Abo
  • Services:

Hersteller von Security-Software könnten sich freuen

Wie auch immer: Hersteller von Softwarelösungen in diesem Bereich wird es sicher freuen, wenn dieser Punkt in die OWASP Top 10 gelangt. Vielleicht hat es auch für Entwickler und Verantwortliche von Webapplikationen etwas Gutes, da Findings in Penetrationstests, die sich auf die OWASP Top 10 beziehen, das Management demnächst zu Investitionen in dem Bereich bewegen werden. Ob das auch zu einer tatsächlichen Verbesserung der Sicherheit dieser Applikationen oder eher zum Einsparen von qualifizierten Entwicklern führt, das bleibt abzuwarten.

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Die letzte Änderung an den OWASP Top 10, die in dem Release Candidate vorgeschlagen wird, ist die Zusammenführung von unsicherer direkter Referenzierung von Objekten (IDOR) und fehlender Kontrolle von Zugriffsrechten. Beide Sicherheitsrisiken werden demnächst möglicherweise zu einem Platz in den Top 10 als Broken Access Control zusammengeführt. Dabei handelt es sich allerdings um keine echte Neuerung, denn diese Kategorie wurde bereits bei der ersten Veröffentlichung der OWASP Top 10 im Jahr 2004 auf Platz 2 geführt. Insoweit kehrt OWASP zu einer alten Empfehlung zurück und macht damit die Top 10 kompakter. Diese Änderung wird vermutlich kaum für große Diskussionen sorgen.

Weitere Vorschläge und Anregungen erwünscht

OWASP bittet die Community aktuell um weitere Vorschläge und Anregungen zu den Top 10. Diese sind über die Mailingliste einzureichen und werden zunächst öffentlich diskutiert. Ob sich dadurch noch große Änderungen an den Top 10 ergeben, ist fraglich; in den letzten Diskussionsrunden wurde meist an die bestehenden Vorschläge angeknüpft. Das Ende der öffentlichen Diskussionsphase ist auf den 30. Juni 2017 datiert.

Anschließend werden die Anregungen aus der Community von einem OWASP-Team evaluiert und möglicherweise in den endgültigen Release aufgenommen, um diesen spätestens im Juli oder August 2017 als neue OWASP Top 10 zu veröffentlichen. Es bleibt abzuwarten, wie die Entwicklercommunity und IT-Security-Unternehmen darauf reagieren werden. Etwas grundsätzlich Neues stellen die Top 10 dann vermutlich nicht dar, bis auf die mögliche Änderung rund um die Implementierung von zusätzlichen Sicherheitsmechanismen.

Hielte sich jeder Entwickler strikt an die Best-Practice-Empfehlungen im Bereich der Webentwicklung, welche ebenfalls von OWASP veröffentlicht werden, wäre die Herausgabe der Top 10 irgendwann vermutlich obsolet. Man könnte sich dann ausschließlich auf das Veröffentlichen neuer Sicherheitsrisiken fokussieren. Das erscheint aber immer noch eine ferne Utopie zu sein, da fast täglich (auch) bei großen Webdiensten Sicherheitslücken aufgedeckt werden und Fehler im Code wohl menschlich sind - so bleibt das Web zunächst weiterhin eines: unsicher.

Zum Autor

Tim Philipp Schäfers ist Mitinitiator des Projekts internetwache.org, das sich mit der Sicherheit von Webapplikationen beschäftigt. Zudem ist er Mitglied bei OWASP, der Gesellschaft für Informatik, und Autor des Buches Hacking im Web, in dem es ebenfalls um die Sicherheit von Webapplikationen geht.

 OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 25,49€
  2. (-70%) 8,99€
  3. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  4. 25,99€

ibsi 25. Apr 2017

Du meinst "Geldbörse"? :D

blubberer 25. Apr 2017

OWASP sollte jedem, der etwas mit Programmierung am Hut hat, bekannt sein. Es ist schon...


Folgen Sie uns
       


Smartphone-Kameras im Vergleich

Wir haben die Fotoqualität von sechs aktuellen Top-Smartphones verglichen.

Smartphone-Kameras im Vergleich Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
    2. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    3. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

    Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
    Drahtlos-Headsets im Test
    Ohne Kabel spielt sich's angenehmer

    Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
    Ein Test von Oliver Nickel

    1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
    2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
    3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

      •  /