Inhaltsbereich
Sicherheit
Sicherheit ist ein Schlagwort, welches im Zusammenhang mit dem Internet und auch Webdesign immer wieder fällt. Aber gibt es wirklich auch bei einer kleinen Homepage Sicherheitsprobleme? Wir, die ilimitado OHG aus Tübingen (Reutlingen, Stuttgart), haben das nötige Know-how um ihre barrierefreie Homepage unter Verwendung neuster Sicherheitstechniken, nach bestem Wissen und Gewissen abzusichern.
Wer will schon meine Homepage Hacken?
Man mag sich vielleicht denken, das Thema Sicherheit sei primär für große Internetportale von Relevanz, da nur hier interessante Daten zu holen sind, wie die Adressen von registrierten Benutzern oder dergleichen. Diese Denkweise könnte sich als großer Fehler erweisen. Man hört von immer mehr Angriffen gegen kleine bis mittelständige Betriebe mit der Zielsetzung diese Firmen zu erpressen. Es lohnt sich also für jeden Homepagebesitzer, einen gewissen Grad an Sicherheit anzustreben, um nicht für jeden kleinen Angriff offen zu sein. Im folgenden Stellen wir kurz die Hauptsicherheitsrisiken einer Homepage vor:
SPAM
Spam, das massenweise Versenden von elektronischen Nachrichten, ist nicht nur extrem nervig, sondern auch eine Verschwendung von Bandbreite und Übertragungsvolumen. Wer einmal seine Email-Adresse einem unseriösen (Internet-) Unternehmen preisgibt, sieht sich auf einmal mit einem Postfach voller Spam konfrontiert. Zum Glück gibt es einigermaßen intelligente Spamfilter, welche einem den Umgang mit Spam enorm erleichtern können. Damit ihre Email nicht mit Spam überladen wird, und trotzdem auf ihrer Homepage stehen kann, treffen wir entsprechende Schutzvorkehrungen, um bösartige Suchmaschinen oder das Auffinden ihrer Email- Adresse zu erschweren. Außerdem ist es dank unserem Kontaktformular gar nicht nötig, ihre Email- Adresse öffentlich zu machen. Unsere Kontaktformulare besitzen einen barrierefreien Spamschutz, welcher verhindert, das bösartige Computerprogramme diese Formulare mehrere 100- mal automatisch ausfüllen.
Cross-Site Scripting (XSS)
Unter Cross-Site Scripting (kurz XSS) versteht man das Einfügen von fremden, meist bösartigen Texten oder speziell gestalteten Seiten in eine an sich vertrauensvolle Homepage, ohne, dass der Betreiber der Homepage sofort etwas davon mitbekommt. Dies geschieht durch Ausnutzen von Sicherheitslücken auf ihrer Homepage. So kann es z.B. geschehen, dass auf einer Homepage Dinge behauptet werden, welche der Besitzer oder Autor der Homepage gar nicht selbst veröffentlicht hat. Hierdurch kann der Ruf Ihrer Homepage diskreditiert werden. Hätte zum Beispiel eine Bank aus Tübingen eine XSS-Lücke, könnte man in diese Homepage einen Text einschmuggeln, in dem behauptet wird, man solle durch ein Formular seine PIN für das Onlinebanking ändern. Baut man diese Seite so auf, wie die Homepage der Bank und schleust sie dann dort ein, muss man nur noch dafür Sorgen, dass die Zielperson oder einfach möglichst viele Kunden der Bank nun auf diese falsche Seite gelockt werden. Da es die offizielle Homepage dieser Bank ist, nur eben mit eingeschleustem Inhalt, ist es nun ein leichtes, den einen oder anderen PIN nebst mindestens einer TAN zu bekommen. Natürlich achten besonders Banken streng darauf, keinerlei solcher Lücken zu erzeugen. Genauso achten wir bei der Programmierung stets darauf, solche Lücken gar nicht erst entstehen zu lassen. Dies kann nur gelingen, wenn man von Anfang an strukturiert vorgeht, denn eine Sicherheitslücke in einer bestehenden Homepage zu finden und auszubessern, ist sehr aufwendig. Es lohnt sich also, die Zeit schon bei der Entwicklung zu investieren, um gegen Spätfolgen gewappnet zu sein. Dies bedeutet für ihr Unternehmen wiederum Investitionssicherheit und zufriedene Kunden.
SQL-Injection
SQL-Injection ist ein Angriff auf die Datenbank einer Homepage. Die meisten Homepages speichern ihre Daten wie Texte oder Navigationsmenüstrukturen in einer Datenbank. Angreifer könnten in einem Suchfeld oder Kontaktformular statt einer Kontaktanfrage oder eines Suchwortes auch einfach Programmiercode in der Datenbanksprache SQL eingeben, welcher die Datenbank dann z.B. dazu veranlassen kann sich komplett zu löschen oder die kompletten Datensätze ihres Unternehmens preis zu geben. Deswegen gilt es solche "bösen" Eingaben von vornherein zu prüfen und herauszufiltern. Auch hier muss bereits bei der Programmierung darauf geachtet werden.
Schwache Passwörter
Die einfachste Methode eine Homepage zu manipulieren und den Nutzer der Homepage in eine Falle zu locken ist es, über einen ganz normalen FTP- Zugang zum Webserver an die gewünschten Dateien zu kommen. Dazu braucht man allerdings das Passwort für den Zugang.
Genauso könnte man mit Ihrem Email-Passwort ganz leicht Emails in ihrem Namen von ihrer Adresse verschicken. Schutz dafür kann nur ein gutes Passwort bieten. Es sollte mittlerweile jedem bekannt sein, dass es Computerprogramme gibt, welche große Wörterbuchlisten dazu benutzen, um Passwörter zu knacken, indem Sie einfach alle Wörter aus der Liste durchprobieren. Dies geht ziemlich schnell und eine Liste mit dem Inhalt des Duden kann somit in wenigen Sekunden abgearbeitet werden. Mit einem Zugangspasswort für ihre Homepage bzw. Ihren Email Account, wie "anna" oder "februar", kann ihre Homepage oder Ihr Email Account in Sekunden von einem Cracker übernommen werden. Man spricht hier von sogenannten "schwachen Passwörtern".
Durch das Hinzufügen von Zahlen und Großbuchstaben wird es für den Angreifer wesentlich aufwendiger, ihr Passwort zu knacken. Das Passwort "FebruaR19" ist sicherlich in keinem Wörterbuch vorhanden. Um das Passwort zu knacken, muss der Angreifer mit einer sogenannten Brute-Force-Attacke angreifen. Dabei werden alle möglichen Kombinationen aus Buchstaben und Zahlen durchprobiert. Bei 26 Klein- und Großbuchstaben und 10 Ziffern ergeben sich bei unserem Beispielpasswort aus 9 Zeichen schon über 2 Billiarden Kombinationen, allerdings ist das Passwort mit Februar als Teilwort noch durch ein Wörterbucheintrag in wenigen Minuten knackbar. Ersetzt man einen Buchstaben noch durch ein Sonderzeichen hilft dem Programm seine Liste nicht mehr. Für "Febru@R19" braucht ein reiner Brute-Force-Angruff schon mehrere Jahre (bei durchschnittlicher Rechenleistung). Das Passwort ist also stark dennoch leicht zu merken. Eine weitere interessante Variante ist: Man nimmt sich einen Spruch wie "Das ist mein 12. Passwort für die Homepage!" und nimmt sich nur die ersten Zeichen, Ziffern und Satzeichen und macht daraus ein Passwort: "Dim12.PfdH!" Das kann man sich immer noch merken, da man sich den Satz ja selber aussuchen kann. Denkbar wäre auch eine Stelle aus einem Lied oder ein Zitat zu verwenden. Dass man seine Passwörter zum Schutz vor Vergesslichkeit am besten auf einen Zettel schreibt und diesen gut versteckt und dass man sie nicht einfach jemandem weitersagt, sollte selbstverständlich sein. Auch empfehlenswert ist es nicht, überall dasselbe Passwort zu benutzen. Es ist davon auszugehen, dass, wenn ein Angreifer einmal eines ihrer Passwörter geknackt hat, versuchen wird, sich damit bei anderen Webservices anzumelden.
Schlagwörter: sicherheit | spamfilter | passwort | produkt | webdesign | hacking
Verfasst am 01.01.2007 13:10 von ilimitado OHG
