Twitter: "Erst durch die Sicherheitsschleuse, dann ins Flugzeug" Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


26.09.2010 Rudolf Felser

Twitter: "Erst durch die Sicherheitsschleuse, dann ins Flugzeug"

Twitter hätte das jüngste Sicherheitsdebakel vermutlich verhindern können, sagt Wieland Alge, Europa-Chef von Barracuda Networks, mit Blick auf die Verbreitung von Schadcode über das Netzwerk.

Dass bei der Aktivierung einer neuen Version der Software eine bereits behobene Sicherheitslücke wieder auftauche, könne passieren. Doch solchen Fehlern könne vorgebeugt werden: Ein Schutzwall für Web-Anwendungen (Web Application Firewall) verhindere Angriffe wie das unzulässige einschleusen von Java-Code zuverlässig (Cross-Site-Scripting). Unternehmen müssten lernen, die Sicherheit den anderen Funktionalitäten vorzuschalten, so Alge. "Auch wer ein Ticket hat, geht erst durch die Sicherheitsschleuse und dann ins Flugzeug. Die andere Reihenfolge ergibt keinen Sinn."

Alge weiter: "Der konkrete Sicherheitsvorfall bei Twitter wäre wohl nicht aufgetreten, wenn Twitter eine Web Application Firewall als einen Stellvertreter nach außen vor seine Server schalten würde. Dieser Stellvertreter hätte schon das erste vom Twitter-User @zzap getweetete onMouseOver-Script entdeckt und, je nach Einstellung, geblockt oder einen Administrator alarmiert. Stattdessen haben die Twitter-Server über Stunden hinweg den Java-Code auf hunderten von Accounts ausgeführt, sobald ein User den Maus-Cursor über die betreffenden Stellen gezogen hat."

Noch immer sehen zahlreiche Unternehmen laut Alge Sicherheit und Datenschutz als bloßes Ärgernis an. Er fordert, sie sollten "ihre Sichtweise ändern und eine technische Trennung von Sicherheit und Anwendungscode sicherstellen". Web Application Firewalls würden die schnelle Einführung von neue Features und Funktionen schließlich begünstigen: "Sie blocken die gängigsten Angriffe ab, ohne die Entwicklung von Features und benutzerfreundlichen Oberflächen aufzuhalten."

Twitter versichert mittlerweile, der Fehler sei behoben, doch der Security-Experte bleibt skeptisch: "Solange Twitter seine Sicherheitsarchitektur nicht grundlegend ändert, kann das heißen, dass lediglich der im Umlauf befindliche Code geblockt wird. Die Lücke besteht möglicherweise noch immer." (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr

Hosted by:    Security Monitoring by: