Skip to content

Drucksache: Windows Developer 9.15 - Achtung, AngularJS

Im windows.developer 9.15 ist ein Artikel zur Sicherheit von AngularJS erschienen.

AngularJS? Das ist doch nur JavaScript, völlig harmlos!
Was kann da schon groß passieren?

Viel, wenn man nicht aufpasst.

Und die Cyberkriminellen verzeihen keine Fehler, die nutzen sie aus! Und im Fall von JavaScript fällt ihnen das im Zweifel besonders leicht, da sie dabei Zugriff auf Sourcecode und „Business Logic“ haben - Alles vom Webserver frei Haus geliefert.

Im Hinblick auf die Sicherheit von AngularJS muss man zwei Aspekte unterscheiden:

  1. Ist AngularJS sicher?
  2. Sind in AngularJS implementierte Webclients sicher?

Die Antwort auf die erste Frage fällt zwiespältig aus: Es gibt ein paar Kritikpunkte, aber zumindest zur Zeit sind keine wirklich kritischen Schwachstellen in AngularJS bekannt. Die entscheidende Frage ist also: Ist AngularJS sicherer oder unsicherer als die möglichen Alternativen? Und AngularJS schneidet im Vergleich gar nicht mal so schlecht ab.

Und was den Webclient betrifft kommt es immer darauf an, welche Funktionen der denn umfasst. Immerhin ist es "nur" der Client, und alle wirklich sicherheitsrelevanten Entscheidungen müssen sowieso auf dem Server getroffen werden. Denn nichts und niemand kann einen Angreifer davon abhalten, manipulierte Requests an den Server zu senden. Entweder mit Hilfe eines manipulierten Clients oder ganz unabhängig von dem.

Je mehr Anwendungslogik in den Client ausgelagert wird, desto größer ist natürlich dessen Angriffsfläche. Aber mit der Unterstützung der CSP, den Strict Contextual Escaping (SCE), den HTML-Sanitizer $sanitize und dem CSRF-Schutz stehen einige gute Schutzmaßnahen zur Verfügung. Es gibt also keinen Grund, warum ein mit AngularJS realisierter Webclient unsicherer sein sollte als einer, der nur auf normalen JavaScript basiert. Ganz im Gegenteil, denn in JavaScript gibt es kein SCE, kein $sanitize und keinen CSRF-Schutz.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks