Abo
  • Services:
Anzeige
Die häufigsten Sicherheitslücken bekommen ein Update.
Die häufigsten Sicherheitslücken bekommen ein Update. (Bild: Veracode)

Hersteller von Security-Software könnten sich freuen

Wie auch immer: Hersteller von Softwarelösungen in diesem Bereich wird es sicher freuen, wenn dieser Punkt in die OWASP Top 10 gelangt. Vielleicht hat es auch für Entwickler und Verantwortliche von Webapplikationen etwas Gutes, da Findings in Penetrationstests, die sich auf die OWASP Top 10 beziehen, das Management demnächst zu Investitionen in dem Bereich bewegen werden. Ob das auch zu einer tatsächlichen Verbesserung der Sicherheit dieser Applikationen oder eher zum Einsparen von qualifizierten Entwicklern führt, das bleibt abzuwarten.

Anzeige

Die letzte Änderung an den OWASP Top 10, die in dem Release Candidate vorgeschlagen wird, ist die Zusammenführung von unsicherer direkter Referenzierung von Objekten (IDOR) und fehlender Kontrolle von Zugriffsrechten. Beide Sicherheitsrisiken werden demnächst möglicherweise zu einem Platz in den Top 10 als Broken Access Control zusammengeführt. Dabei handelt es sich allerdings um keine echte Neuerung, denn diese Kategorie wurde bereits bei der ersten Veröffentlichung der OWASP Top 10 im Jahr 2004 auf Platz 2 geführt. Insoweit kehrt OWASP zu einer alten Empfehlung zurück und macht damit die Top 10 kompakter. Diese Änderung wird vermutlich kaum für große Diskussionen sorgen.

Weitere Vorschläge und Anregungen erwünscht

OWASP bittet die Community aktuell um weitere Vorschläge und Anregungen zu den Top 10. Diese sind über die Mailingliste einzureichen und werden zunächst öffentlich diskutiert. Ob sich dadurch noch große Änderungen an den Top 10 ergeben, ist fraglich; in den letzten Diskussionsrunden wurde meist an die bestehenden Vorschläge angeknüpft. Das Ende der öffentlichen Diskussionsphase ist auf den 30. Juni 2017 datiert.

Anschließend werden die Anregungen aus der Community von einem OWASP-Team evaluiert und möglicherweise in den endgültigen Release aufgenommen, um diesen spätestens im Juli oder August 2017 als neue OWASP Top 10 zu veröffentlichen. Es bleibt abzuwarten, wie die Entwicklercommunity und IT-Security-Unternehmen darauf reagieren werden. Etwas grundsätzlich Neues stellen die Top 10 dann vermutlich nicht dar, bis auf die mögliche Änderung rund um die Implementierung von zusätzlichen Sicherheitsmechanismen.

Hielte sich jeder Entwickler strikt an die Best-Practice-Empfehlungen im Bereich der Webentwicklung, welche ebenfalls von OWASP veröffentlicht werden, wäre die Herausgabe der Top 10 irgendwann vermutlich obsolet. Man könnte sich dann ausschließlich auf das Veröffentlichen neuer Sicherheitsrisiken fokussieren. Das erscheint aber immer noch eine ferne Utopie zu sein, da fast täglich (auch) bei großen Webdiensten Sicherheitslücken aufgedeckt werden und Fehler im Code wohl menschlich sind - so bleibt das Web zunächst weiterhin eines: unsicher.

Zum Autor

Tim Philipp Schäfers ist Mitinitiator des Projekts internetwache.org, das sich mit der Sicherheit von Webapplikationen beschäftigt. Zudem ist er Mitglied bei OWASP, der Gesellschaft für Informatik, und Autor des Buches Hacking im Web, in dem es ebenfalls um die Sicherheit von Webapplikationen geht.

 OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update

eye home zur Startseite
ibsi 25. Apr 2017

Du meinst "Geldbörse"? :D

blubberer 25. Apr 2017

OWASP sollte jedem, der etwas mit Programmierung am Hut hat, bekannt sein. Es ist schon...



Anzeige

Stellenmarkt
  1. Deloitte, verschiedene Standorte
  2. andagon GmbH, Köln
  3. Robert Bosch GmbH, Stuttgart-Vaihingen
  4. E.R. SCHIFFAHRT GmbH & Cie. KG, Hamburg


Anzeige
Top-Angebote
  1. 169€
  2. 274,90€ + 3,99€ Versand
  3. 239,53€

Folgen Sie uns
       


  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

  1. Re: Macht da bitte nicht mit

    quineloe | 19:50

  2. Re: Bahn schneller machen

    grumbazor | 19:41

  3. Re: Dalli Dalli

    teenriot* | 19:34

  4. Re: Leider verpennt

    arthurdont | 19:33

  5. Das würde mich auch freuen:) (kt)

    ckerazor | 19:29


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel