Dienstag, 4. Mai 2010
Crossposting aus dem Google-Blog zur Onlinesicherheit
Wir möchten, dass Google-Mitarbeiter die Bedrohungen unserer Dienste genau kennen und wissen, wie sie sich davor schützen können. Wir arbeiten auf unterschiedliche Weise an diesen Zielen, z. B. an Sicherheitsschulungen für neue Entwickler, technischen Präsentationen zur Sicherheit und an anderen Arten von Dokumentationen. Außerdem nutzen wir Codelabs – interaktive Programmierungsanleitungen, in denen die Teilnehmer durch bestimmte Programmieraufgaben geführt werden.
Insbesondere in einem Codelab werden Entwickler über gängige Arten von Sicherheitslücken bei Webanwendungen aufgeklärt. Im Codelab gehen wir von dem Prinzip aus, dass „nur ein Hacker einen anderen Hacker fangen kann“, und demonstrieren, wie ein echter Angreifer diese Sicherheitslücken ausnutzen würde.
Wir veröffentlichen heute dieses Codelab mit dem Titel „Web Application Exploits and Defenses“ in Zusammenarbeit mit Google Code University und Google Labs, damit Softwareentwickler ähnliche Fehler in ihren eigenen Anwendungen besser erkennen, beheben und vermeiden können. Das Codelab basiert auf Gruyere, einer kleinen, aber leistungsfähigen Mikroblogging-Anwendung, die viele Sicherheitsfehler eindämmen soll. Zu den vom Lab abgedeckten Sicherheitslücken zählen Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (XSRF) und Cross-Site-Script-Inclusion (XSSI), Manipulation des Client-Status, Pfaddurchlauf sowie Sicherheitslücken in AJAX und in Konfigurationen. Außerdem wird erläutert, wie einfache Programmfehler zur Offenlegung von Informationen, zu einem Denial of Service und zur Remote-Code-Ausführung führen können.
Die Maxime „Viele Tester finden schnell alle Fehler“ gilt nur, wenn sie auch wissen, wonach sie suchen sollen. Zu diesem Zweck sind die Sicherheitsfehler in Gruyère echte Fehler – genau wie bei vielen anderen Anwendungen. Der Quellcode von Gruyère wird unter einer Creative-Commons-Lizenz veröffentlicht und kann in Whitebox-Hacking-Übungen oder in Informatikkursen zur Sicherheit, Softwaretechnik oder allgemeinen Softwareentwicklung verwendet werden.
Informationen zu den ersten Schritten findet ihr unter https://google-gruyere.appspot.com/. Ein Leitfaden für Lehrkräfte zur Verwendung des Codelabs ist jetzt bei Google Code University verfügbar.