Wir brauchen „Free Security Audit“!

Stefan Esser, dessen Arbeit ich mit Interesse verfolge, hilft, Sicherheitsschwachstellen in PHP zu entdecken und zu beheben. Darüberhinaus entwickelt er einen PHP-Patch mit Namen Suhosin, der den PHP-Code selbst von bekannten Schwachstellen befreien soll.

Stefan kommentiert in seinem Blog die Anfrage von den Machern von TikiWiki zwecks eines Security Audits, also einer Prüfung auf Schwachstellen in der Software. Diese hatten ihn – und offenbar noch weitere Sicherheitsexperten – in eine Rundmail angeschrieben und um eine – kostenlose – Überprüfung der aktuellen Wiki-Software geworben. Ich möchte ich nicht auf die Beweggründe eingehen, warum er letztendlich dieser Anfrage nicht nachging und nicht half.

Jedem Webentwickler „sein Stefan Esser“

Bei mir warf diese Geschichte die Frage auf, ob jedes Open-Source-Projekt einen Security Auditor von Stefans Kaliber braucht. Und wenn ja, warum? Gibt es keinen Mittelweg zwischen „scripten ohne Sicherheitskenntnisse“ und „security Experte“? Denn nicht jedem Entwickler steht „ein Stefan“ zur Seite, auch wenn es wünschenswert wäre.

Was ist zu tun? Sollten alle Hoster verpflichtet werden Web Firewalls, neueste PHP-Versionen und den Suhosin-Patch einzusetzen? Sollten alle Webentwickler zu Sicherheitsschulungen gezwungen werden?

Wie Websicherheit aussehen könnte

Vornweg: Frameworks helfen nicht, denn sie erfordern gerade soviel Wissen um ihrer Verwendung, dass die meisten Webentwickler die zusätzliche Einarbeitung scheuen nicht darauf aufsetzen.

Ich denke, der richtige Weg wäre, jedem Webentwickler ein wenig entgegen zu kommen, so dass er sich nicht zwingend neues Wissen aneignen (und dann aktuell halten) muss um eine Grundsicherheit seiner Software zu erreichen und auch nicht auf externe Hilfe z.B. der Hoster bei der Installation neuester Software angewiesen ist.

Die Lösung wäre meiner Meinung nach eine frei verfügbare Sammlung von Funktionen, die mit einem einzigen „include_once“ in jedem PHP-Skript eingebunden wird und frei von Abhängigkeiten ist, so dass sie sowohl in einfache 10-Zeilen-Skripte als auch in komplexe Frameworks eingesetzt werden kann. Die Installation sollte mit dem Entpacken weniger Dateien auf dem Server auch schon getan sein.

Die dann zur Verfügung stehenden Funktionen sollten zumindest effektiv einige der Top-10 – Angriffe abwehren oder den Angriff erschweren können und so einfach zu verwenden sein, dass sie ohne weiteres in laufende Projekte eingebunden werden können.

Kennt jemand eine solch einfach einzubindende aber wirkungsvolle Bibliothek? (Das direkte Produkt dieser Überlegung, die SSEQ-LIB braucht hier nicht genannt werden. Ich suche tatsächlich ähnliche Projekte.)

Das könnte dich auch interessieren …

Eine Antwort

  1. andré sagt:

    … wiewird man ein audit?
    gruß
    andré

    ps: kann man bei projekten mit programmieren?