Es gibt nur sehr wenige Prozesse, bei denen Sie sich so viele Dinge merken müssen wie beim Erstellen einer neuen Web-App. HALLO, UX, funktionierendes Backend, Performance, Reaktionsfähigkeit auf Mobilgeräten, Integrationen von Drittanbietern, automatisierte Tests...

Bei so vielen Dingen, über die man sich Sorgen machen muss, ist es leicht, etwas Wichtigeres zu übersehen als all diese Dinge: Onlinesicherheit.

‍

‍

Cybersicherheit

56% der Organisationen hat in den letzten 12 Monaten eine Sicherheitsverletzung oder -kompromittierung im Zusammenhang mit ihren Webanwendungen erlebt — gegenüber 50% im Vorjahr. Und die Dinge werden nur noch schlimmer.

Okay, Cybersicherheit ist wichtig — das weiß jeder — aber wie kann ich als Entwickler einer Web-App mein Produkt vor Angriffen schützen?

Wir haben gefragt Vebjörn, ein Experte auf dem Gebiet der Cybersicherheit, für praktische Tipps, wie eine durchschnittliche Person, die an einer Web-App arbeitet, ihr Produkt effektiv schützen kann.

‍

Wo soll ich anfangen?

Fangen wir mit den absoluten Grundlagen an. Für die Sicherheit von Webanwendungen gibt es etwas namens OWASP Top 10. Es handelt sich um eine Liste der zehn häufigsten und gefährlichsten Sicherheitsprobleme in Webanwendungen, die von der OWASP (Open Web Application Security Project) Foundation verwaltet wird. Ihr Ziel ist es, Ihnen zu helfen, zu verstehen und zu priorisieren, auf welche Sicherheitsprobleme Sie achten sollten.

Es war noch nie einfacher, Software zu entwickeln als heute, da einige der besten Informationen und notwendigen Tools kostenlos und leicht verfügbar sind. Die OWASP Top Ten sind ein großartiges Community-Projekt, das direkt dazu beiträgt, auch die Anwendungssicherheit zugänglich und verständlicher zu machen. Es kann helfen, eine Richtung vorzugeben, auf welche Fehlerklassen man achten sollte. Wenn eine Anwendung dem Internet ausgesetzt wird, sind strenge Sicherheitskontrollen erforderlich, da die Benutzer darauf vertrauen, dass ihre Daten und die Verfügbarkeit der Anwendung gewährleistet sind. Ein Verstoß gegen dieses Vertrauen könnte ausreichen, um Ihren Ruf dauerhaft zu schädigen oder zu ruinieren. ~ Vebjørn

Vebjørn ist ein Offensive Security Lead mit langjähriger Erfahrung in den Bereichen Penetrationstests (ethisches Hacken) und Anwendungssicherheit. Wir haben ihn gebeten, aufgrund seiner Erfahrung die drei wichtigsten Anfängertipps für Leute, die eine Webapp erstellen, mit uns zu teilen:

‍

Fangen Sie früh an

Berücksichtigen Sie die Sicherheit nach Möglichkeit von Beginn des Entwicklungsprozesses an. Lassen Sie sich von den besten Sicherheitspraktiken für Ihren Anwendungs-Stack beraten und implementieren Sie Sicherheitschecks und -abwägungen in Ihrer CI/CD-Pipeline. Beispiele hierfür könnten IDE-Plugins, durch Github-Aktionen ausgelöste Secrets-Scanner und statische Codeanalysetools sein.

‍

‍

Das Rad nicht neu erfinden

Erstellen Sie keine eigenen Authentifizierungsmechanismen, kryptografischen Algorithmen oder andere Anwendungskomponenten, die für die Gesamtsicherheit der Anwendung von zentraler Bedeutung sind (insbesondere, wenn Sie gerade erst mit der Anwendungssicherheit beginnen). Es gibt viele großartige kommerzielle und Open-Source-Projekte, die beide einfach zu bedienen sind, eine großartige Benutzererfahrung bieten und von einigen der Besten auf diesem Gebiet gründlich geprüft wurden. Vollständig PaaS-Backends wie SupaBase funktionieren für einige Leute, während andere vielleicht Better Auth oder EntraID bevorzugen. Recherchieren Sie selbst und finden Sie eine Lösung, die für Ihre Anwendung am besten geeignet ist.

‍

‍

Verwenden Sie eine kontradiktorische Denkweise

Überlegen Sie sich: Was würde ich tun, wenn ich ein Angreifer wäre, der versucht, etwas zu kaputtmachen oder auf unbefugte Daten zuzugreifen? Könnte ich einfach einen Parameter wie „userID=47“ auf „userID=48“ erhöhen und auf das Profil eines anderen Benutzers zugreifen? Was ist mit diesem API-Schlüssel, der fest in main.js codiert wurde? Könnte es auf unbeabsichtigte Weise genutzt werden? Hacker und Penetrationstester stellen sich ständig solche Fragen, da sie sehr wohl dazu führen können, dass einige Fehler in einer Anwendung aufgedeckt werden. Denken Sie kreativ und denken Sie bei der Entwicklung stets an den Gegner.

‍

‍

Danke für diese wertvollen Tipps!

‍

Die nächsten Schritte

Wenn Sie diese Änderungen noch nicht implementiert haben, ist jetzt die richtige Zeit! Die Ära, in der Cybersicherheit nur ein Bonus war, ist lange vorbei — heutzutage ist sie ein absolutes Muss!

Brauchen Sie Hilfe beim Erstellen einer sicheren Web-App und funktionell? Nehmen Sie Kontakt mit uns auf, wir helfen Ihnen herauszufinden, was Sinn macht und wo Sie anfangen sollen.

Interessiert an diesem Thema? Auschecken Vebjørns Profil auf LinkedIn oder lesen Sie, was der CEO von Rocksoft, Piotr, darüber erzählt 5 Dinge, die Sie beachten sollten, bevor Sie mit der Arbeit an einem Produkt beginnen.