Abo
  • Services:
Anzeige
Die häufigsten Sicherheitslücken bekommen ein Update.
Die häufigsten Sicherheitslücken bekommen ein Update. (Bild: Veracode)

Hersteller von Security-Software könnten sich freuen

Wie auch immer: Hersteller von Softwarelösungen in diesem Bereich wird es sicher freuen, wenn dieser Punkt in die OWASP Top 10 gelangt. Vielleicht hat es auch für Entwickler und Verantwortliche von Webapplikationen etwas Gutes, da Findings in Penetrationstests, die sich auf die OWASP Top 10 beziehen, das Management demnächst zu Investitionen in dem Bereich bewegen werden. Ob das auch zu einer tatsächlichen Verbesserung der Sicherheit dieser Applikationen oder eher zum Einsparen von qualifizierten Entwicklern führt, das bleibt abzuwarten.

Anzeige

Die letzte Änderung an den OWASP Top 10, die in dem Release Candidate vorgeschlagen wird, ist die Zusammenführung von unsicherer direkter Referenzierung von Objekten (IDOR) und fehlender Kontrolle von Zugriffsrechten. Beide Sicherheitsrisiken werden demnächst möglicherweise zu einem Platz in den Top 10 als Broken Access Control zusammengeführt. Dabei handelt es sich allerdings um keine echte Neuerung, denn diese Kategorie wurde bereits bei der ersten Veröffentlichung der OWASP Top 10 im Jahr 2004 auf Platz 2 geführt. Insoweit kehrt OWASP zu einer alten Empfehlung zurück und macht damit die Top 10 kompakter. Diese Änderung wird vermutlich kaum für große Diskussionen sorgen.

Weitere Vorschläge und Anregungen erwünscht

OWASP bittet die Community aktuell um weitere Vorschläge und Anregungen zu den Top 10. Diese sind über die Mailingliste einzureichen und werden zunächst öffentlich diskutiert. Ob sich dadurch noch große Änderungen an den Top 10 ergeben, ist fraglich; in den letzten Diskussionsrunden wurde meist an die bestehenden Vorschläge angeknüpft. Das Ende der öffentlichen Diskussionsphase ist auf den 30. Juni 2017 datiert.

Anschließend werden die Anregungen aus der Community von einem OWASP-Team evaluiert und möglicherweise in den endgültigen Release aufgenommen, um diesen spätestens im Juli oder August 2017 als neue OWASP Top 10 zu veröffentlichen. Es bleibt abzuwarten, wie die Entwicklercommunity und IT-Security-Unternehmen darauf reagieren werden. Etwas grundsätzlich Neues stellen die Top 10 dann vermutlich nicht dar, bis auf die mögliche Änderung rund um die Implementierung von zusätzlichen Sicherheitsmechanismen.

Hielte sich jeder Entwickler strikt an die Best-Practice-Empfehlungen im Bereich der Webentwicklung, welche ebenfalls von OWASP veröffentlicht werden, wäre die Herausgabe der Top 10 irgendwann vermutlich obsolet. Man könnte sich dann ausschließlich auf das Veröffentlichen neuer Sicherheitsrisiken fokussieren. Das erscheint aber immer noch eine ferne Utopie zu sein, da fast täglich (auch) bei großen Webdiensten Sicherheitslücken aufgedeckt werden und Fehler im Code wohl menschlich sind - so bleibt das Web zunächst weiterhin eines: unsicher.

Zum Autor

Tim Philipp Schäfers ist Mitinitiator des Projekts internetwache.org, das sich mit der Sicherheit von Webapplikationen beschäftigt. Zudem ist er Mitglied bei OWASP, der Gesellschaft für Informatik, und Autor des Buches Hacking im Web, in dem es ebenfalls um die Sicherheit von Webapplikationen geht.

 OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update

eye home zur Startseite
ibsi 25. Apr 2017

Du meinst "Geldbörse"? :D

Themenstart

blubberer 25. Apr 2017

OWASP sollte jedem, der etwas mit Programmierung am Hut hat, bekannt sein. Es ist schon...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, verschiedene Standorte
  2. DIEBOLD NIXDORF, Dortmund
  3. Robert Bosch GmbH, Abstatt
  4. PSD Bank Karlsruhe-Neustadt eG, Karlsruhe


Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 9,99€
  3. kaufen und 5€-Gutschein erhalten

Folgen Sie uns
       


  1. Zero-Rating

    StreamOn der Telekom bei 200.000 Kunden

  2. Beta Archive

    Microsoft bestätigt Leck des Windows-10-Quellcodes

  3. Deutschland-Chef der Telekom

    Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

  4. Sipgate Satellite

    Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM

  5. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  6. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  7. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  8. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  9. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  10. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mesh- und Bridge-Systeme in der Praxis: Mehr Access Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr Access Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

Mario Odyssey angespielt: Die feindliche Übernahme mit dem Schnauz
Mario Odyssey angespielt
Die feindliche Übernahme mit dem Schnauz
  1. Nintendo Firmware 3.00 bringt neue Funktionen auf die Switch
  2. Nintendo Switch Metroid Prime 4, echtes Pokémon und Rocket League kommen
  3. Arms im Test Gerade statt Aufwärtshaken

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: Schlechter Artikel

    Vielfalt | 07:07

  2. Re: Was genau ist hier das Besondere?

    NaruHina | 07:06

  3. Re: Industrie dort ansiedeln, wo die Ressourcen sind

    der_Volker | 07:03

  4. Re: Will ich als Telekom Kunde nicht

    Solear | 06:49

  5. Re: Darauf ein Glas Wine

    user0345 | 06:18


  1. 14:37

  2. 14:28

  3. 12:01

  4. 10:37

  5. 13:30

  6. 12:14

  7. 11:43

  8. 10:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel