeugte Sicherheitselemente an den Endbenutzer (erneut wieder) übertragen werden (neues Passwort etc.). Analog einer Initial-Authentisierung - wiederum über einen gesicherten Kanal. 44. Kryptologische Zufallszahlen-Generatoren verwenden Nebst der sauberen Implementation und der hohen Verschlüsselungstiefe hängt die Qualität einer sicheren Verbindung direkt mit den dazu nötigen Zufallszahlen- Generatoren sowohl auf Client- wie auch auf Server-Seite ab. Ein möglicher Angriffspunkt kann z.b. sein, dass auf Client-Seite der SSL-Library bzw. dem Web Browser ein Zufallszahlen-Generator "untergeschoben" wird, welcher vorhersagbare Zahlen liefert. In einem solchen Fall wird auch eine 128-Bit Verschlüsselungstiefe nicht davor schützen, dass der Datentransfer abgehört werden kann. Während Sie auf Client-Seite in der Regel wenig Einfluss auf die Qualität des Zufallszahlen-Generators haben, so sollten Sie dennoch auf Server-Seite qualitativ hochwertige Zufallszahlen-Generatoren verwenden, um den Session-Context bzw. die Session-Id zu erzeugen. 45. Limiten setzen und Risk-Management implementieren Setzen Sie innerhalb der Web Applikation immer Limiten, bei deren Überschreitung eine manuelle Kontrolle nötig ist. Dies ist eine mächtige Massnahme im grösseren "Ereignissen" vorzubeugen. Bei einem E-Commerce Shop welcher nur Blumen verkauft, welche mittels Kreditkarte bezahlt werden, könnte die Limite für einen maximalen Einkauf z.b. 500 Euro betragen - oder z.b Euro pro Kunde und Tag. Bei E-Banking Applikationen sollten diese Limiten eher aus der Transaktions- History des Kunden oder Begünstigten selbst berechnet werden: so könnten z.b. ungewöhnlich hohe Zahlungen aus oder nach fremden Ländern ein Grund für eine vertiefte Kontrolle sein. Überlegen sie auch selbst, welche weiteren Limiten für Ihre Web Applikation Sinn machen. 46. GMT als applikations-interne Zeitbasis verwenden Damit die Nachvollziehbarkeit der aufgezeichneten Daten auch während des Übergangs Sommerzeit/Winterzeit gewährleistet ist, sollten sie applikations-intern alle Zeiten in GMT führen, und den Endbenutzern die Zeit jeweils umgerechnet in deren lokale Zeit darstellen (lokale Zeitzone im Benutzerprofil speichern). Dies verhindert bei Software-Komponenten auch ungewollte Rückwärts- Zeitsprünge, bei der Rückstellung der Zeit um eine Stunde und hat den zusätzlichen Vorteil, dass bei "internationalen Kunden" Daten mit Zeitangaben in der gewohnten Zeitzone des Kunden dargestellt werden können. Der tiefere Sinn bezüglich Security besteht jedoch darin, dass die zeitliche Nachvollziehbarkeit der Log-Daten und Transaktionen auch bei der Umstellung Sommerzeit/Winterzeit nicht durcheinander gerät. 47. Anonyme Benutzer von authentisierten Benutzern trennen Einen besseren Schutz vor anonymen Hacking-Versuchen erreichen Sie dadurch, dass dem eigentlichen Applikationsserver eine Reverse Proxy Server vorgeschaltet wird, welcher den Endbenutzer Authentisiert und erst bei einer erfolgreichen Authentisierung des Endbenutzers den Datentransfer zum eigentlichen Applikationsserver weiterleitet. 48. Schutzmassnahmen auf Kundeseite fördern Halten Sie Ihre Endbenutzer dazu an, einen Firewall sowie einen Virenscanner einzusetzen. Publizieren Sie den Fingerprint Ihres SSL-Server Zertifikats auch auf anderen Medien als dem Internet (z.b. auf Papier in Mailings). Sensibilisieren Sie Ihre Kunden dahingehend, dass diese Ihren Help-Desk per Telefon anrufen, wenn Seite 14 von 17

15 neu unübliche Fehlermeldungen im Web Browser ausgegeben werden. 49. Benutzeranfragen und Störungsmeldungen richtig behandeln Schulen Sie Ihr Supportpersonal dahingehend, dass diese mit den Symptomen der wahrscheinlichsten Angriffsversuchen auf Ihre Endbenutzer vertraut sind, und in einem solchen Fall einen Angriffsversuch erkennen und direkt Ihre Interne IT Security-Abteilung kontaktieren. 50. Angriffsversuche periodisch Auswerten Protokollieren Sie "mutwillige" Angriffe auf das Rollenkonzept der Web Applikation (z.b. mittels manipulierten HTML Form-Parametern) mit einer besonderen Kennzeichnung und werten Sie solche Angriffsversuche regelmässig aus. Dadurch können Sie gezielt die wenigen Schwarzen Schafe unter Ihren Endbenutzern eliminieren. 51. Shutdown-Kriterien und Notfall-Konzepte vorbereiten Legen Sie im vornherein definierte Kriterien fest, unter welchen Umständen Sie die Web Applikation temporär vom Netz nehmen, wie Sie am effizientesten auf Angriffsversuche (auch gegen Ihre Kunden) reagieren, und wie Sie in einem solchen Fall mit Ihren Kunden kommunizieren. Seite 15 von 17

16 IV Weitere Empfehlungen 52. Alle Team-Mitglieder sensibilisieren Sensibilisieren Sie alle Team-Mitglieder bezüglich Security. Es nützt nicht viel, wenn Ihr Kollege über keine Kenntnisse der notwendigen Vorkehrungen verfügt. Teile Sie gemeinsam das Wissen in diesem Bereich und kommunizieren Sie auch, welche Konsequenzen das Unterlassen von Sicherheitsmassnamen für die Beurteilung Ihres Teams und Ihrer Firma haben könnte. 53. Qualitätssicherung mit einbeziehen Oft werden von der klassischen Qualitätssicherungs-Abteilung die Security- Aspekte zuwenig geprüft. Verlangen Sie auch in diesem Bereich entsprechende Tests. Legen Sie besonderen Wert darauf, dass Angriffsversuche auf das Rollenkonzept der Applikation mittels gefälschter HTTP-Parametern sowie korrekte Überprüfung aller HTML Formular Input-Parameter ausführlich getestet wird. 54. Umsetzung von Security-Massnahmen bei Aufwandschätzungen mit berücksichtigen Schätzen Sie den Projekt-Aufwand so, dass alle Aufwände zum Erreichen der notwendigen Sicherheitsmassnamen bereits inbegriffen sind. Falls Sie bereits wissen, dass ein Security-Audit Bestandteil der Abnahme ist, so sollten Sie auch eine Reserve für unvorhergesehene Fehlerbehebungen mit einplanen. 55. Auf ausgewogene Sicherheit achten Falls die Umsetzung einer einzelnen Massnahme zu hohen Kosten führt, so sollten Sie zuerst überlegen, ob die Realisierung - um Vergleich zu anderen Massnahmen bzw. Bedrohungen - wirklich berechtigt ist. Oder als Metapher formuliert: wenn Sie Ihr Haus vor Überschwemmungen schützen möchten - so nützt eine 2 Meter hohe Mauer nur auf der Hinterseite nichts - viel besser währe, wenn sie nur eine 50 Zentimeter hohe Mauer bauen würden - dafür rund um das Haus. 56. Hilfe anfordern, Übersicht behalten und Risiken delegieren Fordern Sie interne oder externe Hilfe an, wenn Sie bei der Beurteilung oder bei der Umsetzung von Sicherheitsmassnamen unsicher sind. Es ist nicht so einfach, eine reale Bedrohung von einer rein theoretischen, unwahrscheinlichen Bedrohung zu unterscheiden. Informieren Sie sich im Web über tatsächlich, bereits realisierte Vorkommnisse und legen Sie den Schwerpunkt Ihrer Sicherheits-Massnahmen auf die Abwehr dieser realen Angriffe. Falls Sie zur Überzeugung gelangt sind, dass in Ihrer Web Applikation ein grösseres Sicherheitsleck bereits besteht - bei welchem zur Behebung ein zusätzlicher Aufwand nötig ist - so sollten Sie Ihren Vorgesetzen umgehend mit einer schriftlichen Beschreibung informieren und gleichzeitig die nötigen Mittel und Ressourcen anfordern, um dieses Risiko zu eliminieren. Werden die Ressourcen oder Mittel nicht freigegeben, so müssen Sie das Risiko nicht selbst tragen. Dies entspricht auch dem üblichen Vorgehen bei allen Qualitätssicherungs- Massnahmen. Es ist Schlussendlich ein Entscheid des Managements, welche Risiken tragbar sind. Voraussetzung ist jedoch, dass die entsprechenden Entscheidungsträger genügend gut informiert wurden. Seite 16 von 17

17 V Hyperlinks Link-Sammlung zum Thema Web Application Security in Englischer Sprache: - SecurityTechNet.com Hyperlinks zum Thema IT-Security in Deutscher Sprache: - Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) - Security Portal des heise Verlags Hyperlinks zum Thema HTTPS/SSL in Deutscher Sprache: - SSL-Studie (BSI, PDF-Datei) - Angriffe in der Praxis: Verschlüsselungs-Algorithmen (heise Security) VI Feedback Ihre Kritik, Kommentare, Fragen oder Ergänzungen sind willkommen und werden von uns in der Regel innerhalb von drei Arbeitstagen beantwortet. Gegebenfalls erweitern oder ergänzen wir dabei auch die hier vorliegenden Web Application Security Tips. Senden Sie bitte Ihre Nachricht an Beachten Sie bitte, dass Ihre Nachricht gegebenenfalls anonymisiert publiziert wird (ohne Ihren vollen Namen und ohne Ihre Adresse). Wir sichern Ihnen verbindlich zu, Ihre Nachricht rein fachlich zu behandeln, Ihre Namen und Ihre Adresse nicht an Dritte weiterzureichen und Ihnen keinerlei Werb s zuzustellen. Aus urheberrechtlichen Gründen können wir Ihnen jedoch kein Copyright auf Ihre Nachricht gewähren. Seite 17 von 17

> Internet Explorer 8

> Internet Explorer 8 > Internet Explorer 8 Browsereinstellungen optimieren Übersicht Inhalt Seite 1. Cache und Cookies löschen 2. Sicherheits- und Datenschutzeinstellungen 2 5 Stand Juli 2009 1. Cache und Cookies löschen Jede

Mehr

Schwachstellenanalyse 2012

Schwachstellenanalyse 2012 Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface. Inhaltsverzeichnis Erste Schritte Anmelden 2 Startseite 3 Dateimanager 4 CargoLink 5 Freigaben 6

Mehr

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling Open-Xchange Authentication & Sessionhandling Version Date Author Changes 1.0 28.08.2006 Stephan Martin Initiale Version 1.1 29.08.2006 Marcus Klein Details Authentication via JSON 1.2 04.09.2006 Stephan

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom 02.12.2015 Kassenärztliche Vereinigung Niedersachsen

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 4.0 vom 02.12.2015 Kassenärztliche Vereinigung Niedersachsen Kassenärztliche Vereinigung Niedersachsen Inhaltsverzeichnis 1. Allgemein... 3 1.1 Betriebssysteme und Internet Browser... 3 2. Zugang... 4 2.1 Anmeldung... 4 2.2 VPN Verbindung herstellen... 4 2.3 Browser

Mehr

D.C.DialogManager Internet

D.C.DialogManager Internet D.C.DialogManager Internet Diese Hinweise sollen die wichtigsten Fragen im Zusammenhang mit der Nutzung des D.C.Dialogmanager beantworten. Sie wenden sich an Personen, die zur Nutzung des D.C.Dialogmanager

Mehr

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation bnsyncservice Voraussetzungen: Tobit DAVID Version 12, DVWIN32: 12.00a.4147, DVAPI: 12.00a.0363 Exchange Server (Microsoft Online Services) Grundsätzlich wird von Seiten KWP ausschließlich die CLOUD-Lösung

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

> Internet Explorer 7

> Internet Explorer 7 > Internet Explorer 7 Browsereinstellungen optimieren Übersicht Inhalt Seite 1. Cache und Cookies löschen 2. Sicherheits- und Datenschutzeinstellungen 2 5 Stand Juli 2009 1. Cache und Cookies löschen Jede

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Erste Hilfe «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Cache Einstellungen Im Internet Explorer von Microsoft wie auch in anderen Browsern (zum Beispiel Firefox) gibt

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

Konfigurationsanleitung Hosted Exchange mit Outlook 2007

Konfigurationsanleitung Hosted Exchange mit Outlook 2007 Konfigurationsanleitung Hosted Exchange mit Outlook 2007 Vertraulichkeitsklausel Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden. Everyware

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

A B A S T A R T Fehlerbehebung

A B A S T A R T Fehlerbehebung A B A S T A R T Fehlerbehebung April 2015 / OM Version 1.0 Diese Unterlagen sind urheberrechtlich geschützt. Insbesondere das Recht, die Unterlagen mittels irgendeines Mediums (grafisch, technisch, elektronisch

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa

Häufig gestellte Fragen Erfahren Sie mehr über Verified by Visa Informationen zu Verified by Visa 2 1. Was ist Verified by Visa? 2 2. Wie funktioniert Verified by Visa? 2 3. Wie schützt mich Verified by Visa? 2 4. Ist der Umgang mit Verified by Visa benutzerfreundlich?

Mehr

Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen

Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen Ziel Kennenlernen des Netzwerkprotokolls Http mit unterschiedlichen Formen der Authentifizierung sowie Absicherung des Netzwerkverkehrs

Mehr

MultiCash@Sign. Ablaufbeschreibung/Anleitung

MultiCash@Sign. Ablaufbeschreibung/Anleitung Juni 2015 Willkommen zu MultiCash@Sign Was ist MultiCash@Sign? MultiCash@Sign ermöglicht es Benutzern von MultiCash, Zahlungsunterschriften von jedem beliebigen Ort und jedem beliebigen Windows-System

Mehr

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM

Häufig gestellte Fragen Erfahren Sie mehr über MasterCard SecureCode TM Informationen zu MasterCard SecureCode TM 3 1. Was ist der MasterCard SecureCode TM? 3 2. Wie funktioniert MasterCard SecureCode TM? 3 3. Wie schützt mich MasterCard SecureCode TM? 3 4. Ist der Umgang

Mehr

WufooConnector Handbuch für Daylite 4

WufooConnector Handbuch für Daylite 4 WufooConnector Handbuch für Daylite 4 WufooConnector Handbuch für Daylite 4 1 Allgemeines 1.1 Das WufooConnector Plugin für Daylite 4 4 2 Einrichtung 2.1 2.2 2.3 Installation 6 Lizensierung 8 API Key einrichten

Mehr

Anleitung MRA Service mit MAC

Anleitung MRA Service mit MAC Anleitung MRA Service mit MAC Dokumentbezeichnung Anleitung MRA Service unter MAC Version 2 Ausgabedatum 7. September 2009 Anzahl Seiten 12 Eigentumsrechte Dieses Dokument ist Eigentum des Migros-Genossenschafts-Bund

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Willkommen zu Release 6 von 4D v11 SQL. Dieses Dokument beschreibt die neuen Funktionalitäten und Änderungen der Version. Erweiterte Verschlüsselungsmöglichkeiten Release 6 von 4D v11 SQL erweitert

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Benutzerhandbuch Certificate Renewal

Benutzerhandbuch Certificate Renewal Eidgenössisches Finanzdepartement EFD Bundesamt für Informatik und Telekommunikation BIT Swiss Government PKI 11. Januar 2016 Benutzerhandbuch Certificate Renewal Projektname: Version: V7.1 Certificate

Mehr

Qualitätssicherung durch Lasttests Vortrag für Führungskräfte und Projektleiter

Qualitätssicherung durch Lasttests Vortrag für Führungskräfte und Projektleiter Qualitätssicherung durch Lasttests Vortrag für Führungskräfte und Projektleiter Ingenieurbüro David Fischer GmbH www.proxy-sniffer.com Inhalt 1. Übergeordnete Zielsetzungen 2. Negativ-Beispiele aus der

Mehr

Datenschutzerklärung ENIGO

Datenschutzerklärung ENIGO Datenschutzerklärung ENIGO Wir, die, nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Website nur

Mehr

Draexlmaier Group. Schulungsunterlage für Lieferanten DRÄXLMAIER Supplier Portal

Draexlmaier Group. Schulungsunterlage für Lieferanten DRÄXLMAIER Supplier Portal Draexlmaier Group Schulungsunterlage für Lieferanten DRÄXLMAIER Supplier Portal Version Juli 2015 Inhalt Registrierung als neuer Lieferant... 3 Lieferantenregistrierung... 3 Benutzerregistrierung... 4

Mehr

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM

Server-Eye. Stand 30.07.2013 WWW.REDDOXX.COM Server-Eye Stand 30.07.2013 Copyright 2012 by REDDOXX GmbH REDDOXX GmbH Neue Weilheimer Str. 14 D-73230 Kirchheim Fon: +49 (0)7021 92846-0 Fax: +49 (0)7021 92846-99 E-Mail: info@reddoxx.com Internet: http://www.reddoxx.com

Mehr

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen

SFTP Datenübertragungsclient PK-SFTP. automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen SFTP Datenübertragungsclient PK-SFTP automatische Verbindung zu einem SFTP-Server in einstellbaren Zeitintervallen senden, abholen und verifizieren der bereitstehenden Daten Protokollierung der Datenübertragung

Mehr

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit

SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID

Mehr

Horstbox Professional (DVA-G3342SB)

Horstbox Professional (DVA-G3342SB) Horstbox Professional (DVA-G3342SB) Anleitung zur Einrichtung eines VoIP Kontos mit einem DPH-120S Telefon im Expertenmodus: Vorraussetzung ist, dass die Horstbox bereits mit den DSL Zugangsdaten online

Mehr

> Mozilla Firefox 3.5

> Mozilla Firefox 3.5 -- > Mozilla Firefox 3.5 Browsereinstellungen optimieren - Übersicht - Inhalt Seite 1. Cache und Cookies löschen 2 2. Sicherheits- und Datenschutzeinstellungen 3 Stand März 2010 - 1. Cache und Cookies

Mehr

Installationsanleitung

Installationsanleitung Installationsanleitung Dieses Werk ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung der OutStart E-Learning GmbH unzulässig und

Mehr

JobServer Installationsanleitung 08.05.2013

JobServer Installationsanleitung 08.05.2013 JobServer sanleitung 08.05.2013 Der JobServer ist ein WCF Dienst zum Hosten von Workflow Prozessen auf Basis der Windows Workflow Foundation. Für die wird das Microsoft.NET Framework 3.5 und 4.0 vorausgesetzt.

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

Internet Security 2009W Protokoll WLAN Relay

Internet Security 2009W Protokoll WLAN Relay Internet Security 2009W Protokoll WLAN Relay Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at Aldin Rizvanovic, Matr. Nr. 0756024 e0756024@student.tuwien.ac.at Wien, am 23. Dezember 2009 1 Inhaltsverzeichnis

Mehr

Leitfaden Datensicherung und Datenrücksicherung

Leitfaden Datensicherung und Datenrücksicherung Leitfaden Datensicherung und Datenrücksicherung Inhaltsverzeichnis 1. Einführung - Das Datenbankverzeichnis von Advolux... 2 2. Die Datensicherung... 2 2.1 Advolux im lokalen Modus... 2 2.1.1 Manuelles

Mehr

Technische Voraussetzungen Stand: 29. Juli 2014

Technische Voraussetzungen Stand: 29. Juli 2014 Technische Voraussetzungen Stand: 29. Juli 2014 FineSolutions AG Culmannstrasse 37 8006 Zürich Telefon +41 44 245 85 85 Telefax +41 44 245 85 95 support@finesolutions.ch Inhaltsverzeichnis 1 Einführung...

Mehr

Edix-parts.net Automatischer Upload 2.0

Edix-parts.net Automatischer Upload 2.0 EFDS European Ford Dealer Systems 50667 Köln, UnterSachenhausen 29-31 Edix-parts.net Automatischer Upload 2004 1 of 11 1. Allgemein 1.0 Einführung Das Automatische Upload Tool ist ein Programm mit dem

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

BusinessMail X.400 Webinterface Mailbox V2.6

BusinessMail X.400 Webinterface Mailbox V2.6 V2.6 Benutzerinformation (1) In der Vergangenheit mussten Sie eine Sperre für Mitteilungen aus dem Internet bzw. die Freischaltung von definierten Partner über ein Formblatt bei der zentralen Administration

Mehr

Testplan. Hochschule Luzern Technik & Architektur. Software Komponenten FS13. Gruppe 03 Horw, 16.04.2013

Testplan. Hochschule Luzern Technik & Architektur. Software Komponenten FS13. Gruppe 03 Horw, 16.04.2013 Software Komponenten FS13 Gruppe 03 Horw, 16.04.2013 Bontekoe Christian Estermann Michael Moor Simon Rohrer Felix Autoren Bontekoe Christian Studiengang Informatiker (Berufsbegleitend) Estermann Michael

Mehr

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8. Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,

Mehr

Zuweiserportal - Zertifikatsinstallation

Zuweiserportal - Zertifikatsinstallation Zuweiserportal - Zertifikatsinstallation Inhaltsverzeichnis 1. Installation des Clientzertifikats... 1 1.1 Windows Vista / 7 mit Internet Explorer 8... 1 1.1.1 Zertifikatsabruf vorbereiten... 1 1.1.2 Sicherheitseinstellungen

Mehr

USB Security Stick. Deutsch. Benutzerhandbuch

USB Security Stick. Deutsch. Benutzerhandbuch USB Security Stick Deutsch Benutzerhandbuch 2 Inhaltsverzeichnis Allgemeines 4 Der mechanische Schreibschutzschalter 4 Verwendung unter Windows 6 Einstellungen 10 Benutzerpasswort ändern 11 Formatieren

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

INBETRIEBNAHME VON SALESPRO BEI MAKLERN VERSION 1.1

INBETRIEBNAHME VON SALESPRO BEI MAKLERN VERSION 1.1 VERSION 1.1 PAX, Schweizerische Lebensversicherungs-Gesellschaft Aeschenplatz 13 CH 4002 Basel www.pax.ch Name des Dokumentes Autor erstellt am 09.02.2004 zuletzt geändert am 26.03.2004 Version 1.1 Status

Mehr

Verantwortlich für den Inhalt. NAUE GmbH & Co. KG Kent von Maubeuge Gewerbestraße 2 D-32339 Espelkamp-Fiestel

Verantwortlich für den Inhalt. NAUE GmbH & Co. KG Kent von Maubeuge Gewerbestraße 2 D-32339 Espelkamp-Fiestel Verantwortlich für den Inhalt NAUE GmbH & Co. KG Kent von Maubeuge Gewerbestraße 2 D-32339 Espelkamp-Fiestel Tel.: +49 5743 41-0 Fax.: +49 5743 41-240 E-Mail: kvmaubeuge@naue.com NAUE GmbH & Co. KG Rechtsform:

Mehr

Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE

Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE Schritt für Schritt Anleitung! Tipp: Drucken Sie sich das Dokument aus und befolgen Sie jeden einzelnen Schritt. Dann wird es funktionieren! Inhaltsverzeichnis

Mehr

TimePunch SQL Server Datenbank Setup

TimePunch SQL Server Datenbank Setup TimePunch TimePunch SQL Server Datenbank Setup Benutzerhandbuch 26.11.2013 TimePunch KG, Wormser Str. 37, 68642 Bürstadt Dokumenten Information: Dokumenten-Name Benutzerhandbuch, TimePunch SQL Server Datenbank

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Aktivierung und Update. Entry CE Client

Aktivierung und Update. Entry CE Client Aktivierung und Update Entry CE Client 1. Lizenzierung über den Aktivierungs-Dialog Die Client-Software wird zunächst immer als Testversion installiert, sofern noch keine Client-Software installiert wurde

Mehr

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS Herzlich willkommen zu den Workshops von Sage. In diesen kompakten Anleitungen möchten wir Ihnen Tipps, Tricks und zusätzliches Know-how zu Ihrer Software von Sage mit dem Ziel vermitteln, Ihre Software

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

Fragen & Antworten. Zugang beantragen Zertifikate installieren Hotline

Fragen & Antworten. Zugang beantragen Zertifikate installieren Hotline Fragen & Antworten Zugang beantragen Zertifikate installieren Hotline Frage Was ist kzvbw.de? Was benötige ich für den Zugang zu den geschützten Bereichen? Wie kann ich den Zugang beantragen? Werden die

Mehr

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess HS-Anhalt (FH) Fachbereich EMW Seite 1 von 6 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers Bedingt durch die verschiedenen Transportprotokolle und Zugriffsmethoden

Mehr

Fachhochschule Fulda. Bedienungsanleitung für QISPOS (Notenverbuchung und Leistungsverbuchung für Prüfer)

Fachhochschule Fulda. Bedienungsanleitung für QISPOS (Notenverbuchung und Leistungsverbuchung für Prüfer) Fachhochschule Fulda Bedienungsanleitung für QISPOS (Notenverbuchung und Leistungsverbuchung für Prüfer) Inhaltsverzeichnis 1. Vorgehensweise bei der ersten Anmeldung... 1 2. Startseite... 1 3. Login...

Mehr

Freigabe von Terminal Services Web Access für externe Benutzer

Freigabe von Terminal Services Web Access für externe Benutzer Seite 1 von 18 Freigabe von Terminal Services Web Access für externe Benutzer von Wolfgang Bauer Publiziert auf faq-o-matic.net. Alle Rechte liegen beim Autor. 1. Ausgangssituation Es wurde im Rahmen eines

Mehr

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen HS-Anhalt (FH) Fachbereich EMW Seite 1 von 8 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003 Voraussetzungen Es ist keinerlei Zusatzsoftware erforderlich.

Mehr

Durchführung eines Upgrades von Windows 7 auf Windows 8

Durchführung eines Upgrades von Windows 7 auf Windows 8 Durchführung eines Upgrades von Windows 7 auf Windows 8 Stand: August 2012 CSL-Computer GmbH & Co. KG Sokelantstraße 35 30165 Hannover Telefon: 05 11-76 900 100 Fax 05 11-76 900 199 shop@csl-computer.com

Mehr

Installationsanleitung für die h_da Zertifikate

Installationsanleitung für die h_da Zertifikate Zentrale Serverdienste Installationsanleitung für die h_da Zertifikate Dokumentennummer: IT-ZSD-008 Version 1.3 Stand 23.05.2013 Historie Version Datum Änderung Autor 1.0 22.10.2008 Dokument angelegt tbo

Mehr

Sparkasse Vogtland. Secure E-Mail Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure E-Mail 1

Sparkasse Vogtland. Secure E-Mail Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure E-Mail 1 Secure E-Mail Datensicherheit im Internet Sparkasse Kundenleitfaden Sparkasse Kundeninformation Secure E-Mail 1 Willkommen bei Secure E-Mail In unserem elektronischen Zeitalter ersetzen E-Mails zunehmend

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden -

E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - E-Mails versenden - aber sicher! Sichere E-Mail mit Secure E-Mail - Kundenleitfaden - Sparkasse Rosenheim-Bad Aibing Vorwort Wir alle leben in einem elektronischen Zeitalter. Der Austausch von Informationen,

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29)

MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) MySQL Community Server 5.6 Installationsbeispiel (Ab 5.5.29) Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der

Mehr

Proseminar: Website-Management-Systeme

Proseminar: Website-Management-Systeme Proseminar: Website-Management-Systeme Thema: Web: Apache/Roxen von Oliver Roeschke email: o_roesch@informatik.uni-kl.de Gliederung: 1.) kurze Einleitung 2.) Begriffsklärung 3.) Was ist ein Web? 4.) das

Mehr

BMW Financial Services Online-Banking. Freude am Fahren. www.bmwbank.de INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES.

BMW Financial Services Online-Banking. Freude am Fahren. www.bmwbank.de INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES. BMW Financial Services Online-Banking www.bmwbank.de Freude am Fahren INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN. BMW FINANCIAL SERVICES. INTERNET EXPLORER 11. BROWSEREINSTELLUNGEN OPTIMIEREN.

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

SIENNA Home Connect. Bedienungsanleitung V2.6

SIENNA Home Connect. Bedienungsanleitung V2.6 SIENNA Home Connect Bedienungsanleitung V2.6, Rupert-Mayer-Str. 44, 81379 München, Deutschland Tel +49-89-12294700 Fax +49-89-72430099 Copyright 2015. Inhaltsverzeichnis 1 INSTALLATION... 3 1.1 FW UPDATE

Mehr

Sessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1

Sessions mit PHP. Annabell Langs 2004. Sessions in PHP - Annabell Langs 1 Sessions mit PHP Annabell Langs 2004 Sessions in PHP - Annabell Langs 1 Sessions» Inhaltsverzeichnis Wozu Sessions? 3 Wie funktionieren Sessions? 5 Wie kann ich die Session-ID übergeben? 8 Sicherheit 9

Mehr

Handbuch. Smart Card Login (SuisseID) Version 2.0. 14. Juni 2012. QuoVadis Trustlink Schweiz AG Seite [0]

Handbuch. Smart Card Login (SuisseID) Version 2.0. 14. Juni 2012. QuoVadis Trustlink Schweiz AG Seite [0] Handbuch Smart Card Login (SuisseID) Version 2.0 14. Juni 2012 QuoVadis Trustlink Schweiz AG Seite [0] Inhalt 1.0 Ziel und Zweck dieses Dokuments... 2 2.0 Vorraussetzungen... 2 3.0 Zertifikate bereitstellen...

Mehr

Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen:

Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen: Um Ihnen ein fehlerfreies Arbeiten mit unserem ECCOSoft eanv Portal zu ermöglichen, empfehlen wir Ihnen folgende Einstellungen: 1. Internet Explorer Einstellungen Internetoptionen Sicherheit: Mittelhoch

Mehr

Dokumentenkontrolle Matthias Wohlgemuth Telefon 043 259 42 33 Matthias.Wohlgemuth@bvk.ch Erstellt am 26.06.2015

Dokumentenkontrolle Matthias Wohlgemuth Telefon 043 259 42 33 Matthias.Wohlgemuth@bvk.ch Erstellt am 26.06.2015 CITRIX DESKTOP CITRIX REMOTE ACCESS Dokumentenkontrolle Autor Matthias Wohlgemuth Telefon 043 259 42 33 E-Mail Matthias.Wohlgemuth@bvk.ch Erstellt am 26.06.2015 Status Draft Klassifizierung vertraulich

Mehr

FAQ zum Online Shop von F. + H. Engel AG

FAQ zum Online Shop von F. + H. Engel AG FAQ zum Online Shop von F. + H. Engel AG Profitieren Sie jetzt und bestellen Sie ab sofort im neuen Online Shop von F. + H. Engel AG. Der Online Shop von F. + H. Engel AG beinhaltet über 250 000 Artikeln.

Mehr

Vordefinierte Elemente (CI)

Vordefinierte Elemente (CI) 1 IIS Name 1.1 IIS Scans Scandatum, Direktes Bearbeiten der Metabasis ermöglichen, Version 1.1.1 Websites Name, Ausführberechtigung Dateien, Lesen, Nur Skripts ausführen, Skriptzugriff, Schreiben, Sicheren

Mehr

Stadt-Sparkasse Solingen. Kundeninformation zur "Sicheren E-Mail"

Stadt-Sparkasse Solingen. Kundeninformation zur Sicheren E-Mail Kundeninformation zur "Sicheren E-Mail" 2 Allgemeines Die E-Mail ist heute eines der am häufigsten verwendeten technischen Kommunikationsmittel. Trotz des täglichen Gebrauchs tritt das Thema "Sichere E-Mail"

Mehr

crypta.net email System Quickstart Guide für Benutzer

crypta.net email System Quickstart Guide für Benutzer crypta.net email System Quickstart Guide für Benutzer support@crypta.net, Version 20.11.2007 Inhaltsverzeichnis 1. Kurzübersicht...3 1.1. Zugriff auf Postfächer...3 1.2. Persönliche Einstellungen...3 1.3.

Mehr

Schnittstellenbeschreibung

Schnittstellenbeschreibung Schnittstellenbeschreibung Inhalt: - Beschreibung - Vorbereitungen - Die Details - Die verschiedenen Nachrichtenarten - Nachrichtenarchiv - Rückgabewerte - Schnellübersicht und Preisliste Weltweite-SMS.de

Mehr

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3 Inhalt: Ihre persönliche Sedcard..... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3 Passwort ändern... 3 email ändern... 4 Sedcard-Daten bearbeiten... 4 Logout... 7 Ich kann die Sedcard

Mehr

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG Copyright (C) 1999-2004 SWsoft, Inc. Alle Rechte vorbehalten. Die Verbreitung dieses Dokuments oder von Derivaten jeglicher Form ist verboten, ausgenommen Sie

Mehr

OLXConvert. aus der Reihe Praxisorientierte Tools für MS-Outlook. und. MS-ExchangeServer. OLXConvert Kurzeinführung / Installation.

OLXConvert. aus der Reihe Praxisorientierte Tools für MS-Outlook. und. MS-ExchangeServer. OLXConvert Kurzeinführung / Installation. OLXConvert aus der Reihe Praxisorientierte Tools für MS-Outlook und MS-ExchangeServer Copyright by Nelkenstrasse 16 73540 Heubach-Lautern Tel: +49 (7173) 92 90 53 E-Mail: info@gangl.de Internet: http://www.gangl.de

Mehr

In Kontor.NET können ein oder auch mehrere xt:commerce Webshops angebunden werden. Über die Shop- Schnittstelle tauscht Kontor.

In Kontor.NET können ein oder auch mehrere xt:commerce Webshops angebunden werden. Über die Shop- Schnittstelle tauscht Kontor. In Kontor.NET können ein oder auch mehrere xt:commerce Webshops angebunden werden. Über die Shop- Schnittstelle tauscht Kontor.NET automatisch Artikel, Bestände und Bestellungen und weitere Informationen

Mehr

Handbuch organice Business Intelligence

Handbuch organice Business Intelligence Handbuch organice Business Intelligence Stand: Februar 2014, Version 1.1.0.1 2001-2014 organice Software GmbH Grunewaldstr. 22, 12165 Berlin Alle Rechte vorbehalten. Die Software und dieses Handbuch dürfen

Mehr

Kundenleitfaden Secure E-Mail

Kundenleitfaden Secure E-Mail Vorwort Wir leben in einem elektronischen Zeitalter. Der Austausch von Informationen erfolgt zunehmend über elektronische Medien wie das Versenden von E-Mails. Neben den großen Vorteilen, die uns elektronische

Mehr

Installation und Lizenz

Installation und Lizenz Das will ich auch wissen! Kapitel 2 Installation und Lizenz Inhaltsverzeichnis Überblick über dieses Dokument... 2 Diese Kenntnisse möchten wir Ihnen vermitteln... 2 Diese Kenntnisse empfehlen wir... 2

Mehr

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden

Angriffsmethoden von Hackern. A. Verschiedene Angriffsmethoden 1 Angriffsmethoden von Hackern A. Verschiedene Angriffsmethoden 1. IP-Spoofing IP-Spoofing bedeutet das Vortäuschen einer bestimmten IP-Adresse als Absender-Adresse. Er kann Access-Listen von Routern überlisten

Mehr

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1 Arbeitsblätter Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685 Aufgaben Kapitel 1 1. Sie betreuen die Clients in Ihrer Firma. Es handelt sich um Windows 7 Rechner in einer Active Momentan

Mehr

Handlungsanweisung für den Remotezugriff per SSL-VPN auf Resourcen am UKD

Handlungsanweisung für den Remotezugriff per SSL-VPN auf Resourcen am UKD Handlungsanweisung für den Remotezugriff per SSL-VPN auf Resourcen am UKD 1. Vorbemerkungen Beim Remotezugriff per SSL-VPN über ihren Browser erfolgt der Zugriff auf vordefinierte Resourcen am UKD ohne

Mehr

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist Collax SSL-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als SSL-VPN Gateway eingerichtet werden kann, um Zugriff auf ausgewählte Anwendungen im Unternehmensnetzwerk

Mehr