Midrange MAGAZIN August 2008
Midrange MAGAZIN August 2008
Midrange MAGAZIN August 2008
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
0<br />
TECHNIK & INTEGRATION<br />
Wichtiges über Bedeutung von Sicherheit im Umgang mit XML<br />
XML-Sicherheit<br />
Welche Sicherheitsaspekte sind bei XML zu beachten, welche Sicherheitstypen sind<br />
verfügbar und wie kann man Sicherheit mit XML implementieren.<br />
Sicherheit ist seit langem ein wichtiges<br />
Thema, und das ganz besonders<br />
seitdem das Internet aufkam.<br />
Viele Unternehmen machten seither<br />
die schmerzhafte Erfahrung, dass sie<br />
sich nicht ausschließlich auf physische<br />
Sicherheit und Netzwerksicherheit verlassen<br />
durften, um ihre Daten zu schützen.<br />
Ebenso musste der Übertragungsweg<br />
gesichert werden.<br />
Die Integrität von ungeschützten<br />
Transaktionen kann keinesfalls gewährleistet<br />
werden. Unternehmen, die<br />
keine Sicherheitsmaßnahmen ergreifen,<br />
können nicht garantieren, dass ihre<br />
Transaktionen nicht kompromittiert<br />
wurden. Ohne Sicherheitsmaßnahmen<br />
ist es z. B. denkbar, dass während der<br />
Übertragung Transaktionsdaten gesammelt<br />
oder geändert werden. Ebenso<br />
kann böswillig oder versehentlich der<br />
Zugriff auf unzulässige Befehle erfolgen.<br />
Transaktionsintegrität bietet Sicherheit<br />
in Bezug auf die Identität des<br />
Senders und Empfängers. Ohne diese<br />
können Transaktionen durch unautorisierte<br />
Dritte gesendet oder empfangen<br />
werden. XML ist heutzutage eine weithin<br />
akzeptierte Technik; XML-Daten<br />
müssen daher sicher sein. Wie Ihnen<br />
die vielen Beispiele im ITP-Fachbuch<br />
„XML für eServer i5 und iSeries“ zeigen,<br />
besteht XML aus Klartext. Wenn<br />
Sie diesen Typ Informationen über einen<br />
ungesicherten HTTP-Kanal senden,<br />
setzen Sie sich einem hohen Sicherheitsrisiko<br />
aus, besonders wenn es um<br />
sensible Daten geht.<br />
Man unternahm daher in der Vergangenheit<br />
den Versuch, eine einzige<br />
MIDRANGE MAgAZIN · 08/2006<br />
Lösung für alle Sicherheitsaspekte zu<br />
entwickeln. Das Unterfangen erwies<br />
sich jedoch als schwierig, da jedes Unternehmen<br />
einzigartige Anforderungen<br />
und ein typisches Umfeld aufweist.<br />
Sprachen für die Entwicklung, Programme,<br />
Betriebssysteme, Hardware-<br />
oder allgemeine Netzwerk-Infrastruktur<br />
– all diese Elemente können mit einer<br />
einzelnen Sicherheitsempfehlung nicht<br />
berücksichtigt werden. Es waren Standards<br />
notwendig, die an die ständigen<br />
technischen Veränderungen angepasst<br />
werden konnten und so zusammenspielten,<br />
dass eine vollständige Suite<br />
von Sicherheitsfunktionen entstand.<br />
Um die Sicherheitsbedenken beim<br />
Aufkommen von XML zu zerstreuen,<br />
schuf man daher eine Reihe von XML-<br />
Sicherheitsstandards, damit die Sicherheit<br />
der XML-Dokumente gewährleistet<br />
wird und die Daten vor Kompromittierung<br />
geschützt werden.<br />
Schwachstellen der XML-Techniken<br />
„Wenn Sie es entwickeln, werden sie<br />
es hacken…“ Es war nur eine Frage der<br />
Zeit, bis die Hacker herausfanden, wo<br />
die Schwachstelle der XML-Techniken<br />
liegt, nämlich beim Parser, der Zugang<br />
zu vielen Sicherheitslücken ermöglicht.<br />
Eine Anwendung kann damit z. B. veranlasst<br />
werden, willkürlich Dateien zu<br />
öffnen oder Dateien auszuführen, die<br />
TCP-Verbindungen herstellen können.<br />
Pufferüberlauf-Angriffe sind ein weiteres<br />
Problem in Verbindung mit dem<br />
Parser. Bei diesen überschreitet die gesendete<br />
Datenmenge die erwartete Datenmenge<br />
und führt so zu unerwarteten<br />
Ergebnissen. Pufferüberlauf-Angriffe<br />
können für Systemausfälle ebenso wie<br />
für die Ausführung unautorisierter Anwendungen<br />
verantwortlich sein.<br />
Zu derartigen Problemen kommt<br />
es, wenn eine Anwendung, die im Internet<br />
zugänglich ist, XML-Eingaben<br />
aus unsicheren Quellen akzeptiert. Ein<br />
weiterer Schwachpunkt von XML ist<br />
die Tatsache, dass XML-Dokumente ein<br />
Klartextformat aufweisen. Dieses Format<br />
bringt folgende Probleme mit sich:<br />
die Sichtbarkeit der Daten während der<br />
Übertragung und der Zugriff auf das<br />
Dokument über das Dateisystem oder<br />
über eine andere Anwendung. Lassen<br />
Sie bei der Arbeit mit XML Sorgfalt walten,<br />
damit diese Schwachpunkte nicht<br />
zu Sicherheitsproblemen führen.<br />
Die Bedeutung der Sicherheit<br />
In Bezug auf Technik ist der Spruch<br />
„Nichts ist perfekt!“ ein wahres Wort.<br />
Und da Computer im Internet, Intranet<br />
oder auch in sicheren Kanälen größeren<br />
Risiken ausgesetzt sind als je zuvor,<br />
werden auch ihre Schwachstellen<br />
mehr und mehr zum Risiko. Zur Risikobegrenzung<br />
sind also Sicherheitsstandards<br />
erforderlich. Einige grundlegenden<br />
Sicherheitsgrundsätze sind<br />
zum Beispiel:<br />
ó Integrität sicherstellen<br />
ó Daten schützen<br />
ó Key-Management<br />
ó Benutzervalidierung und Regeln<br />
Tatsache ist leider, dass Bedrohungen<br />
erst dann verstanden werden<br />
können, nachdem sie identifiziert wurden.<br />
Wurden sie erst einmal begriffen,