Ajax and Other "Rich" Interface Technologies
http://www.owasp.org/index.php/Ajax_and_Other_%22Rich%22_Interface_Technologies
Bei Ajax gibt es wie bei anderen Webtechnologien sichere und unsichere Applikation.
Def nach O'Reiley für Web 2.0: hochgradig p2p-dynische Applikation (?)
Ziel von Ajax Apps: Höhere Dynamik und Reichhaltigkeit von Webappl.
Ajax Sicherheitsrisiken: Genau die gleichen wie bei andern Webapps, dazu kommen einige spezifische Risiken die extra gehandhabt werden müssen.
Hohe Anzahl von asynchronen Anfragen in beide Richtugen führt zu größeren Angriffsflächen
Wichtig: Durchdachte Archtitektur, server-seitige Zugriffskontrollen, State Management, starke Validierung
Richtiges Framework für Ajax muss gewählt werden, um die Applikation nicht unsicherbar zu machen.
Controls sicher?
Aufgaben für eine sichere Ajax-Applikation
Bei Ajax gibt es wie bei anderen Webtechnologien sichere und unsichere Applikation.
Def nach O'Reiley für Web 2.0: hochgradig p2p-dynische Applikation (?)
Ziel von Ajax Apps: Höhere Dynamik und Reichhaltigkeit von Webappl.
Ajax Sicherheitsrisiken: Genau die gleichen wie bei andern Webapps, dazu kommen einige spezifische Risiken die extra gehandhabt werden müssen.
Hohe Anzahl von asynchronen Anfragen in beide Richtugen führt zu größeren Angriffsflächen
Wichtig: Durchdachte Archtitektur, server-seitige Zugriffskontrollen, State Management, starke Validierung
Richtiges Framework für Ajax muss gewählt werden, um die Applikation nicht unsicherbar zu machen.
Controls sicher?
Aufgaben für eine sichere Ajax-Applikation
- sichere Kommunikation
- Authentifizierung und Session Management
- Zugangskontrolle
- Eingabevalidierung
- Fehlerbehandlung und Logging
- Alle Server
- Die Webapplikation, die Ajax einsetzt
- Clients (Browser)
intrance - 5. Jul, 11:46
