• IT-Karriere:
  • Services:

Hersteller von Security-Software könnten sich freuen

Wie auch immer: Hersteller von Softwarelösungen in diesem Bereich wird es sicher freuen, wenn dieser Punkt in die OWASP Top 10 gelangt. Vielleicht hat es auch für Entwickler und Verantwortliche von Webapplikationen etwas Gutes, da Findings in Penetrationstests, die sich auf die OWASP Top 10 beziehen, das Management demnächst zu Investitionen in dem Bereich bewegen werden. Ob das auch zu einer tatsächlichen Verbesserung der Sicherheit dieser Applikationen oder eher zum Einsparen von qualifizierten Entwicklern führt, das bleibt abzuwarten.

Stellenmarkt
  1. Vinci Energies Deutschland ICT GmbH, Ulm
  2. PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft, verschiedene Standorte

Die letzte Änderung an den OWASP Top 10, die in dem Release Candidate vorgeschlagen wird, ist die Zusammenführung von unsicherer direkter Referenzierung von Objekten (IDOR) und fehlender Kontrolle von Zugriffsrechten. Beide Sicherheitsrisiken werden demnächst möglicherweise zu einem Platz in den Top 10 als Broken Access Control zusammengeführt. Dabei handelt es sich allerdings um keine echte Neuerung, denn diese Kategorie wurde bereits bei der ersten Veröffentlichung der OWASP Top 10 im Jahr 2004 auf Platz 2 geführt. Insoweit kehrt OWASP zu einer alten Empfehlung zurück und macht damit die Top 10 kompakter. Diese Änderung wird vermutlich kaum für große Diskussionen sorgen.

Weitere Vorschläge und Anregungen erwünscht

OWASP bittet die Community aktuell um weitere Vorschläge und Anregungen zu den Top 10. Diese sind über die Mailingliste einzureichen und werden zunächst öffentlich diskutiert. Ob sich dadurch noch große Änderungen an den Top 10 ergeben, ist fraglich; in den letzten Diskussionsrunden wurde meist an die bestehenden Vorschläge angeknüpft. Das Ende der öffentlichen Diskussionsphase ist auf den 30. Juni 2017 datiert.

Anschließend werden die Anregungen aus der Community von einem OWASP-Team evaluiert und möglicherweise in den endgültigen Release aufgenommen, um diesen spätestens im Juli oder August 2017 als neue OWASP Top 10 zu veröffentlichen. Es bleibt abzuwarten, wie die Entwicklercommunity und IT-Security-Unternehmen darauf reagieren werden. Etwas grundsätzlich Neues stellen die Top 10 dann vermutlich nicht dar, bis auf die mögliche Änderung rund um die Implementierung von zusätzlichen Sicherheitsmechanismen.

Hielte sich jeder Entwickler strikt an die Best-Practice-Empfehlungen im Bereich der Webentwicklung, welche ebenfalls von OWASP veröffentlicht werden, wäre die Herausgabe der Top 10 irgendwann vermutlich obsolet. Man könnte sich dann ausschließlich auf das Veröffentlichen neuer Sicherheitsrisiken fokussieren. Das erscheint aber immer noch eine ferne Utopie zu sein, da fast täglich (auch) bei großen Webdiensten Sicherheitslücken aufgedeckt werden und Fehler im Code wohl menschlich sind - so bleibt das Web zunächst weiterhin eines: unsicher.

Zum Autor

Tim Philipp Schäfers ist Mitinitiator des Projekts internetwache.org, das sich mit der Sicherheit von Webapplikationen beschäftigt. Zudem ist er Mitglied bei OWASP, der Gesellschaft für Informatik, und Autor des Buches Hacking im Web, in dem es ebenfalls um die Sicherheit von Webapplikationen geht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

ibsi 25. Apr 2017

Du meinst "Geldbörse"? :D

blubberer 25. Apr 2017

OWASP sollte jedem, der etwas mit Programmierung am Hut hat, bekannt sein. Es ist schon...


Folgen Sie uns
       


Drohnenflug am Strand mit Google Earth Studio - Tutorial

Wir zeigen im kurzen Tutorial, wie man in Earth Studio eine einfache Animation erstellt.

Drohnenflug am Strand mit Google Earth Studio - Tutorial Video aufrufen
Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

Philips-Leuchten-Konfigurator im Test: Die schicke Leuchte aus dem 3D-Drucker
Philips-Leuchten-Konfigurator im Test
Die schicke Leuchte aus dem 3D-Drucker

Signify bietet mit Philips My Creation die Möglichkeit, eigene Leuchten zu kreieren. Diese werden im 3D-Drucker gefertigt - und sind von überraschend guter Qualität. Golem.de hat eine güldene Leuchte entworfen.
Ein Test von Tobias Költzsch

  1. Smarte Leuchten mit Kurzschluss Netzteil-Rückruf bei Philips Hue Outdoor
  2. Signify Neue Lampen, Leuchten und Lightstrips von Philips Hue
  3. Signify Neue Philips-Hue-Produkte vorgestellt

    •  /