 | ||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||
Glossar 
Forschungsprojekte 
Anbieterverzeichnis 
Datenbanksuche 
Highlights | |||||||||||||||||||||||
| Wissensbrowser starten | |||||||||||||||||||||||
| |||||||||||||||||||||||
| |||||||||||||||||||||||
|
| ||||||
|  | |  | |  | |
| ||||||
| ||||||
|  | | ||||
| ||||||
Verfahren |
|
Implementierung sicherer Software |
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| Beschreibung | |||||||||
| |||||||||
| Auch in der Implementierungsphase eines Softwareentwicklungsprojekts, also der Codierung in einer Programmiersprache, werden viele Sicherheitslücken eingeschleppt - rein quantitativ wahrscheinlich sogar die meisten (s. "Pufferüberlauf" unten). Die typischen Fehler auf dieser Ebene sind relativ klar definiert, allerdings nicht immer genauso klar zu erkennen. Implementierungsfehler sind meistens spezifisch für eine bestimmte Programmierplattform (z.B. eine Programmiersprache oder ein Betriebssystem).
Ein sehr grundlegender Ansatz, um Implementierungsfehler zu vermeiden, ist daher die Wahl einer "sicheren" Programmiersprache - wie in anderen Software-Systemen auch, werden im Entwurf einer Programmiersprache bestimmte Abwägungen zwischen Qualitäten wie Funktionalität (genauer: Ausdruckskraft), Laufzeiteffizienz oder eben Sicherheit getroffen. Verschiedene Sprachen haben hier unterschiedliche Schwerpunkte gesetzt. Die Programmiersprache C beispielsweise legt ihren Schwerpunkt auf Laufzeiteffizienz und Hardwarenähe, während z.B. die Programmiersprachen Java oder auch Ada eher die Fehlersicherheit und eben auch die Angriffssicherheit betonen(z.B. durch ein sicheres Typsystem). Einen anderen Randpunkt des Sprachenspektrums besetzt etwa die Sprache PHP für Webserver-Skripte, die vor allem einfache Benutzbarkeit betont, auch auf Kosten der Sicherheit. Falls die Programmiersprache für ein neues Entwicklungsprojekt noch nicht fest steht, sollte deshalb unter anderem auch die Sicherheit der Sprache ein Entscheidungskriterium sein. Die bis heute am häufigsten ausgenutzte Implementierungs-Schwachstelle überhaupt sind Pufferüberläufe. Sie treten in der Praxis fast nur in der Programmiersprache C auf (und in C++, falls Arrays und Pointer wie in C benutzt werden). Für auf Webservern ausgeführte Skripte wird oft die Programmiersprache Perl eingesetzt. Eine Hauptquelle von Sicherheitslücken bei Webserver-Skripten (in jeder Programmiersprache) sind ungeprüft verarbeitete Eingabeparameter (z.B. Eingaben des Benutzers in ein Textfeld auf einer Webseite). R04: Prüfe alle Daten aus Quellen mit weniger Rechten führt das weiter aus. Perl bietet als wohl einzige Programmiersprache einen eingebauten Mechanismus, um ungeprüft verarbeitete Eingabeparameter zu erkennen, den sogenannten Taint Mode (perldoc.perl.org/perlsec.html). | |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
| |||||||||
Eintrag bewerten | ||||
| ||||
 | Übergeordnet | | ||
| ||||
|
| | ||
| ||||
| ||||
| ||||
| ||||
| Implementierung sicherer... | ||||
| ||||
| ||||
| ||||
| ||||
| Ansprechpartner | | ||
| ||||
|
| | ||
| ||||
| ||||
| ||||
| Löst die Probleme | | ||
| ||||
|
| | ||
| ||||
| ||||
| | | ||
| ||||||||||||||
|
