ENISA identifiziert Sicherheitslücken in neuen Web-Standards Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


01.08.2011 Rudolf Felser

ENISA identifiziert Sicherheitslücken in neuen Web-Standards

Die EU-Agentur für Cyber-Sicherheit ENISA hat 51 Sicherheitsbedrohungen betreffend 13 anstehende Web-Standards identifiziert und Vorschläge zu deren Handhabung unterbreitet.

Banking, Social Networking, Shopping, Navigation, Kartenzahlungen und selbst der Umgang mit kritischen Infrastrukturen wie Versorgungsnetzwerken – fast jede Aktivität, die man sich vorstellen kann, findet heute innerhalb eines Browser-Fensters statt. "Der Web-Browser ist inzwischen eine der am stärksten sicherheitsrelevanten Komponenten unserer Informationsinfrastruktur – ein immer lukrativeres Ziel für Cyberattacken", kommentiert Udo Helmbrecht, geschäftsführender Direktor von ENISA.

Um Innovationen in Web-Anwendungen und deren Geschäftsmodelle zu unterstützen und das Web für noch mehr Menschen nutzbar zu machen, arbeitet das W3C ("Worldwide Web Consortium") derzeit an grundlegenden Korrekturen seiner Kernstandards.

ENISA hat diese Gelegenheit dazu genutzt, die Spezifikationen zu überprüfen und Verbesserungsvorschläge hinsichtlich der Browser-Sicherheit zu machen. "Bei vielen dieser Spezifikationen gibt es bald kein Zurück mehr. Wir haben ausnahmsweise die Gelegenheit, eingehend über Sicherheit nachzudenken – ehe der Standard unumstösslich wird – anstatt zu versuchen nachträglich auszubessern. Dies ist eine einmalige Gelegenheit, die Sicherheit schon im Design mit einzuplanen", so Giles Hogben, Mitherausgeber des ENISA-Berichts "A Security Analysis of Next Generation Web Standards".

"Wir begrüßen diese sehr frühzeitige Sicherheitsprüfung von ENISA. Wir haben ENISA angehalten, die ermittelten Problematiken den entsprechenden W3C-Arbeitsgruppen mitzuteilen," so Thomas Roessler, Leiter für Versorgungssicherheit bei W3C.

Die ENISA-Analyse zeigt 50 Sicherheitslücken und Probleme wie:

  • Ungeschützter Zugriff auf sensible Informationen
  • Neue Methoden zum Triggern von Formularübermittlung an Angreifer
  • Probleme bei der Bestimmung und Durchführung von Sicherheitsrichtlinien
  • Potentielle Unstimmigkeiten bei der Rechteverwaltung des Betriebssystems
  • Nicht ausreichend spezifizierte Funktionen, die zu widersprüchlichen oder fehleranfälligen Anwendungen führen können.
  • Neue Methoden zum Unterlaufen von Zugangskontrollmechanismen und Schutz vor "Click-Jacking"

"Eine wichtige Schlussfolgerung aus dieser Studie lautet, dass in den Spezifikationen, die bereits einer ausführlichen Sicherheitsprüfung unterzogen worden sind, weitaus weniger Sicherheitsprobleme gefunden wurden. Das zeigt den Wert fundierter Sicherheitsprüfungen bei zukünftigen Spezifikationen," so Marnix Dekker, Mitherausgeber des Berichts. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr

Hosted by:    Security Monitoring by: