Abo
  • Services:
Anzeige
Die häufigsten Sicherheitslücken bekommen ein Update.
Die häufigsten Sicherheitslücken bekommen ein Update. (Bild: Veracode)

Hersteller von Security-Software könnten sich freuen

Wie auch immer: Hersteller von Softwarelösungen in diesem Bereich wird es sicher freuen, wenn dieser Punkt in die OWASP Top 10 gelangt. Vielleicht hat es auch für Entwickler und Verantwortliche von Webapplikationen etwas Gutes, da Findings in Penetrationstests, die sich auf die OWASP Top 10 beziehen, das Management demnächst zu Investitionen in dem Bereich bewegen werden. Ob das auch zu einer tatsächlichen Verbesserung der Sicherheit dieser Applikationen oder eher zum Einsparen von qualifizierten Entwicklern führt, das bleibt abzuwarten.

Anzeige

Die letzte Änderung an den OWASP Top 10, die in dem Release Candidate vorgeschlagen wird, ist die Zusammenführung von unsicherer direkter Referenzierung von Objekten (IDOR) und fehlender Kontrolle von Zugriffsrechten. Beide Sicherheitsrisiken werden demnächst möglicherweise zu einem Platz in den Top 10 als Broken Access Control zusammengeführt. Dabei handelt es sich allerdings um keine echte Neuerung, denn diese Kategorie wurde bereits bei der ersten Veröffentlichung der OWASP Top 10 im Jahr 2004 auf Platz 2 geführt. Insoweit kehrt OWASP zu einer alten Empfehlung zurück und macht damit die Top 10 kompakter. Diese Änderung wird vermutlich kaum für große Diskussionen sorgen.

Weitere Vorschläge und Anregungen erwünscht

OWASP bittet die Community aktuell um weitere Vorschläge und Anregungen zu den Top 10. Diese sind über die Mailingliste einzureichen und werden zunächst öffentlich diskutiert. Ob sich dadurch noch große Änderungen an den Top 10 ergeben, ist fraglich; in den letzten Diskussionsrunden wurde meist an die bestehenden Vorschläge angeknüpft. Das Ende der öffentlichen Diskussionsphase ist auf den 30. Juni 2017 datiert.

Anschließend werden die Anregungen aus der Community von einem OWASP-Team evaluiert und möglicherweise in den endgültigen Release aufgenommen, um diesen spätestens im Juli oder August 2017 als neue OWASP Top 10 zu veröffentlichen. Es bleibt abzuwarten, wie die Entwicklercommunity und IT-Security-Unternehmen darauf reagieren werden. Etwas grundsätzlich Neues stellen die Top 10 dann vermutlich nicht dar, bis auf die mögliche Änderung rund um die Implementierung von zusätzlichen Sicherheitsmechanismen.

Hielte sich jeder Entwickler strikt an die Best-Practice-Empfehlungen im Bereich der Webentwicklung, welche ebenfalls von OWASP veröffentlicht werden, wäre die Herausgabe der Top 10 irgendwann vermutlich obsolet. Man könnte sich dann ausschließlich auf das Veröffentlichen neuer Sicherheitsrisiken fokussieren. Das erscheint aber immer noch eine ferne Utopie zu sein, da fast täglich (auch) bei großen Webdiensten Sicherheitslücken aufgedeckt werden und Fehler im Code wohl menschlich sind - so bleibt das Web zunächst weiterhin eines: unsicher.

Zum Autor

Tim Philipp Schäfers ist Mitinitiator des Projekts internetwache.org, das sich mit der Sicherheit von Webapplikationen beschäftigt. Zudem ist er Mitglied bei OWASP, der Gesellschaft für Informatik, und Autor des Buches Hacking im Web, in dem es ebenfalls um die Sicherheit von Webapplikationen geht.

 OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update

eye home zur Startseite
ibsi 25. Apr 2017

Du meinst "Geldbörse"? :D

blubberer 25. Apr 2017

OWASP sollte jedem, der etwas mit Programmierung am Hut hat, bekannt sein. Es ist schon...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. über Hanseatisches Personalkontor Mannheim, Mannheim
  3. Landeshauptstadt München, München
  4. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart)


Anzeige
Spiele-Angebote
  1. ab 59,00€ (Vorbesteller-Preisgarantie)
  2. 1,49€
  3. 99,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Mass Effect

    Bioware erklärt Arbeit an Kampagne von Andromeda für beendet

  2. Kitkat-Werbespot

    Atari verklagt Nestlé wegen angeblichem Breakout-Imitat

  3. Smarter Lautsprecher

    Google Home erhält Bluetooth-Zuspielung und Spotify Free

  4. Reverb

    Smartphone-App aktiviert Alexa auf Zuruf

  5. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  6. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  7. Raspberry Pi

    Raspbian auf Stretch upgedated

  8. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  9. Nvidia

    Keine Volta-basierten Geforces in 2017

  10. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Ausweis: Prepaid-Registrierung bislang nicht konsequent umgesetzt
Ausweis
Prepaid-Registrierung bislang nicht konsequent umgesetzt
  1. 10 GBit/s Erste 5G-Endgeräte sind noch einen Kubikmeter groß
  2. Verbraucherzentrale Datenlimits bei EU-Roaming wären vermeidbar
  3. Internet Anbieter umgehen Wegfall der EU-Roaming-Gebühren

  1. Re: Technische Details

    einjan | 13:43

  2. Re: Ach Bioware....

    Das... | 13:41

  3. Golem: BildVERarbeitung, nicht BildBEarbeitung

    einjan | 13:21

  4. Finde ich gut

    schap23 | 13:19

  5. Re: 200 km umgerechnet = maximal 2h fahrt mit 100Kmh

    Jakelandiar | 13:19


  1. 13:33

  2. 13:01

  3. 12:32

  4. 11:50

  5. 14:38

  6. 12:42

  7. 11:59

  8. 11:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel