Mehr-Faktor-Authentifizierung
Smartcards, Biometrie und andere Mehr-Faktor-Authentifizierungs-Services erlangen zunehmende Akzeptanz im Internet. Google, Hotmail und viele andere unterstützen die Anmeldung mit Einmalpasswörtern, die aufs Handy geschickt werden. Kaum eine Bank verlässt sich beim Online-Banking nur noch auf die Eingabe von Benutzername und Passwort.
Web Services Security-Protokolle
Die WS-Security-Protokolle entwickeln die Mehr-Faktor-Authentifizierung weiter. Sie machen es möglich, wiederverwendbare Identitätsnachweise verschiedener Sicherheitsstufen zu erstellen. Diese lassen sich für viele Online-Dienste verwenden. Auch wenn sich diese Technik noch am Anfang ihrer Entwicklung befindet, gibt es schon WS-Security-Unterprotokolle. So erlaubt WS-Trust das Ausliefern, Erneuern und Validieren von Sicherheits-Tokens, besonders im Kontext des Sicherheitsbereichs-übergreifenden Datentransfers. WS-Federation ermöglicht es, Idenditäten bereichsübergreifend zu verwenden. WS-Policy legt die Regeln fest, nach denen die Identitäten geprüft und ihre Echtheit bestätigt wird - beispielsweise durch zwei verschiedene Faktoren, anonym und so weiter.
Interface for Metadata Access Points (IF-MAP)
Neben dem TPM hat die Trusted Computing Group die IF-MAP-Spezifikation entwickelt. Die offene Standard-Schnittstelle, derzeit in Version 2 vorliegend, ist dazu gedacht, den Netzzugang verschiedenster Geräte zu regeln. Einige, gerade für Remote-Lösungen wichtige Funktionen fehlen aber noch. Verliert beispielsweise in autorisierter Nutzer aus beliebigen Gründen die Kontrolle über ein Gerät (Malware-Attacke, Abwesenheit etc.), sollten sofort Maßnahmen ergriffen werden.
Sicherheit auf Anwendungsebene
Web-Entwickler zeichnen nicht für das Design und die Usability, sondern auch die Sicherheit ihrer Services verantwortlich. Der Einsatz verlässlicher Protokolle und Identitätsmanager sollte daher zum Standard werden. Schließlich nutzt die Mehrzahl heutiger Internet-Schädlinge Schwachstellen auf Anwendungsebene aus. Stimmt aber die Absicherung davor bereits, entsteht gar nicht erst die Möglichkeit, zu den Applikationen vorzudringen, weil die sicheren Protokolle dies verhindern.
- Platz 12: Platz Apple QuickTime
Wir beginnen das Ranking der gefährlichsten Programme 2010 von hinten: Der Medienplayer mit dem eigenwilligen Format, der auf Macs daheim ist, wies im Laufe der vergangenen zwölf Monate 6 Lücken auf. - Platz 11: Adobe Flash Player
Der Adobe Flash Player ließ sich durch 8 verschiedene Hintertüren angreifen. - Platz 10: Apple WebKit
Die Endanwender-Entwicklungsumgebung wartete auf die Beseitigung von 9 Schwachstellen. - Platz 9: RealNetworks RealPlayer
In früheren Zeiten ein Hit, heuer durch den VLC an Bedeutung verloren, brachte es der RealPlayer immerhin auf 14 Lücken. - Platz 8: Microsoft Internet Explorer
Mit insgesamt 32 Schwachstellen kam der IE im Monatsdurchschnitt auf knapp drei. - Platz 7: Adobe Shockwave Player
Der weniger verbreitete Player wartete mit 35 Sicherheitslücken auf. - Platz 6: Sun Java Development Kit
36 Schwachstellen in der beliebten Entwicklungsumgebung für Desktop-Anwender sind gleichbedeutend mit dem sechsten Rang in dieser unrühmlichen Hitliste. - Platz 3: Microsoft Office
Und nun sind wir bereits auf dem Treppchen der Peinlichkeiten: Die Bürosuite aus Redmond schien mit 57 verschiedenen Schwachstellen das ganze Jahr über ziemlich unausgereift daherzukommen.
Die Technologie ist also da…
… nur muss sie auch verwendet werden. Webservice-Betreiber und Provider sind gleichermaßen gefordert.
Der Artikel basiert auf dem Beitrag "10 building blocks for securing the Internet today" von Roger Grimes, erschienen bei unserer US-Schwesterpublikation InfoWorld. (sh)