Sicherheit von Webseiten und UHTML

uHTML

Schutz vor Angriffen

Die Vermengung von HTML und Programmcode in Webdateien ist ein klares Sicherheitsrisiko. So muß z.B. häufig identischer Code in mehrere HTML–Dateien (die asp– oder php–Dateien genannt werden) kopiert werden. Jede Fehlersuche oder Weiterentwicklung muß all diese Vorkommen von identischem oder ähnlichem Code berücksichtigen. Diese Aufgabe kann nur gemeinsam vom Programmierer und Designer durchgeführt werden um die Integrität von Design und Funktion zu gewährleisten.

Diese Prozedur trägt in sich ein hohes Risiko von unbeabsichtigten Veränderungen und damit Fehlern. Außerdem werden sowohl der Programmierer wie auch der Designer dazu tendieren die monotone und arbeitsintensive Prozedur zu verkürzen und die Überprüfung von theoretisch nicht geänderten Dateiabschnitte überspringen.

Dieses Risiko wird von UHTML durch die klare Trennung der Arbeitsbereiche von Programmierer und Webdesigner eliminiert. Außerdem braucht der Programmierer keinen Code quer über mehrere Dateien kopieren sondern pflegt ihn nur an einer klar definierten Stelle. Macht der Designer einen Tippfehler beim Einfügen von UHTML–Elementen, verlieren diese ihre Funktionalität was vom Designer direkt erkannt wird.

Ein weiteres Risiko, das aus dem Vermengen von HTML und Programmcode resultiert, ist das Ausliefern von Programmcode an einen potentiellen Angreifer bei einer Fehlfunktion die höchstwahrscheinlich von diesem Angreifer ausgelöst worden ist. Dieses Risiko kann nicht hoch genug eingeschätzt werden, da durch die Code Analysis Hintertüren ausgespäht werden können die dann für maßgeschneiderte Angriffe benutzt werden.

Auch dieses Risiko besteht bei UHTML nicht da der Programmcode streng aus den Dateien mit dem Webseiteninhalt herausgehalten wird.

Inkonsistente oder unvorhergesehene Eingaben

Browser uHTML model

Inkonsistente oder unvorhergesehene Eingaben sind die meistverwendete Angriffsmethode auf Webseiten. In UHTML kann der Programmierer dank der klar definierten Schnittstellen einfach eine zentrale Prüfung der Datenintegrität aller Eingaben einbauen. Dadurch werden Fehlerfunktionen, die auch durch Angriffe verursacht werden können, schon im Ansatz vermieden.

Fehlermeldungen UHTML versus php

Error messages uHTML model    Error messages php model

Ausführliche Fehlermeldungen sind wichtig für den Programmierer um Fehler schnell und effizient beheben zu können. Für einen Angreifer sind Fehlermeldungen die zentrale Informationsquelle. Über diese wird gewöhnlich die interne Datenstruktur einer Präsenz ausspioniert, um einen Ansatzpunkt für einen Angriff zu finden.

Im Gegensatz zu vielen anderen Technologien werden Programm–Fehlermeldungen von UHTML standardmäßig nicht innerhalb der Webseite ausgegeben sondern in die Fehlerlogdatei des Servers geleitet. Ein potentieller Angreifer kriegt so im Fehlerfall die sensiblen Daten erst gar nicht zu Gesicht.

divider

English Version
 

Externe Seiten:

uHTML-Logo 2008 All Rights Reserved Amina Mendez & Roland Okello Valid HTML 4.01 Transitional CSS is valide!