Entwicklung & Design

Neue Möglichkeiten der Interaktion benötigen einen verstärkten Schutz: Anwendungen im Web 2.0 absichern

Seite 5 / 5

TYPO3 verfügt über eine ausgeklügelte Benutzerverwaltung, sowohl für Frontend- als auch für Backend-Benutzer. Durch das einfache Gruppieren von Benutzern und das Verwalten von Backend-Zugriffen mittels ACL (Access Control List) hat der Administrator tiefgehende Optionen, die manipulierbar sind. Einziger Nachteil ist, dass TYPO3 die Frontend-Benutzer mit dem Passwort in Klartext speichert. Das Problem kann aber mit einer Extension gelöst werden (kb_md5fepw) [1]. Viele weitere Hinweise zur Absicherung gibt es im TYPO3-Security-Cookbook [2].

Web-Application-Firewall (WAF)

Einen guten Schutz gegen eine Vielzahl von Angriffen auf Webanwendungsebene bietet die Open-Source-Lösung „ModSecurity“. Ohne Eingriffe in bestehende Netzwerkinfrastrukturen ermöglicht sie zudem "HTTP traffic monitoring" sowie Echtzeit-Analysen. Das benötigte Regelwerk muss dabei über die systemeigene „RuleLanguage“ in die config-Datei eingepflegt werden.

PHP
SecRule REQUEST_URI|ARGS|REQUEST_BODY "highlight=.*(\'|\%[a-f0-9]{4})(\.|\/|\|\%[a-f0-9]{4}).+?(\'|\%[a-f0-9]{4})"

Listing 8

Web-Applikationen mit Content Management Systemen oder Onlineshops schützt die professionelle Lösung „web of defence“ vor Angriffen. Auch vor solchen, die von keiner herkömmlichen Sicherheitslösung wie Firewall oder Antivirusprogramm erkannt und abgewehrt werden. Dazu zählen SQL-Injection, Web-Defacement, XSS oder Session-Manipulationen. Die Lösung identifiziert und klassifiziert Angriffe und verhindert unberechtigte Zugriffe auf die hinter der Webanwendung liegenden Datenbanken und operativen Systeme. So bleiben geschäftskritische oder sensible Informationen wie Kundendaten und Produktinformationen sicher – vor allem auch während laufender Transaktionen, wenn die Systeme offen und damit angreifbar sind.

Die Oberfläche von web of defence zeigt sich übersichtlich.

Die Oberfläche von web of defence zeigt sich übersichtlich.

Fazit

Durch die wachsende Interaktion zwischen Webseiten und Benutzern im Web
2.0 einerseits und die dafür eingesetzten Skripte (Ajax) andererseits
entstehen neben dem erhöhten Komfort auch viele neue Angriffsflächen für den Datenklau und anderen Missbrauch. Damit verändern sich
in puncto Sicherheit auch die Anforderungen an Entwickler. Letztlich werden der wirtschaftliche Erfolg und die Konkurrenzfähigkeit in Zukunft nicht nur von funktionierender IT bestimmt, sondern genauso von der gebotenen Sicherheit. Dem Faktor Kundenvertrauen kommt eine zentrale Bedeutung zu, die nicht unterschätzt werden sollte.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!