1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Golem Akademie: IT-Sicherheit für…

Alles wichtige Themen ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Alles wichtige Themen ...

    Autor: jimbokork 01.03.20 - 02:24

    die aber mehr in der Administrations-Ecke des Themas stehen als in der Entwicklung.

    Als Entwickler der aber auch mit Fremdcode und auch darauf basierenden eigenen Kreationen arbeitet fehlt mir aber ein ganz wichtiger Punkt ... wie man andere und eigene Skripte in sich schon von Grund auf sicher gestaltet/abwandelt.

    PHP als auch Python ... bis hin zu C bieten selbst weitreichende Möglichkeiten Übergabewerte aus Formularen bzw. Links (REQUEST/POST/GET) auf ihre Gültigkeit gegenüber den Funktion der Anwendung zu prüfen, nicht nur deren Typ sondern auch der nähere Bereich bei Übergabewerten gehört geprüft um erfolgreich gegen Angriffe auf die eigene/angenommene Logik bestehen zu können.

    Ich sehe leider immer wieder, dass dies nicht immer konsequent umgesetzt wird, selbst in hoch professionell verkauften Anwendungen.

    Dagegen gibt es mehrere Wege, einer wäre alle Übergabeparameter gegen Liste/Binär-Baum von erlaubten und ihre für die Anwendung im Kontext möglichst eng zutreffende Definition zu prüfen und die diese Herausforderung nicht bestehe Übergaben nicht einfach still zu verwerfen, sondern auch zu Protokollieren und zu Prüfen ob das wirklich bösartige Angriffe von außen oder nur Fehler der eigenen Anwendung oder Definition der Herausforderung selber sind.

    isNum
    isNat
    isReal
    isPositive
    isNegative
    isChar
    isInRangeOf
    isCaseOf ... inkl. Regex



    1 mal bearbeitet, zuletzt am 01.03.20 02:40 durch jimbokork.

  2. Re: Alles wichtige Themen ...

    Autor: flow77 09.03.20 - 23:18

    jimbokork schrieb:
    --------------------------------------------------------------------------------
    > die aber mehr in der Administrations-Ecke des Themas stehen als in der
    > Entwicklung.
    >
    > Als Entwickler der aber auch mit Fremdcode und auch darauf basierenden
    > eigenen Kreationen arbeitet fehlt mir aber ein ganz wichtiger Punkt ... wie
    > man andere und eigene Skripte in sich schon von Grund auf sicher
    > gestaltet/abwandelt.
    >
    > PHP als auch Python ... bis hin zu C bieten selbst weitreichende
    > Möglichkeiten Übergabewerte aus Formularen bzw. Links (REQUEST/POST/GET)
    > auf ihre Gültigkeit gegenüber den Funktion der Anwendung zu prüfen, nicht
    > nur deren Typ sondern auch der nähere Bereich bei Übergabewerten gehört
    > geprüft um erfolgreich gegen Angriffe auf die eigene/angenommene Logik
    > bestehen zu können.
    >
    > Ich sehe leider immer wieder, dass dies nicht immer konsequent umgesetzt
    > wird, selbst in hoch professionell verkauften Anwendungen.
    >
    > Dagegen gibt es mehrere Wege, einer wäre alle Übergabeparameter gegen
    > Liste/Binär-Baum von erlaubten und ihre für die Anwendung im Kontext
    > möglichst eng zutreffende Definition zu prüfen und die diese
    > Herausforderung nicht bestehe Übergaben nicht einfach still zu verwerfen,
    > sondern auch zu Protokollieren und zu Prüfen ob das wirklich bösartige
    > Angriffe von außen oder nur Fehler der eigenen Anwendung oder Definition
    > der Herausforderung selber sind.
    >
    > isNum
    > isNat
    > isReal
    > isPositive
    > isNegative
    > isChar
    > isInRangeOf
    > isCaseOf ... inkl. Regex

    Bei Formularen gibt es doch ganz klare Gültigkeiten, wenn diese nicht passen, werden sie verworfen. Dafür gibt es in allen Hochsprachen Libs für Formulare mit Constraints die das voll abdecken.
    Das beste Monitoring/Logging ist wenn man sich nicht darum kümmern muss, deswegen gibt es hierfür Logik die Requests limitiert und Sessions sperrt wenn z.B. zu oft ein falsches Passwort eingegeben wurde.

    Als Admin wäre es wohl der Albtraum wenn täglich tausende Warnings über falsche Login-Versuche ins Monitoring kämen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. PASCAL Beratungsgesellschaft für Datenverarbeitung m.b.H., Stuttgart, Hamburg-Altona
  2. Merz Pharma GmbH & Co. KGaA, Frankfurt am Main
  3. Phoenix Contact Electronics GmbH, Bad Pyrmont
  4. TenneT TSO GmbH, Bayreuth, Lehrte, Arnheim (Niederlande)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Indiegames-Rundschau: Stadtbaukasten trifft Tentakelmonster
Indiegames-Rundschau
Stadtbaukasten trifft Tentakelmonster

Traumstädte bauen in Townscaper, Menschen fressen in Carrion und Bilderbuchgrusel in Creaks: Die neuen Indiegames bieten viel Abwechslung.
Von Rainer Sigl

  1. Indiegames-Rundschau Licht aus, Horror an
  2. Indiegames-Neuheiten Der Saturnmond als galaktische Baustelle
  3. Indiegames-Rundschau Dunkle Seelen im Heavy-Metal-Rausch

Programmiersprache Go: Schlanke Syntax, schneller Compiler
Programmiersprache Go
Schlanke Syntax, schneller Compiler

Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
Von Tim Schürmann


    8Sense im Test: Vibration am Kragen gegen Schmerzen im Rücken
    8Sense im Test
    Vibration am Kragen gegen Schmerzen im Rücken

    Das Startup 8Sense will mit einem Ansteckclip einer Bürokrankheit entgegenwirken: Rückenschmerzen. Das funktioniert - aber nicht immer.
    Ein Test von Oliver Nickel

    1. Rufus Cuff Handgelenk-Smartphone soll doch noch erscheinen
    2. Fitnesstracker im Test Aldi sportlich abgeschlagen hinter Honor und Mi Band 4