Navigieren in der backslash-Hilfe

Sicherheit

Nur eines ist sicher: nichts ist sicher! Folgende Regeln und Tipps helfen uns, sichere Applikationen und Angebote zu erstellen.

Beim Programmieren  und Konfigurieren stelle ich mir folgende Fragen und verfolge diese Grundsätze:

Regeln:

  • Ich kenne die aktuellen Bedrohungen gemäss der OWASP Top 10 und weiss, wie ich damit umgehen kann (Cheat-Sheet).
  • Whitelisting ist besser als Blacklisting. Will heissen, ich schalte nur die Möglichkeiten und Funktionen auf, die effektiv benötigt werden. 
  • Ich kenne und nutze die Sicherheitsfeatures, die von der verwendeten Technologie angeboten werden.

Fragen:

  • Habe ich keine Hintertür offen lassen?
  • Habe ich meine Testaccounts gelöscht?
  • Kann nachvollzogen werden, was auf den System passiert? Sind Logfiles vorhanden, kann darauf zugegriffen werden, sind sie geschützt, werden Benutzeraktionen protokolliert?

Best Practices:

Cookies

  • Cookies sollen immer kurze Laufzeiten haben, respektive nicht länger gültig sein als die zu erwartende Lebensdauer von Sessionen. Ausnahme davon sind gewisse Tracking-Cookies
  • Es werden keine vertraulichen Daten in Cookies gespeichert. Je weniger Daten, desto besser.
  • Cookies sind mit den Attributen httpOnly und secure zu versehen.

Zuletzt geändert: Fr, 17.1.2020, ms