Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...
Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...
Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
eeinflussen. Denn in Zukunft weichen die<br />
klassischen Grenzziehungen an der Netzwerkkante.<br />
Projekte an den Schnittstellen exakt<br />
definieren<br />
Welche Empfehlungen geben also Spezialisten,<br />
um open-sourcebasierte CMS-Lösungen<br />
möglichst optimal abzusichern und dem<br />
zunehmenden Wildwuchs zu entfliehen,<br />
sprich dem latenten Managementchaos vorzubeugen?<br />
Kritische Schwachpunkte sind<br />
etwa die dominante Skriptsprache PHP, aber<br />
auch Java. Wie lassen sich Schwachstellen<br />
bereits im Vorfeld beim Konzept und Programmierung<br />
unterbinden, etwa durch vorbeugende<br />
Awareness für Entwicklercommunities<br />
oder die Web-Administratoren?<br />
„<strong>Die</strong> verwendete Sprache kann nicht direkt<br />
als Schwachpunkt angesehen werden“, erläutert<br />
Mag. Roman Weinberger, Geschäftsführer<br />
beim IT-Spezialisten Studio78.at<br />
(www.studio78.at) in Wien.Der Experte rät den<br />
IT-Professionals vielmehr, die Sprachen hinsichtlich<br />
der Förderung von sicheren (Java)<br />
oder unsicheren Programmierstilen (PHP)<br />
zu unterscheiden.<br />
Auf der Seite der Entwickler habe sich in<br />
letzter Zeit der Stellenwert von sicheren Entwicklungsmethoden,<br />
bedingt durch die teils<br />
massiven Sicherheitsprobleme bestehender<br />
Anwendungen, deutlich erhöht, so Weinberger<br />
weiter. Für neue Projekte stelle deshalb<br />
die Sicherheit eines der Hauptziele der<br />
Entwicklung dar, „und es wird vermehrt bei<br />
PHP auf OOP und diverse Frameworks zurückgegriffen“.<br />
Das Hauptproblem sieht der Experte aber<br />
vor allem bei der Integration in bestehende<br />
Anwendungen, was gerade mit Blick auf<br />
Sicherheitsaspekte noch wenig bedacht worden<br />
sei. „Hier haben auch Administratoren<br />
eine Möglichkeit, sanften Druck auf die Entwickler<br />
auszuüben indem sie unsichere beziehungsweise<br />
veraltete Umgebungsfeatures<br />
wie register_globals bei PHP nicht weiter<br />
unterstützen“, regt Roman Weinberger<br />
an. Zudem sind weitere technisch kritische<br />
Punkte zu bedenken, wie unzureichend gesicherte<br />
SQL-Abfragen, die Attacken, wie<br />
eine SQL Injection, LDAP Injection, XSS<br />
oder CSRF nach sich ziehen <strong>können</strong>. „Auf<br />
Seite der Anwendungen sollte solchen Problemen<br />
mit durchgehender Input-Validierung,<br />
Escaping und gegebenenfalls der Verwendung<br />
von datenbankspezifischen Featu-<br />
„<strong>Die</strong> verwendete Sprache<br />
kann nicht direkt<br />
als Schwachpunkt angesehen<br />
werden.“ -<br />
Mag. Roman Weinberger,<br />
Studio78.at<br />
res, wie z. B. Prepared Statements bei SQL<br />
entgegnet werden“, ergänzt Geschäftsführer<br />
Günther Lackner von Studio78.<br />
Zur Verhinderung von XSS sei das Escaping<br />
und/oder White Listing aller auszugebenden<br />
Inhalte nötig. „Wenn eine Anwendung<br />
gegen XSS geschützt ist, lassen sich<br />
CSRFs vergleichsweise einfach mit in Formularen<br />
eingebetteten Shared Secrets vermeiden“,<br />
so der Experte weiter. Aktuelle<br />
Frameworks wie Ruby on Rails bieten dies<br />
bereits in transparenter Form an. Auch die<br />
Verwendung von nicht-transparenten<br />
Session-IDs stelle einen gewissen Schutz vor<br />
CSRFs (Cross Site Request Forgery Defense)<br />
dar.<br />
Zusätzliche Schutzmaßnahmen wären<br />
außerdem vorgeschaltete Web-Applications-<br />
Firewalls - von kostengünstigen Lösungen<br />
wie dem mod_security für Apache bis hin<br />
zu dedizierter IPS-Hardware.Wie aber lassen<br />
sich großflächig angelegte Denial of Service<br />
Attacken (DDoS) vermeiden? „DDoS<br />
lassen sich nur sehr schwer vollständig vermeiden“,<br />
räumt Weinberger ein. <strong>Die</strong> Wahl<br />
einer probaten Gegenstrategie beginne auf<br />
Seite der Web-Anwendung mit durchgängigem<br />
Caching und der Limitierung von<br />
„teuren“ Aufrufen.<br />
Server und alle kritischen<br />
Endpunkte absichern<br />
„Damit <strong>können</strong> kleine DoS-Attacken bereits<br />
recht sinnvoll vermieden werden“, betont<br />
Weinberger. Zusätzlich sei auch die Sperre<br />
von bestimmten Adressbereichen - mit<br />
Unterstützung einschlägiger Blacklists -<br />
eine gute Lösung gegen kleinere DDoS-<br />
Attacken.Außerdem bieten IPS-Appliances<br />
verschiedene Möglichkeiten zur Abschwächung<br />
der Effekte im Netzwerk an.<br />
Auch die Erhöhung der Performance und<br />
die Verschleierung der eigentlichen Serverstandorte<br />
mit Hilfe eines zusätzlich ins Boot<br />
geholten externen <strong>Die</strong>nstleister kann ein<br />
Individuell.<br />
Ganzheitlich.<br />
Energieeffi zient.<br />
IT-Lösungen<br />
100 % modular<br />
Rittal ist Mitglied in<br />
„THE GREEN GRID“<br />
Weitere Informationen auf<br />
www.rittal.at/IT<br />
Rittal Schaltschränke Ges.m.b.H.<br />
Wien – Linz – Graz – Lauterach<br />
Tel. Zentrale: (01) 610 09-0<br />
offi ce@rittal.at, www.rittal.at