Security-Schätzung von Open Source Webanwendungen

Abstract

Viele kleine und mittelständische Unternehmen außerhalb des EDV-Sektors beschäftigen oft nur eine Person, die für "die EDV" zuständig ist. Vorgesetzte teilen ihr daher vielfältige Aufgaben zu, wie beispielsweise die Erstellung einer Firmenwebseite. Da Kostenersparnis hinter solchen Aufträgen steht, erhält sie kein Budget für Ausgaben. Folglich sind kostenlose Open Source Lösungen unter den wenigen verbleibenden Alternativen. Sicherheitsprüfung von Software ist ein komplexes Themengebiet. Will sich eine EDV-bedienstete Person ohne Erfahrung mit Sicherheitsprüfungen aufgrund von Sicherheitseigenschaften zwischen zwei Open Source Webanwendungen entscheiden, benötigt sie dafür geeignete Werkzeuge. Leider gibt es keine kostenlos verfügbaren Werkzeuge, die alle Anforderungen einer solchen Person erfüllen. Artikel über die Sicherheit von Webanwendungen, die im Internet veröffentlicht werden, unterliegen oftmals voreingenommenen Ansichten der Autoren oder sind für Personen ohne Erfahrung unverständlich verfasst. Folglich stellt eine Sicherheitsprüfung von Webanwendungen eine Herausforderung dar. Diese Arbeit stellt eine Methode vor, welche es EDV-Bediensteten ermöglicht, von mehreren Alternativen die als am sichersten einzuschätzende Webanwendung zu wählen. Die im Vorfeld ausgewählten Produkte entsprechen den Firmenrichtlinien und die Person beherrscht die Grundlagen der Webentwicklung in der relevanten Programmiersprache und Technologie. Die Methode gliedert die vorgeschlagene Untersuchung der Sicherheit in nachvollziehbare Teilaufgaben und nutzt die zur Verfügung stehenden, kontextuellen Informationen der prüfenden Person. Zudem priorisiert sie die Aufgaben nach dem Kosten/Nutzen-Prinzip, um effektivste Zeitnutzung zu gewährleisten. Informatikstudenten, die nicht auf Web-Sicherheit spezialisiert sind, haben eine funktionsfähige Implementierung dieser Methode getestet. Sie haben in etwa den selben Wissensstand im Bezug auf Web-Sicherheit wie jene EDV-Bediensteten, von denen diese Arbeit ausgeht. Die erlangten Ergebnisse deuten darauf hin, dass die Methode und ihre Implementierung für die Untersuchung und den Vergleich von Open Source Webanwendungen im Bezug auf ihre Sicherheitseigenschaften gut geeignet ist. Die akkurate Arbeitsweise der untersuchenden Person spielt dabei eine große Rolle für die Qualität der Ergebnisse. Die erweiterbare Implementierung erleichtert die kontinuierliche Verbesserung der Methode.

Many small and medium-sized companies outside the Information Technology (IT) sector employ a person responsible for IT -in general-. Supervisors commission such IT individuals with a variety of tasks, such as, creating a company website. Given that cost considerations often result in such assignments, management allocates no budget for expenses. This leaves free open source web applications as one of the rare alternatives. Security evaluation is a complex field of expertise. There are no freely available tools that cover all the requirements of an IT individual without security experience to choose between open source web applications. Security appraisal on the Internet is exposed to author bias, or it is not understandable to an average IT professional. Consequently, a security-based decision for a web application is difficult to make. This work proposes a method, called EstSecure, that supports IT professionals in finding such a security-based choice. It helps them determine the estimably most secure web application from a preselected set of candidates. It is assumed that the IT professional has basic web development knowledge. Then, EstSecure divides the security evaluation into manageable tasks, leverages user-provided context information, and ranks the tasks based on a cost-benefit ratio to achieve maximum time efficiency for the user. IT students not focused on IT security tested the proposed method using its implementation. The students have approximately the same security knowledge as the assumed IT professionals. The results indicate that EstSecure and its implementation are suitable for evaluating and comparing open source web application security properties. They further imply that the rigor of the user is essential for the success of EstSecure. Extensible implementation will allow future work to further improve the method and continuously optimize its utility.