> Thema "Sicherheit von Webanwendungen" beschäftigen. Was ich bislang noch nicht gehört habe (steht aber vielleicht irgendwo in den Artikeln) ist
Server-Hardening. Was hilft mir eine sichere Webanwendung, wenn der Server an anderer Stelle offen ist. Prinzip hier im Haus: jeder Service der auf einem Produktivserver der nicht explizit benötigt wird, wird entfernt. Und zwar komplett: DLL löschen und Registry putzen. People-Process. ITIL Trainings fangen z.B. mit dem sprechenden Beispiel an, dass 80% aller Ausfälle in der IT auf People und Process beruhen. Oder praktisch gesprochen: hat der Admin ein leicht knackbares Passwort ist es mit der Sicherheit dahin. Daneben kommen aber auch die normalen User in Frage; die können Viren haben, Account gecrackt, eine vermeintliche Rechnung zu begleichen, etc. Ongoing management. Also hat das Projektteam was abgeliefert, das am Anfang vielleicht auch sicher ist. Ein halbes Jahr drauf kommt jemand daher und ändert Benutzergruppen, Zugriffsrechte, etc. ohne zu merken dass er eben ein Scheuentor aufgemacht hat. Gehört eigentlich zum Bereich People-Process und Operating procedures dazu. Sourcecodeabsicherung. Dass der Sourcecode nicht auf dem Produktivserver liegt ist klar. Aber wenn der Entwickler seine ausgebaute Platte oder Sicherungs-CDs auf dem Schreibtisch rumliegen lässt, oder in der Mittagspause seinen PC nicht sperrt ... (letzteres passiert übrigens bald nicht mehr wenn man so freundliche Kollegen hat, die an jeden ungelockten PC gehen und höchste blöde Emails an alle unpassenden Leute schicken) Was bei uns noch gängige Praxis ist (weiss aber nicht genau warum) ist dass nie Serverrollen gemischt werden. Also nie SQL und IIS auf einer Box. Eher liegen X unterschiedliche Apps auf einem Server und die DB wird von Y Applikationen benutzt als alles auf eine Kiste zu packen. -- Viele Grüße Hubert Daubmeier _______________________________________________ Coffeehouse Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/coffeehouse
