Minimalitätsprinzip (Webanwendungen)

Das Minimalitätsprinzip ist eine Art, Informationen in Webanwendungen so anzugeben oder zu kürzen, dass sie für einen potenziellen Angreifer oder „Hacker“ nur schwer oder gar nicht zugänglich sind, um die Verwundbarkeit durch Sicherheitslücken einzuschränken.

Ansatzpunkte

In der Regel ist es empfehlenswert, nur diejenigen Informationen bereitzustellen, die für die Anwendung bzw. den Benutzer notwendig sind. Darüber hinausgehende Informationen könnten unnötige Ansatzpunkte für eine Kompromittierung der Webanwendung liefern. Der Informationsgehalt von Demoanwendungen, die öffentlich zugänglich sind, ist unter Sicherheitsgesichtspunkten zu beurteilen und möglichst einzuschränken. Auf keinem Fall sind Demoanwendungen als Instanzen der Produktivanwendung bereitzustellen. Ausführliche Erklärungen sind nur dem an der Anwendung angemeldeten Benutzer zu geben. Hilfe-Seiten, die Informationen über Zusammenhänge von geschützten Anwendungen enthalten, dürfen zudem nur im geschützten Bereich zugreifbar sein.

Beispiele

Falsch: „Bitte geben Sie ihren Benutzernamen und die 6-stellige PIN ein“
Richtig: „Bitte geben Sie ihre Benutzerkennung und ihre PIN ein.“

Falsch: „Das eingegebene Passwort ist falsch“, falls die Benutzerkennung richtig und das Passwort falsch eingegeben worden sind
Richtig: „Login nicht möglich. Benutzerkennung oder Passwort nicht korrekt.“

Falsch: „Der Benutzer existiert nicht“, falls die Benutzerkennung nicht existiert.
Richtig: „Login nicht möglich. Benutzerkennung oder Passwort nicht korrekt.“

Falsch: Eintrag auf der Hilfe-Seite: „Geben Sie hier Ihre Kundennummer ein. Sie finden die Kundennummer links oben auf jeder Rechnung. Es ist die 5-stellige Zahlenfolge, die mit einem K beginnt.“
Richtig: Verzicht auf die exakten Angaben über Formate, Längen, Datentypen und Informationen, aus denen auch ein Außenstehender Hinweise für deren Erlangung entnehmen kann. Stattdessen „... in der Form, wie wir es Ihnen in unserem Anschreiben mitgeteilt haben.“

Literatur

Mario Heiderich, Christian Matthies, Johannes Dahse: Sichere Webanwendungen. 1. Auflage. Galileo Press, Bonn 2009, ISBN 978-3-8362-1194-9.

Weblinks

Sicherheit von Webanwendungen – Maßnahmenkatalog und Best Practices | Herausgegeben vom Bundesamtes für Sicherheit in der Informationstechnik; Version 1, August 2006

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.