Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Unkritische Websites (?)

Autor: Philipp Schaumann

Stand Jan. 2013

Warum müssen auch Websites mit unkritischen Inhalten gut gesichert sein?

Regeln zur Absicherung von Webauftritten gibt es an anderer Stelle dieser Website. Das Spezialthema der Implementierung der Benutzerverwaltung mit Passwort-Hashing gibt es unter diesem Link.

Zielgruppe dieses Artikels sind Sicherheitsbeauftragte oder IT-Spezialisten, die von einer Fachabteilung gebeten werden, schnell mal eine unkritische Website aufzubauen, es seien fast ausschließlich öffentliche Inhalte drauf, d.h. das ganze sollte nicht viel kosten, es gibt ja eh keinen Schutzbedarf. Dieser Artikel will erklären, warum das eigentlich immer falsch und gefährlich ist, zumindestens für die Reputation des Unternehmens.

Es gibt keine Website-Inhalte ohne Schutzbedarf. Selbst wenn ein Webauftritt (so wie diese Website) ausschließlich öffentliche Inhalte enthält, so besteht immer noch die Aufgabenstellung, dass die Integrität der Inhalte gewährleistet werden muss. Denn sonst findet sich leicht ein Hacker, z.B. von Anonymous, der zumindest die Website verunstaltet und sich mit dieser Tat brüstet. Und so was stellt zumindest einen Reptutationsschaden dar (Pressemeldung "Webauftritt des Unternehmens xyz gehackt"). In der Presse wird kaum unterschieden, ob es sich dabei um den Webshop handelte oder die (angeblich unkritische) Seite für die Fans des Unternehmens.

 

Sind wirklich alle Inhalte öffentlich?

Ein guter Test, ob wirklich nur die Integrität des Webauftritts geschützt werden muss ist die Frage, ob diese Website irgendwelche Bereiche hat, für die sich der Benutzer anmelden muss. Falls ja, so gibt es offensichtlich nicht-öffentliche Daten auf dem System. Diese bestehen aus den Daten, auf die man über diese Logins zugreifen kann und noch viel gefährlicher für die Reputation, die Benutzerinformationen die bei der Anmeldung gesammelt wurden, inklusive der Passworte.

 

 
Zurück nach oben

 

Webauftritte mit Benutzeranmeldung

Es ist nämlich durchaus nicht so, dass die Hacktivisten wie 4chan oder Anonymous solche Angriffe "fair und sportlich" angehen, indem sie nämlich die gute abgesicherte Hauptseite eines Unternehmens angreifen, sondern sehr oft gehen sie gegen (angeblich) unkritische Auftritte wie Diskussionsforen und ähnliches vor. Wie unangenehm das für ein Unternehmen sein kann, das demonstriere ich an anderer Stelle am Beispiel Sony. Dort wird der Kursverlauf der Sony-Aktie in den 2 Monaten nach den zahlreichen erfolgreichen Angriffen auf eher unkritische Sony-Webauftritte dargestellt, die wohl außerhalb der kritischen Würdigung der Konzern-Security lagen.

Wenn nämlich hier ein Hacktivist oder anderer Angreifer bei so einer "unkritischen" Website erfolgreich ist, so lautet die Schlagzeile dann leicht "Webauftritt des Unternehmens xyz gehackt, Benutzerpassworte der Kunden sind im Internet zu finden" (ob das wirklich Kundenpassworte sind, das ist gar nicht so wichtig für die Presse). So eine Schlagzeile kann erheblich rufschädigend sein. (Wirklich schlimm wird es dann, wenn die Firma eine Weile versucht, das Problem zu verleugnen oder runterzuspielen, wie das bei solchen Vorfällen in 2010 sehr oft passiert ist.

Jeder Webauftritt, bei dem sich (manche) Benutzer anmelden müssen, und sei es mit einem Nickname oder über Facebook-Login läuft in das Risiko, dass diese Anmeldung und die dahinter liegenden Daten "gehackt" werden. Außerdem gibt es bei vielen dieser Webseiten dann die Möglichkeit, Kommentare zu posten, Mails zu versenden oder ähnliches. Solche Funktionalitäten werden gern genutzt um Spam zu verteilen oder Links auf "böse" Websites zu veröffentlichen (die dann die Besucher mit Schadsoftware infizieren - Drive-By Angriffe) oder unerwünschte Kommentare posten, z.B. rassistischer Art).

Das heißt, jeder Webauftritt wo Benutzer etwas posten können braucht eine Benutzerverwaltung. Und damit ist die Website sofort eine kritische Resource für das Unternehmen die gut geschützt gehört. Wie das am besten geschieht erkläre ich unter Tipps zur Absicherung von Webauftritten an anderer Stelle dieser Website.

Ein ganz wichtiger Punkt dabei ist, dass zumindest das Login, plus die Möglichkeit der Passwort-Rücksetzung bei Vergessen und die Passwortänderungsseite mittels HTTPS abgesichert werden müssen. Wenn man aber bereits so weit ist, dass man sowieso ein SSL-Zertifikat braucht, dann kann man auch den ganzen Inhalt der Website mittels HTTPS anbieten, der zusätzliche Resourcen-Aufwand ist minimal und die Programmierung wird sogar einfacher, wenn alle Inhalte mittels HTTPS ausgeliefert werden.

Abgesichert werden muss natürlich auch der Zugang, mit dem die Redakteure und/oder Website-Entwickler Veränderungen an der Website vornehmen können. Dazu gehört auch der Filetransfer, unverschlüsseltes FTP ist dafür nicht OK.

 

 
Zurück nach oben

 

Weiterführende Links

Das Spezialthema der Implementierung der Benutzerverwaltung mit Passwort-Hashing gibt es unter diesem Link.


Autor: Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.