Web 2.0: Einfache Sicherheitsfehler und komplizierte Lösungen
Cross Site Scripting (XSS) und andere Schwachstellen in Web-2.0-Anwendungen führen immer wieder zu Sicherheitsrisiken, die leicht zu beheben, aber schwer zu entdecken sind.
Letzte Woche waren die australische Labour Party sowie die Liberal Party einem XSS-Angriff ausgesetzt, bei dem Unbekannte manipulierte Versionen der offiziellen Webseiten ins Netz gestellt hatten. Auslöser war ein Eingabefeld für die Suchfunktion, die ein Spoofing ermöglich hat.
“Das Spoofing bzw. dieser derbe Scherz lagen außerhalb der Kontrolle des Webmasters oder des Entwicklers, der für die Webseite verantwortlich ist”, sagte Andrew Walls, Forschungsleiter bei Gartners Security- und Privacy-Sparte.
Nach Ansicht von Walls ist dieser Vorfall ein gutes Beispiel, wie man sich vor XSS-Fehlern oder HTML Code Injection schützen sollte. So solle man die erlaubten Zeichen und Eingaben für alle Eingabefelder genau definieren und die von Hackern gerne genutzten Sonderzeichen “Prozent” oder “Apostroph” ausschließen. “Auch wenn es nur ein kleines technisches Problem ist, so kann es doch große Auswirkungen haben”, ergänzte Walls. In Australien ist derzeit Wahlkampf.
Auch wenn die Lösung solcher Fehler oft einfach ist, warnen Experten vor der Komplexität der möglichen Schwachstellen bei der großen Breite von Web-2.0-Anwendungen. Zusätzlich können Anwendungen von Drittanbietern die Situation noch erschweren, weil die Einbeziehung des Herstellers weitere Zeit kostet.
Patrik Runald vom finnischen Sicherheitsexperten F-Secure sieht Web-Administratoren und Entwickler in der Verantwortung, die notwendigen Sicherheitsmaßnahmen bereit zu stelllen. “Leider haben wir viele Fälle beobachtet, wo aus Konkurrenzgründen einer Vielfalt an Features der Vorzug vor der Sicherheit eingeräumt worden ist”, erläuterte Runald eine Problematik des Web 2.0.
Runald rät ein bedachtes Vorgehen, wobei man die vorhandenen Probleme nicht ignorieren dürfe. “Wir halten Schritt mit den Problemen, die vor uns liegen. Web 2.0, Social Networking und Mashups – wir müssen die Sicherheit von Grund auf mit einplanen”, ergänzte Runald.