Webanwendungen. Sicheres Fundament. Eine Sichere Website ist ein Fundament

Transkript

1 Eine Sichere Website ist ein Fundament Was passiert eigentlich mit einer Website oder dem Server, wenn Sie eine Webseite aufrufen? Wie reagiert der betroffene Server und was führt er daraufhin aus? Wie Verhält sich die betroffene Website und welche Rechenoperationen führt diese durch? Sicher kann der Fokus nicht auf ein Content Management System gelegt werden, ein CMS wie Magento oder Wordpress kann perse für den einzelnen Anwender nicht als sicher bezeichnet werden Fast täglich erscheinen neue Sicherheitslücken für diese Content Manegament Systeme die gefährlich für den kompletten Server werden können Datendiebstahl aus der Datenbank nicht ausgeschlossen Wie sieht eine sichere Website aus? Anhang unserer Programmanalysen von Scripten können wir eine sichere Website die Gleichzeitigkeit für den Server selbst kein Risiko darstellt Anhang von Faktoren Erkennen Dabei entsteht ein Suchraum, den wir nach Fehlern durchforsten können Je mehr Programme hinter der Seite liegen, desto mehr kann schief das die Sicherheit der Website und somit auch des Servers gefährden Ein Beispiel für ein Problem ist die Ladezeit von Seiten, die stark davon abhängt, wie effizient Skripte auf dieser Website ausgeführt werden Diese Effizents hängt nicht nur Von der Server kapazität ab, sondern auch von der Programmierung selbst Browser sind nicht geduldig Sie haben Grenzwerte zwischen fünf und zehn Sekunden Ist diese Zeit überschritten, verkündet der Browser, dass die Seite im Fenster nicht zur Verfügung stehe Die Programmierer von Webseiten tun sich schwer damit, solche Fehler frühzeitig zu erkennen Sie treten mitunter nur unter bestimmten Voraussetzungen auf, zum Beispiel wenn der User mehrere Schritte in einer festen Reihenfolge ausführt Beim Routine-Check der Seite werden die Fehler deshalb übersehen Janotta-partnerde

2 Was passiert Technisch? Zuverlässigkeit, Effizienz und Datensicherheit bei Webapplikationen Eine Webseite ist dann sicher wenn Sie zuverlässig ist, die Website sich sich so verhält, wie vom Betreiber intendiert, und nicht abstürzt Sie ist sicher, wenn die Daten des Betreibers und der Besucher gegen Angriffe geschützt sind Außerdem ist eine optimale Seite schnell und führt keine unnötigen Rechenoperationen durch und den Server nicht belastet Ein CMS wie Wordpress kann schon alleine in diesen Punkten nicht mithalten Magento hingehen Ist zwar schnell, aber auch hier verhindern Scripte, Ladezeit und Zuverlässigkeit und wegen vieler Sicherheitslücken gefährden Sie die Datensicherheit des Servers im allgemeinen Ein Ausweg ist auf HTML5 Programmierte Websites zu setzen, wird sich der durchschnittlicher Anwender damit nicht begnügen, so bauen professionelle Anwender bereits auf HTML5 Wie bekommen Sie eine Website sicher? "Das Internet ist ein Zusammenschluss aus vielen verschiedenen Netzwerken" An den Knotenpunkten können Daten von einem Netzwerk ins nächste übertragen werden Die Daten werden dann zurück zum Computer des Anwenders geleitet Das Aufrufen einer Webseite funktioniert eigentlich über deren IP-Adresse Diese aus Ziffern bestehenden Adressen (zb ) sind so etwas wie Anschriften im Internet Ähnlich wie bei einer Adresse auf einem Paket weiß so der Postbote - in diesem Fall die Computer und Router in den Rechenzentren - wo ein Datenpaket hingehen soll Janotta-partnerde

3 Zusätzlich zur IP-Adresse werden technische Daten übertragen In erster Linie sind das die Art von Computer, das Betriebssystem, die Auflösung des verwendeten Bildschirms und der Browser, mit dem jemand im Internet surft Der Webseiten-Betreiber sieht so beispielsweise, dass jemand von einem Apple-Computer mit dem Firefox-Browser auf ihre Webseite zugreifen will Diese Informationen sind wichtig, um Inhalte auf der Seite korrekt darzustellen Eine Webseite sieht auf einem Handydisplay anders aus als auf einem große PC-Bildschirm Eine Kombination der Browserdaten kann allerdings so selten sein, dass sie quasi einen digitalen Fingerabdruck bildet und den Nutzer identifizierbar macht - "zum Beispiel, wenn ich der einzige in einer Firma bin, der mit einem iphone im Internet surft" Website auf Sicherheit prüfen Grundsätzlich kann nicht oft genug gesagt werden das Sie Ihren Besuchern nicht trauen sollen Dieser Satz hört sich erst einmal negativ an, jedoch wissen Sie nicht was diese auf Ihrer Website alles tun Denken Sie an eine, clientseitige Validierung der Website zum Beispiel mit Hilfe von JavaScript Wenn PHP-Sicherheit für Sie wichtig ist, ist dieser einzelne Punkt der wichtigste PHP Sicherheit sollte bei einer sicheren Web- Seite Voraussetzung sein 67 % der Website Hacks, geht auf mangelnde PHP Sicherheit zurück Malware sieht das ebenfalls und nährt sich in Webanwendungen von PHP Der Datendiebstahl ist so nicht weit weg Janotta-partnerde

4 In vielen Sprachen müssen Sie explizit eine Variable erstellen In PHP gibt es eine Option "register_globals", Diese ist in der phpini gekennzeichnet Betrachten Sie den folgenden Code: if ($ password == "my_password") { $ Autorisierte = 1; if ($ autorisiert == 1) { "Es gibt viele wichtige Sachen" Echo; Diese Art von Code ist im ganzen Web im Gebrauch Wenn jedoch auf einem Server "register_globals" aktiv ist, dann auch noch der Zusatz "? Autorisiert = 1" aktiv ist, dann ist dies der am häufigsten verwendeten PHP Sicherheitsprobleme Glücklicherweise hat dies ein paar mögliche einfache Lösungen Der erste Lösung ist vielleicht auch die beste Einfach "register_globals", auszuschalten Das zweite ist, sicherzustellen, dass Sie nur Variablen verwenden, die Sie selbst explizit festgelegt haben Im obigen Beispiel würde das bedeuten, Sie fügen: "$ autorisiert = 0;" am Anfang des Skripts hinzu: $ Autorisierte = 0; if ($ password == "my_password") { $ Autorisierte = 1; if ($ autorisiert == 1) { "Es gibt viele wichtige Sachen" Echo; Janotta-partnerde

5 Fehlermeldungen in Websites Fehler sind ein sehr nützliches Werkzeug für Programmierer und Hacker Ein Entwickler braucht sie, um Fehler zu beheben Ein Hacker kann sie verwenden, um alle Arten von Informationen über eine Website, um herauszufinden Letzten Endes betrifft das dann die Verzeichnisstruktur des Servers und die Datenbank- Login-Informationen Wenn möglich, am besten, alle Fehler in einer Live-Anwendung Reporting auszuschalten PHP kann dies durch htaccess oder phpini, die von "error_reporting" mit einer einfachen "0" die gesetzt wird Wenn Sie eine Entwicklungsumgebung haben, können Sie eine andere Fehlerberichtsebene nutzen SQL-Injektion Eine der größten Stärken von PHP ist die Schnelligkeit, mit der PHP mit Datenbanken, insbesondere MySQL kommunizieren kann Viele Leute machen ausgiebig Gebrauch von dieser Technik Wie Sie es erwarten, haben Hacker jedoch viel Macht, es gibt das Potenzial große Sicherheitsprobleme auszunutzen Zu hoffen das ein Hacker ein guter Mensch ist und Diese eventuell Mitteilt ist eine falscher Glaube Glücklicherweise gibt es Lösungen Das häufigste Sicherheitsrisiko ist, wenn es Interaktion mit einer Datenbank Gibt, sodass eine SQL-Injection - SQL-Abfragen auf der Datenbank ermöglicht Viele Login-Systeme verfügen über eine Linie, wenn Sie den Benutzernamen und das Passwort in ein Formular eingeben, das von der Datenbank erkannt wird und einem Benutzer zuweist Janotta-partnerde

6 Ein Beispiel um den Zugang zu einem Verwaltungsbereich zu steuern: $ Check = mysql_query ( "SELECT Benutzername, Kennwort, Userlevel von den Benutzern WHERE Username = '" $ _ POST [' Username '] "' Und Passwort = '" [password'] " '" $ _ POST'); Es kann gut nun gut sein, das es auf den ersten Blick so scheint, das ein gewöhnliches Formular wie unser Code aussieht, aber mit unserem können jetzt viel Schaden anrichten Natürlich wollen wir an dieser Stelle nicht so sehr in die Technischen Details, und das soll für Sie nur ein Beispiel sein, wie schnell ein kleiner unscheinbarer Fehler passieren kann, der Ihre Kunden Daten kosten kann Eine Website sollte Demnach als sicher bezeichnet werden, wenn der Code sicher ist und auch das Gerüst auf dem die Website läuft, also der Server Entwickler haben hier einen riesiger Suchraum, den Sie nach Fehlern durchforsten müssten Sofern schützenswerte oder interne Daten auf der Website hinterlegt werden, sollten Sie einen Sicherheitsanbieter auswählen der Sie unterstützen kann Beugen Sie innerbetrieblichen Sicherheitsrisiken und Sensibilisieren Sie Ihre Mitarbeiter speziell für IT- und Informationssicherheit im Umgang mit Webseiten, sofern diese selbständig Inhalte einpflegen oder modifizieren Sichern und prüfen Sie die technische Betreuung und Verschlüsseln Sie Datensicherungen und prüfen Sie diese auf Brauchbarkeit Führen Sie regelmäßig Sicherheitschecks mit Projekt durch und halten Sie Ihren HTML Code Valide Prüfen Sie regelmäßig, ob Ihre Seite gehackt wurde, bei aller vorsicht: Sie können sehr viel tun, um Ihre Webseite zu schützen Aber selbst die besten Vorkehrungen können Ihnen keine 100% Sicherheit vor Hacking bieten Als Website-Betreiber merken Sie oft gar nicht oder zu spät, dass Ihre Webseite gehackt wurde Deshalb sollten Sie Ihre Webseite regelmäßig prüfen Janotta-partnerde

7 Führen Sie außerdem Code reviews durch In unserem Handbuch Code Review bieten wir Ihnen dazu weitere Informationen Siehe: Codereivew: Sicherheit von Webanwendungen Janotta-partnerde