Sicherheit von Webapplikationen

Frage: Wir planen, neue Anwendungen auf der Basis Service-orientierter Architekturen und mittels Internet Technologie zu realisieren. Wie schützen wir unsere Informationen vor Missbrauch?

Service orientierte Architekturen und auf Internet Technologie basierte Implementierung von Anwendungen versprechen Kosteneinsparungen. Auch die erwartete höhere Flexibilität, Änderungen der Geschäftsanforderungen in kürzeren Zyklen umzusetzen, bildet einen wichtigen Faktor, diese Technologien zu nutzen. Dies bringt aber auch neue Gefahren im Sicherheitsbereich mit sich, die mit herkömmlichen Firewalls weder erkennbar noch bekämpfbar sind.

Einige fundamentale Unterschiede zwischen Webservice und Client-Server-Anwendungen führen zu signifikanten Risiken.
Im Gegensatz zu Client-Server Anwendungen sind browser-basierte Anwendungen direkt beeinflussbar und erleichtern reverse-engineering Tätigkeiten, was Manipulationen der Codebasis und Attacken erleichtert (einige Hacker-Webseiten offerieren effiziente Werkzeuge, mit deren Hilfe Manipulationen dieser Art automatisierbar sind). Zur Verbesserung der Performance und Reduktion der Netzwerklast erledigen Client-Server- Anwendungen einen grossen Teil der Validierungsprüfungen im Client. Bei Webanwendungen führen die Server Validierungen aus. Dies erhöht die Gefahr, dass die Überprüfung auf böswillige Eingabewerte leidet.