18.01.2011 18:27
OWASP: Absolutes Must für Web-Entwickler
Web-Entwickler sind kreative Menschen und verstehen es perfekt - der eine mehr, der andere weniger - das Wesen des Kunden im World Wide Web in Szene zu setzen. Zu einem erfolgreichen Webauftritt, reicht es aber längst nicht mehr nur das Auge zu bedienen, nein, auch wie es um dessen Sicherheit bestellt ist (und damit ist nicht das "Auge" gemeint), mag insbesondere im negativen Fall (Hack? Defacement? ...) nachhaltig image-prägend wirken.
Um einem solchen Negativerlebnis (aus Sicht des Kunden) oder Misserfolg (aus Sicht des Entwicklers) proaktiv entgegenwirken zu können, wurde einst das "freie" Projekt OWASP ins Leben gerufen. OWASP bietet allen an einer typischen Web-Applikation beteiligten Personen (Rollen) spezifisches Wissen, wie am besten den klassischen Fallstricken wie XSS, SQL-Injection, usw. zu begegnen ist.
Mehr noch, OWASP bietet eine Live-CD an, die eine nach allen Regeln der Kunst verwundbare Web-Applikation beinhaltet, die nach Lust und Laune attackiert werden darf. Ziel ist es aber natürlich wie immer nicht, "schwarz" zu werden, sondern vielmehr, sich der Möglichkeiten, der Auswirkungen, aber in erster Linie deren Ursachen bewusst zu werden. Spielerisch motivierend belegt man im Zuge der Live-CD einen im Schwierigkeitsgrad ansteigenden Kurs, bei dem man neben dem initialen "Hack" sinnvollerweise auch gleich die Behebung der entsprechenden Sicherheitslücke bewerkstelligen muss, bzw. vorgeführt bekommt.
Alles in allem, eine wertvolle Lektüre/Zeitvertreib, die den einen oder anderen Web-Entwickler sich die Frage stellen lassen sollte, ob es nicht sinnvoll wäre, sich eine entsprechende "sicher gemäß OWASP"-Plankette oder Ähnliches, an sein/ihr Aushängeschild (Website!) heften zu wollen.Autor: Christian Wojner
Um einem solchen Negativerlebnis (aus Sicht des Kunden) oder Misserfolg (aus Sicht des Entwicklers) proaktiv entgegenwirken zu können, wurde einst das "freie" Projekt OWASP ins Leben gerufen. OWASP bietet allen an einer typischen Web-Applikation beteiligten Personen (Rollen) spezifisches Wissen, wie am besten den klassischen Fallstricken wie XSS, SQL-Injection, usw. zu begegnen ist.
Mehr noch, OWASP bietet eine Live-CD an, die eine nach allen Regeln der Kunst verwundbare Web-Applikation beinhaltet, die nach Lust und Laune attackiert werden darf. Ziel ist es aber natürlich wie immer nicht, "schwarz" zu werden, sondern vielmehr, sich der Möglichkeiten, der Auswirkungen, aber in erster Linie deren Ursachen bewusst zu werden. Spielerisch motivierend belegt man im Zuge der Live-CD einen im Schwierigkeitsgrad ansteigenden Kurs, bei dem man neben dem initialen "Hack" sinnvollerweise auch gleich die Behebung der entsprechenden Sicherheitslücke bewerkstelligen muss, bzw. vorgeführt bekommt.
Alles in allem, eine wertvolle Lektüre/Zeitvertreib, die den einen oder anderen Web-Entwickler sich die Frage stellen lassen sollte, ob es nicht sinnvoll wäre, sich eine entsprechende "sicher gemäß OWASP"-Plankette oder Ähnliches, an sein/ihr Aushängeschild (Website!) heften zu wollen.Autor: Christian Wojner