Hallo Gerhard,
diese Diskussion ist f�r mich sehr interessant. Finde ich gut, weil ich so erkennen kann, was ich noch nicht ber�cksichtit habe.
Buchner Gerhard schrieb:
Hi Ihr,
hab heute mal die ehrenvolle Aufgabe nicht produktiv sein zu m�ssen. Vielmehr darf ich mich mit dem Thema "Sicherheit von Webanwendungen" besch�ftigen.
Zun�chst erst mal meine Ideen, die Ihr gerne nach eigenem Gusto erweitern d�rft ;)
1. SQL-Injektion D�rfte ja allseits bekannt sein. Die Frage ist nach M�glichkeiten dies auszuschlie�en, sowohl in bestehenden Projekten als auch neuen Projekten. In bestehenden Projekten w�re IMO eine einfache und sichere M�glichkeit alle Variablen welche zu einem SQL-String zusammen gebaut werden vorher durch eine Klasse zu jagen, welche auf gef�hrliche W�rter (INSERT, DELETE, UPDATE...) �berpr�ft und dann gegebenenfalls eine Meldung auswirft und abbricht. In neuen Projekten spielt IMO noch die DB im Hintergrund eine Rolle. Wie siehts denn erfahrungsgem�� hier bei Access, MS-SQL, Oracle aus?
Ich dachte, dass ich bei ausschlie�licher Verwendung parametrisierter Stored Proc vor SQL-Injection gewappnet bin. Ist das nicht so? Falls doch, verstehe ich den Ansatz mit den Klassen nicht ganz - ist das nicht zu aufw�ndig?
2. DB Sicherheit
Zum Beispiel MS-SQL Server "SA" Passwort setzen. Wird ja gerne vergessen bei der Installation ;) Eigene Benutzer f�r jede DB. Evtl. sogar 2 Benutzer mit unterschiedlichen Rechten (schreiben / lesen)?
3. Webserver Sicherheit Eigener IUSR_XXX f�r jedes Web. Rechte auf NTFS auf IUSR_XXX anpassen. ... ?
4. BS Sicherheit Patches usw.
5. Firewall, DMZ usw. Hardware, Software? Wo sinnvoll?
6. Zugriffsschutz f�r gesicherte Bereiche Absicherung �ber NTFS und NT Benutzer? Absicherung �ber eigene Userverwaltung in DB?
7. Verschl�sselung Verschl�sselung von Daten. Zum Beispiel Passw�rter in der DB mit MD4, MD5, SHA-1 usw.
Dies mal meine ersten Ideen. Bin gespannt auf Eure Meinungen ;)
Ciao Buchi _______________________________________________ Coffeehouse Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/coffeehouse
.
Henri _______________________________________________ Coffeehouse Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/coffeehouse
