In dieser Folge geht es mit der Entwicklung der Sicherheitsrichtline
(Security Policy) für das in der
vorherigen Folge
vorgestellte Beispielunternehmen weiter.
Die technischen Schutzmaßnahmen für Web-,
Application- und Datenbankserver haben wir bereits
festgelegt,
jetzt sind die dazu gehörenden organisatorischen und administrativen
Schutzmaßnahmen an der Reihe.
Wie
angekündigt
werde ich ab dieser Woche die Entwicklung einer Sicherheitsrichtlinie
(Security Policy) an einem Beispiel beschreiben. Da das ein sehr komplexer
Vorgang ist werde ich jedoch "nur" das Netzwerk betrachten, und auch kann
ich nur Teilaspekte berücksichtigen.
Im
PHP Magazin 1.2019
ist der fünfte und letzte Artikel einer kleinen Serie zu den OWASP Top 10, den 10
gefährlichsten Bedrohungen für Webanwendungen, erschienen. Und
darin geht es um Platz 9 und 10 der Top 10: "Using Components with Known Vulnerabilities"
und "Insufficient Logging".
Das Open Web Application Security Project (OWASP) hat im Herbst 2017 seine
Top 10 der größten Bedrohungen für Webanwendungen
veröffentlicht. In diesem Artikel im PHP Magazin lernen Sie den neunten und zehnten
Platz kennen.
Die in der
vorherigen Folge
vorgestellten technischen Möglichkeiten zum Schutz eines Netzwerks
sind ziemlich nutzlos ohne ein passendes organisatorisches Konzept: Die
Sicherheitsrichtlinie (Security Policy).
In dieser Folge geht es um den Zusammenhang zwischen Firewalls, Intrusion
Detection- und -Prevention-Systemen und Honeypots. Zum einen, weil ich das
Material als Link-Ziel brauche, zum anderen als kleiner Vorgriff auf das
nächste Thema: Die Security Policy.
Der erste Schritt beim Schutz eines Netzes besteht darin, keine
unnötigen Dienste anzubieten, also vor allem keine nicht
benötigten Ports offen zu haben. Beim Schutz eines Gebäudes
würde das bedeuten, keine unbenutzten Türen oder Fenster offen
stehen zu lassen.
Über die
vorgestelltenRelay-Angriffe
sind EMV-Karte zumindest theoretisch gefährdet, und es gab auch schon
Angriffe "in the Wild" auf das kontaktbehaftete
Chip&PIN-Verfahren.
Aber das ist nur die eine Seite der Medaille, bzw. des
Point-of-Sale-Terminals. Das kommuniziert ja nicht nur mit der Karte,
sondern auch mit dem Kassensystem des Händlers und dem Server des
zugehörigen Zahlungsdienstleisters.
Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann
sie lesen. Deshalb sollte man eigentlich nur verschlüsselte E-Mails
verschicken, die das unbefugte Lesen verhindern. Zusätzlich (aber
auch unabhängig davon) kann man seine Mails mit einer digitalen
Signatur vor unerkannten Manipulationen schützen und seine
Identität als Absender beweisen.
Wie die E-Mail-Verschlüsselung allgemein funktioniert erfahren Sie in
meinem Artikel
auf entwickler.de!
Im
Entwickler Magazin 6.18
ist ein Artikel über die EFAIL-Angriffe auf die
E-Mail-Verschlüsselung erschienen: Wie funktioniert EFAIL und wie
schlimm ist das alles wirklich?
Der war auch der Auslöser für
diedreiArtikel
zu den Mailformaten in den vergangenen drei Wochen.
Update 15.10.18:
Wie die E-Mail-Verschlüsselung allgemein funktioniert erfahren Sie im
ersten Teil dieses zweiteiligen Artikels, und den gibt es jetzt online
auf entwickler.de!
Ende des Updates
Update 28.12.18:
Auch den Artikel zu EFAIL gibt es jetzt online
auf entwickler.de!
Ende des Updates
Eine E-Mail ist wie eine Postkarte in der Briefpost: Wer sie sieht, kann
sie lesen. Weshalb man eigentlich nur verschlüsselte Mails verschicken
sollte, die dieses unbefugte Lesen verhindern. Über die EFAIL-Angriffe
kann die Verschlüsselung ausgehebelt werden. Ist das wirklich die
große Katastrophe, als die es dargestellt wird?