Sicherheit von Webapplikationen
Sicherheit von Webapplikationen
Client-Server-Anwendungen halten Verbindungen zur Kommunikation in der Regel aufrecht und kontrollieren Ablauf und Zugriff auf Informationen. Webservices kennen keine Sessionkontrolle. Benutzer fordern eine Seite an und verschwinden bis zum nächsten Seitenwechsel aus der Sicht des Servers. Dies öffnet weitere Möglichkeiten für unliebsame Attacken (direkter Aufruf von Webseiten ausserhalb des vorgegebenen Ablaufs), die abzuwenden sind. Benutzer-identifikation, Zugriffs- und Ablaufkontrolle -gehören zu den grossen Herausforderungen der Implementierung Web-basierter Anwendungen.
Lösungsansätze
Es bieten sich eigentlich nur zwei Wege, diesen Problemen entgegen zu wirken.
Der Ansatz, die Erweiterung des Anwendungscodes durch geeignete Schutzmechanismen («safe coding») und explizite Prüfungen, führt sicherlich zu Verbesserungen der Situation. Vermehrt unterstützen Werkzeuge die Anwendungsentwicklung bei Plausibilitätskontrollen und helfen Gefahren abzuwenden. Diese Mittel helfen nur dann, wenn sie auch richtig eingesetzt werden. Schutz gegen die Verwundbarkeit der benutzten Plattformkomponenten (Betriebssysteme und Middleware) bieten diese allerdings kaum.
Geeigneten Schutz bieten hier nur speziell ausgerichtete Komponenten, die den Anwendungen vorgelagert sicherheitstechnische Überpüfungen -abnehmen und im Falle von Attacken entsprechende Massnahmen einleiten. Diese Produkte (genannt Application Firewalls) ermöglichen auf der Anwendungsebene pro-aktive Sicherheitsmassnahmen vor generellen und gezielten Attacken. Als Reverse Proxy den Anwendungsservern vorgeschaltet, überprüfen sie jeden Request. Entspricht der Request den vordefinierten Regeln (idealerweise werden sowohl negative als auch positive Regelstrategien unterstützt) wird dieser zur Weiterleitung an die Anwendung freigegeben.
Der Ansatz, die Erweiterung des Anwendungscodes durch geeignete Schutzmechanismen («safe coding») und explizite Prüfungen, führt sicherlich zu Verbesserungen der Situation. Vermehrt unterstützen Werkzeuge die Anwendungsentwicklung bei Plausibilitätskontrollen und helfen Gefahren abzuwenden. Diese Mittel helfen nur dann, wenn sie auch richtig eingesetzt werden. Schutz gegen die Verwundbarkeit der benutzten Plattformkomponenten (Betriebssysteme und Middleware) bieten diese allerdings kaum.
Geeigneten Schutz bieten hier nur speziell ausgerichtete Komponenten, die den Anwendungen vorgelagert sicherheitstechnische Überpüfungen -abnehmen und im Falle von Attacken entsprechende Massnahmen einleiten. Diese Produkte (genannt Application Firewalls) ermöglichen auf der Anwendungsebene pro-aktive Sicherheitsmassnahmen vor generellen und gezielten Attacken. Als Reverse Proxy den Anwendungsservern vorgeschaltet, überprüfen sie jeden Request. Entspricht der Request den vordefinierten Regeln (idealerweise werden sowohl negative als auch positive Regelstrategien unterstützt) wird dieser zur Weiterleitung an die Anwendung freigegeben.