Das Fünf-Ebenen-Modell
Dabei sind Web-Anwendungen in Zeiten von Cloud Computing, Software as a Service, Mobile Computing und Social Media immer mehr Risiken und Bedrohungen ausgesetzt. Anders als es die rund 70 Prozent der von Ponemon befragten Unternehmen glauben, bietet eine herkömmliche Firewall keinen Schutz gegen Hacker-Angriffe auf Web-Applikationen. Effektive Sicherheit muss auf unterschiedlichen Ebenen erfolgen - nicht nur auf der Netzwerkschicht. Aus dem Grund empfiehlt das BSI eine Strukturierung des weiten Felds Web Application Security anhand eines Fünf-Ebenen-Modells. Dieses gruppiert über der Netzwerkschicht fünf weitere Ebenen: System, Technologie, Implementierung, Logik und Semantik.
Foto: BSI
Die Systemebene befasst sich demnach mit der Sicherheit der zur Realisierung der Web-Anwendung benötigten Software. Dazu gehören neben Web- und Applikations-Servern beispielsweise auch Datenbank- und Backend-Systeme. So sollte beispielsweise ein Web-Server in Bezug auf Benutzerkennung, Zugriffsrechte auf Prozesse, Verzeichnisse und Dateien, Fehlerausgaben und Protokollierung sicher konfiguriert werden. Das Gleiche gelte bei Datenbanken für gespeicherte Prozeduren, Tabellen, Tabelleninhalte etc. Generell ist auf der Systemebene der möglichst weitgehende Aufbau einer "Second-Line-of-Defense"-Strategie anzuraten, heißt es beim BSI. Dabei soll sichergestellt werden, dass nach Kompromittierung einer Anwendung die möglichen Auswirkungen auf andere Teilsysteme minimal bleiben.
- Flight - Event-gesteuertes Web-Framework von Twitter
Unter Softwareentwicklern genießt Twitter einen guten Ruf, nicht zuletzt weil das Unternehmen zahlreiche Frameworks und Tools an die Community freigegeben hat. - Google Code Prettify macht Quelltexte besser lesbar
Es soll ja Programmierer geben, die mit einem einfachen Editor und unformatiertem Text arbeiten können. Die meisten Entwickler finden es aber mühsam, ohne Syntax-Hervorhebung Code zu lesen. - TideSDK - plattformunabhängige Desktop-Apps erstellen
Mit dem quelloffenen Framework "TideSDK" können Web-Entwickler ihr Know-how nutzen, um plattform-übergreifende Desktop-Anwendungen für Windows, Mac OS X und Linux zu erzeugen. - "LaunchRock" erstellt attraktive Landingpages im Nu
Der Dienst stellt ein Online-Tool bereit, mit dem man eine standardisierte Landingpage mit schlichtem Registrierungsformular erstellen kann. - App Annie liefert wertvolle App-Store-Statistiken
Wer neben Metriken über die Nutzung der eigenen Software auch an den Statistiken der App-Stores besonders interessiert ist, sollte einen Blick auf App Annie werfen. - Loggr - Monitoring und Analytics für Web-Anwendungen
Betreiber von Web-Anwendungen sind bedacht, eine möglichst hohe Performance und Verfügbarkeit sicherzustellen. Application-Performance-Management-Tools wie Loggr helfen dabei. - WPTouch macht aus Wordpress-Blogs mobile Apps
Das kostenlose Plugin "WPTouch" wandelt Wordpress-Blogs in eine mobile App um. Dabei nimmt die Seite das charakteristische Look and Feel der jeweiligen Plattform automatisch an. - The M-Project - HTML5-Framework für mobile Web-Apps
Mit "The M-Project" steht ein quelloffenes HTML5-Framework für mobile Web-Apps zur Verfügung, das in Deutschland entwickelt wird. - HockeyApp - Smartphone-Apps besser testen
HockeyApp sammelt Informationen wie Crash-Reports und Anwendungs-Logs und liefert ausführliche Testberichte. - Kirby - ein textbasierendes Content-Management-System
OpenWe hat mit "Kirby" ein Content-Management-System (CMS) entwickelt, das ganz ohne Datenbank auskommt. - Mashape - Zentraler Marktplatz für APIs
APIs, die verschiedene WebDienste miteinander integrieren können, werden mit SaaS, Cloud Computing & Co. immer wichtiger. Das Startup Mashape stellt eine zentrale Drehscheibe für Programmierschnittstellen zur Verfügung, die die Integration heterogener Cloud-Dienste vereinfachen soll - quasi eine Art App Store für APIs. - Tower - Anspruchsvolles Git-Tool für den Mac
"Tower" ist ein professioneller Git-Client für Mac OS X, der in Sachen Bedienkomfort und Funktionalität kaum Wünsche offenlässt. - Google Swiffy verwandelt Flash-Inhalte in HTML5
Wer sicherstellen will, dass sich Flash-Inhalte auch auf iOS-Plattformen betrachten lassen, sollte sich das Konverter-Tool "Swiffy" ansehen. - Cappuccino bringt Mac-Usability ins Web
Die jungen Entwickler hinter "Cappuccino" sind sehr ehrgeizig: Ein Web-Framework, bei dem man keinen HTML- beziehungsweise CSS-Code schreiben kann und sich mit dem DOM (Document Object Model) nicht auseinandersetzen muss, ist allein schon ein recht mutiger Ansatz. Dazu kommt noch eine selbst entwickelte Programmiersprache, Objective-J, die das Beste von Javascript und Objective-C vereinen soll. - Flotr2 - Interaktive Diagramme auf HTML5-Basis erstellen
Angeboten von der Softwareschmiede Humble Software bietet "Flotr2" einen einfachen Weg, dynamische und interaktive Diagramme in Web-Seiten und -Anwendungen zu integrieren. - MooTools - das objektorientierte Javascript-Framework
Wie wichtig die Rolle ist, die Javascript in der heutigen Web-Entwicklung spielt, spiegelt sich in der großen Zahl von Frameworks, Tools und Klassenbibliotheken wider, die die Arbeit mit der mächtigen Skriptsprache erleichtern und heute auf dem Markt zu finden sind. - Mobitest analysiert die Performance mobiler Websites
Mit "Mobitest" können Entwickler die Ladezeiten von mobilen Websites auf populären Smartphones und Tablets messen. - Ohne Programmierkenntnisse - Apps Marke Eigenbau
Die Entwicklung von Smartphone-Apps ist nicht gerade günstig. Wer eine tolle Idee für eine App hat, aber weder Programmierkenntnisse noch Geld für deren Umsetzung durch einen professionellen Entwickler besitzt, kann auf Tools zurückgreifen, die nach dem Baukastenprinzip arbeiten. - Mojito hilft bei der Entwicklung mobiler Web-Apps
Als erstes Entwickler-Tool im Rahmen der umfangreichen Initiative "Yahoo Cocktails" hat der Internet-Konzern Yahoo "Mojito" herausgebracht. - Socialize - Sharing-Funktionen in die eigene App integrieren
So gut wie jede Smartphone-App bietet den Nutzern die Möglichkeit, die Anwendung in den wichtigsten sozialen Netzwerken ihren Freunden und Kollegen zu empfehlen. Meistens steht dazu ein einfacher Button zur Verfügung, der den User nach Twitter, Facebook etc. weiterleitet. - RestKit - Solides Fundament für Cloud-basierende iOS-Apps
Bei der Entwicklung Web-basierender Apps fallen immer wieder die gleichen Aufgaben an. Ein typischer Use-Case sieht vor, dass vom Anwender erzeugte Daten validiert und via HTTP-Anfrage an den Server geschickt werden. - Flurry Analytics - Google Analytics für Apps
Welche Features werden am häufigsten verwendet? Wie oft wurde diese oder jene Ressource angeklickt? Welche Fehler treten in einem bestimmten Modul auf? App-Entwickler, die Antworten auf solche Fragen suchen, sind mit Flurry Analytics gut bedient. - Sproutcore - HTML5-Framework für moderne Web-Apps
Nutzer erwarten zunehmend, dass sich Applikationen im Browser genauso anfühlen wie Desktop-Anwendungen. Das ständige Warten auf Server-Daten stellt deshalb eine der größten Hürden für Web-Applikationen dar. - Jotform - Komplexe Web-Formulare einfach erstellen
Bei Jotform handelt es sich um einen Web-basierenden Wysiwyg-Formular-Wizard. Dieser ermöglicht es Web-Entwicklern wie Laien, optisch ansprechende und funktional anspruchsvolle Web-Formulare zu erstellen, und das in nur wenigen Schritten. - Bootstrap - Website-Vorlage von den Twitter-Entwicklern
Web-Entwickler erhalten mit Bootstrap eine professionelle HTML- und CSS-Vorlage, die als solides und flexibles Fundament für eigene Projekte dienen kann. - Modernizr hilft beim Einstieg in HTML5
Der neue Standard HTML5 bietet Programmierern und Designern Techniken und Funktionen, die sie sich lange gewünscht haben. Doch leider zögern noch viele, von den schönen neuen Features in eigenen Projekten Gebrauch zu machen. - Apache Wink - Einfache Rest-Services für Java
"Wink" ist ein junges Open-Source-Projekt der Apache Foundation, das Java-Entwicklern die einfache Implementierung von Web-Services im Rest-Style (Representational State Transfer) ermöglicht. - Aviary - Kostenloser Foto-Editor für Mobile- und Web-Apps
Die Softwareschmiede Aviary ist für zahlreiche innovative Online-Anwendungen im Bereich Multimedia bekannt. Die bei der Entwicklungsarbeit gesammelten Erfahrungen spiegeln sich in dem kostenlosen "Aviary"-Framework wider. - Three20 - Mächtige Open-Source-Bibliothek für iOS-Anwendungen
"Three20" ist eine quelloffene, erstklassige iOS-Bibliothek, die die Entwicklung nativer Anwendungen für iPhone und iPad vereinfachen und beschleunigen kann. - CForms - Mächtiges Formular-Plugin für Wordpress
Web-Formulare dürfen in so gut wie keinem Blog beziehungsweise keiner Website fehlen. Unter Wordpress-Nutzern sehr beliebt ist in diesem Bereich das kostenlose Tool "CForms". Damit lassen sich beliebig komplexe Formulare erstellen und auf einfache Weise in Blog-Einträge und Seiten integrieren. - Testflight vereinfacht das Testen von iOS-Apps
Entwickler, die ihre iOS-Apps von Kunden, Betatestern oder Kollegen testen lassen möchten, müssen sich einem aufwendigen Prozedere beugen. - Einfache Web-Formulare mit Google Docs
Ein großer Vorteil des Web ist die papierlose Erfassung von Formulardaten. Jeder Internet-User kennt diese Formulare (Webforms) im täglichen Umgang mit Ebay, Amazon, Facebook & Co. - Imgscalr - Bilder in Java einfach skalieren
Bei Web-Anwendungen muss man Bilder häufig skalieren, weil sie in einer Größe angezeigt werden sollen, in der sie eigentlich nicht vorliegen. - Kendo UI Mobile - HTML5-Framework für Smartphone-Apps
Vor allem im Mobile-Bereich müssen Softwarehersteller in eine elegante, intuitive und schöne Arbeitsoberfläche investieren. Hilfe verspricht hier das auf HTML5, CSS3 und Javascript basierende Mobile-Framework "Kendo UI Mobile" von dem amerikanischen Softwareunternehmen Telerik. - Applicasa - Hosting-Service für Backend-Systeme
Mit einem umfassenden Hosting-Service, der Backend-Systeme für Mobile-Anwendungen bereitstellt, versetzt "Applicasa" iOS-Entwickler in die Lage, sich voll und ganz auf ihre App zu konzentrieren. - Pencil Sketching - GUI-Skizzen in Firefox
"Pencil Sketching” eignet sich optimal dazu, schnell und unkompliziert GUI-Prototypen für Web-Anwendungen zu erstellen. - Firebug - ein Muss für Web-Entwickler
Zur Analyse und Optimierung von Web-Seiten hat sich das Firefox-Add-on "Firebug" als Standardwerkzeug für Web-Entwickler etabliert. - Mit Bugzilla Programmfehlern auf der Spur
Die Mozilla Foundation bietet mit "Bugzilla" ein nützliches Web-Tool zur zentralen Erfassung, Analyse und Verwaltung von Programmfehlern. - Xampp installiert Ihren Apache-Server
Ein Apache-Server mit Perl-, PHP- und MySQL-Unterstützung lässt sich nicht so einfach einrichten. Wer eine solche Umgebung lokal auf seinem Rechner braucht, der kann auf "Xampp" zurückgreifen, anstatt alles selber zu installieren. - Http-Anfragen bequem mit URL Decoder editieren
Mit dem "URL Decoder” können Web-Entwickler Http-Anfragen mit vielen Parametern in einer Übersichtstabelle visualisieren und schnell bearbeiten. - MediaElementPlayer - HTML5-Video für jeden Browser
Egal ob Internet Explorer, Firefox, Safari oder Chrome, ob auf dem PC, iPhone, iPad oder Android-Smartphone: Mit dem JavaScript-Framework "MediaElementPlayer" funktioniert HTML5-Video in jedem Browser und auf jedem Gerät. - Poedit hilft bei der Software-Lokalisierung
Bei der Lokalisierung von Software-Anwendungen werden oft Portable-Object-Dateien verwendet. Mit dem kostenlosen Tool "Poedit" lassen sie sich bequem bearbeiten. - Hurl - Web-APIs direkt im Browser testen
Web-Entwickler haben täglich mit Http-Anfragen zu tun, sei es bei der Implementierung eigener Server-Client-Anwendungen, bei der Arbeit mit Web-Services oder bei der Integration mit externen APIs (Application Programming Interface).
Web Application Firewalls helfen ab
Während auf der Netzwerkschicht mittlerweile bewährte Firewall-Techniken zur Verfügung stehen, gab es auf der Systemebene von Web-Anwendungen lange Zeit keinen vergleichbaren Schutz. Mittlerweile können hier Web Application Firewalls - auch Web-Shields genannt - eingesetzt werden. Diese Systeme werden sowohl als reine Softwarelösungen als auch in Kombination von Hard- und Software (Appliances) angeboten. Sie filtern den Datenstrom zwischen Client und Server und können schädliche beziehungsweise gefährliche Anfragen blockieren, bevor sie die Anwendung erreichen. Einige Produkte sind zudem in der Lage, die vom Web-Server an den Browser versandten Daten zu überwachen. Wie Bruce Sams, Geschäftsführer der Optima Business Information Technology GmbH, erklärt, können Web-Shields jedoch nicht alle Angriffsformen erkennen und dienen keinesfalls als Ersatz für die Erstellung sicherer Software. Aus dem Grund gilt: Sicherheitsprobleme sollten in der Web-Anwendung selbst gelöst werden - und zwar auf der vom BSI definierten Technologie- und Implementierungsebenen.