WAA und die Sicherheit

Vom Front-End bis SOAP.

Moderator: Moderatoren

Antworten
Benutzeravatar
andreas
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 1902
Registriert: Mi, 28. Sep 2005 10:53
Wohnort: Osnabrück
Hat sich bedankt: 4 Mal
Kontaktdaten:

WAA und die Sicherheit

Beitrag von andreas »

Hallo Leute,

wir möchten bei uns in der Firma WAA zum Einsatz bringen.
Jetzt steht die Frage, wie sicher der WAA überhaupt ist?
Kennt sich da jemand damit aus und kann was dazu sagen?
Gruß,

Andreas
VIP der XUG Osnabrück
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Beitrag von brandelh »

Hi,

zum WAA selbst kann ich nichts sagen.

Zur Frage der Sicherheit von WEB Anwendungen habe ich mir schon viele Gedanken gemacht.

1. Die Sicherheit von Xbase++ CGI Programmen (das ist der WAA im Prinzip auch) hängt natürlich auch von ihrer eigenen Logik ab, aber hauptsächlich muss der Webserver selbst gesichert werde.

* Was nicht jeder lesen soll muss über HTTPS Seiten gehen.

2. Eine über HTTPS verschlüsselte WEB Verbindung ist sicher vor Lauschern, aber vor dem der der sich ordnungsgemäß angemeldet hat, schützt die Verschlüsselung nicht.

3. Hauptangriffspunkte auf Webanwendungen liegen im Aufspüren von Programmierfehlern insbesondere Pufferüberläufe. Alle Xbase++ Programme selbst kennen dieses Problem nicht, da wir ausschließlich über dynamische Strings und untypisierte Float Zahlen verfügen.
Somit kann uns sowas nicht passieren in dem Code den wir selbst schreiben.

4. Ob die Runtime und WAA Bibliotheken sicher sind kann ich nicht beurteilen, aber die meisten Angriffe gehen gegen PHP Fehler, laufen also ins Leere. Somit sind alle WAA oder Xbase CGI von Prinzip her sicherer als vergleichbare Anstrengungen in PHP - das muss man auch erst mal so lernen, dass man keine Scheunentore programmiert.

5. Gegen Logikfehler im eigenen Programm ist man nie gefeit.
Ein Fehler bei der Kennwortabfrage oder Rechteverteilung und man ist im Programm (das ist mir schon selbst passiert !).
Somit muss man auch bei uns sehr genau prüfen ob man nicht eine Abzweigung vergessen hat. Ich füge daher heute grundsätzlich als erstes einen otherwise mit einer Fehlermeldung ein.

6. Sicherheit hängt natürlich auch mit einem sicher funktionierenden System im 24/7 Tage Betrieb zusammen. Ich meine Phil hätte geschrieben, dass einige seiner Anwendungen so laufen.
Gruß
Hubert
Antworten