This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/A6-Verlust der Vertraulichkeit sensibler Daten"

From OWASP
Jump to: navigation, search
(erläuternde Kommentare hinzugefügt)
m (Updated Link to DRAFT-ietf-tls-rfc4492bis to draft-ietf-tls-rfc4492bis-17)
 
(83 intermediate revisions by 5 users not shown)
Line 1: Line 1:
{{Top_10_2010_Developer_Edition_De:TopTemplate
+
{{Top_10_2013_DeveloperEdition:TopTemplate
     |useprev=PrevLink_Germany_Projekte
+
     |useprev=2013PrevLinkDeveloperEdition
     |usenext=NextLink_Germany_Projekte
+
     |usenext=2013NextLinkDeveloperEdition
     |prev=Top_10_fuer_Entwickler/A6_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
+
     |prev=A5-{{Top_10_2010:ByTheNumbers
 +
              |5
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A7-{{Top_10_2010:ByTheNumbers
 +
              |7
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
 +
 
 +
{{Top_10_2010:SubsectionColoredTemplate
 +
      |A6 {{Top_10_2010:ByTheNumbers
 
               |6
 
               |6
               |language=de
+
              |year=2013
              |year=2010}}
+
               |language=de}} <small>({{Top_10_2010:ByTheNumbers|7|year=2010|language=de}} / {{Top_10_2010:ByTheNumbers|9|year=2010|language=de}})</small>
    |next=Top_10_fuer_Entwickler/A8_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
+
      ||year=2013
              |8
 
              |language=de
 
              |year=2010}}
 
 
}}
 
}}
== Seite in Bearbeitung (BAUSTELLE!!) ==
 
 
== A7 Kryptografisch unsichere Speicherung ==
 
  
{{Top_10_2010_Developer_Edition_De:SummaryTableHeaderBeginTemplate|year=2010|language=de}}
+
{{Top_10_2010:SummaryTableHeaderBeginTemplate|type=images|year=2013|language=de}}
{{Top_10_2010:SummaryTableValue-3-Template|Ausnutzbarkeit|SCHWIERIG}}
+
  {{Top_10:SummaryTableTemplate|exploitability=3|prevalence=3|detectability=2|impact=1|language=de|year=2013}}
{{Top_10_2010:SummaryTableValue-3-Template|Verbreitung|SELTEN}}
+
{{Top_10_2010:SummaryTableHeaderEndTemplate|year=2013|language=de}}
{{Top_10_2010:SummaryTableValue-3-Template|Auffindbarkeit|SCHWIERIG}}
+
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder mit Zugriff auf Ihre vertraulichen Daten (Backups inkl.) ist zu betrachten. Das betrifft die Speicherung, die Übertragung und auch die Daten im Browser der Kunden. Externe und interne Bedrohungen sind relevant.</td>
{{Top_10_2010:SummaryTableValue-1-Template|Auswirkung|SCHWERWIEGEND}}
+
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>
{{Top_10_2010:SummaryTableHeaderEndTemplate}}
+
Angreifer brechen i.d.R. nicht die Verschlüsselung selbst. Stattdessen stehlen sie Schlüssel, führen Seiten- oder MITM-Angriffe aus oder stehlen Klartext vom Server, während der Übertragung oder aus dem Browser des Kunden heraus.</td>
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Jeder Benutzer des Systems ist zu betrachten.
+
     <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>
Haben diese ein Interesse, auf geschützte Daten unberechtigt zuzugreifen?
+
Fehlende Verschlüsselung vertraulicher Daten ist die häufigste Schwachstelle. Die Nutzung von Kryptographie erfolgt oft mit schwacher Schlüsselerzeugung und -verwaltung und der Nutzung schwacher Algorithmen, insbesondere für das Password Hashing. Browser Schwachstellen sind verbreitet und leicht zu finden, aber nur schwer auszunutzen. Ein eingeschränkter Zugriff lässt ext. Angreifer Probleme auf dem Server i.d.R. nur schwer finden und ausnutzen.</td>
Wie steht es um Administratoren?</td>
+
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Angreifer brechen üblicherweise nicht die eigentliche Kryptografie. Statt dessen finden Sie Schlüssel, Klartexte oder greifen über Kanäle mit automatischer Entschlüsselung auf Daten zu.</td>
+
Fehler kompromittieren regelmäßig vertrauliche Daten. Es handelt sich hierbei oft um sensitive Daten wie personenbezogene Daten, Benutzernamen und Passwörter oder Kreditkarteninformationen.</td>
     <td colspan=2  {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Fehlende Verschlüsselung vertraulicher Daten ist die häufigste Schwachstelle, gefolgt von unsicherer Schlüsselerzeugung, der Speicherung statischer Schlüssel und die Nutzung schwacher Algorithmen. Schwache Hashwerte ohne Salt kommen zum Passwortschutz oft vor. Ein eingeschränkter Zugriff lässt externe Angreifer solche Probleme i.d.R. nicht leicht entdecken. Den nötigen Zugriff müssen sie vorher auf andere Weise erlangen.</td>
+
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Fehler kompromittieren regelmäßig vertrauliche Daten. Es handelt sich hierbei oft um sensitive Daten wie personenbezogene Daten, Benutzernamen und Passwörter oder Kreditkarteninformationen.</td>
+
Betrachten Sie den Wert verlorener Daten und die Auswirkungen auf die Reputation des betroffenen Unternehmens. Hat es ggf. auch juristische Konsequenzen, wenn die Daten bekannt werden?</td>
     <td {{Template:Top 10 2010:SummaryTableRowStyleTemplate}}>Betrachten Sie den Wert verlorener Daten und die Auswirkungen auf die Reputation des betroffenen Unternehmens. Hat es ggf. auch juristische Konsequenzen, wenn die Daten bekannt werden?</td>
 
 
{{Top_10_2010:SummaryTableEndTemplate}}
 
{{Top_10_2010:SummaryTableEndTemplate}}
  
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=7|year=2010|language=de}}
+
{{Top_10:SubsectionTableBeginTemplate|type=main}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=example|position=firstLeft|risk=6|year=2013|language=de}}
'''<u>Szenario 1</u>''': Eine Anwendung speichert verschlüsselt Kreditkartendaten in einer Datenbank, um Sie vor Angreifern zu schützen. Die Datenbank ist so eingerichtet, dass die Daten beim Auslesen automatisch entschlüsselt werden. Durch SQL-Injection können in diesem Fall alle Kreditkartendaten im Klartext ausgelesen werden. Das System hätte so konfiguriert sein sollen, dass nur nachgelagerte Anwendungen und nicht die Webanwendung selbst entschlüsseln dürfen.<br/>  
+
'''Szenario 1''': Eine Anwendung verschlüsselt Kreditkartendaten automatisch bei der Speicherung in einer Datenbank. Das bedeutet aber auch durch SQL-Injection erlangte Kreditkartendaten in diesem Fall automatisch entschlüsselt werden. Die Anwendung hätte die Daten mit eine Public Key verschlüsseln sollen und nur nachgelagerte Anwendungen und nicht die Webanwendung selbst hätten die Daten mit dem Private Key entschlüsseln dürfen.<br/>
'''<u>Szenario 2</u>''': Ein Datensicherungsband speichert verschlüsselte Gesundheitsdaten, aber der Schlüssel ist ebenfalls dort gespeichert. Das Band geht auf dem Transportweg verloren.<br/>
+
'''Szenario 2''': Eine Webseite schützt die authentisierten Seiten nicht mit SSL. Der Angreifer stiehlt das Sitzungscookie des Nutzers durch einfaches Mitlesen der Kommunikation (z.B. in einem offenen WLAN). Durch Wiedereinspielen dieses Cookies übernimmt der Angreifer die Sitzung des Nutzers und erlangt Zugriff auf die privaten Daten des Nutzers.<br/>
'''<u>Szenario 3</u>''': Die Passwortdatenbank benutzt Hashwerte ohne Salt zur Speicherung der Passwörter. Eine Schwachstelle in der Downloadfunktion ermöglicht einem Angreifer den Zugriff auf die Datei. Zu allen Hashes kann in vier Wochen ein passender Klartext gefunden werden. Bei starken Hashwerten mit Salt hätte dieser Angriff über 3000 Jahre gedauert.
+
'''Szenario 3''': Die Passwortdatenbank benutzt Hashwerte ohne Salt zur Speicherung der Passwörter. Eine Schwachstelle in der Downloadfunktion erlaubt dem Angreifer den Zugriff auf die Datei. Zu allen Hashes kann über eine Rainbowtabelle mit vorausberechneten Hashes der Klartext gefunden werden.<br/>
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=7|year=2010|language=de}}  
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howPrevent|position=right|risk=6|year=2013|language=de}}
Eine Übersicht über alle Tücken unsicherer Kryptografie liegt weit außerhalb des Rahmens der Top 10. Für alle vertrau-lichen Daten sollten Sie zumindest:
+
Eine Übersicht über alle Tücken unsicherer Kryptografie, SSL-Verwendung und Datensicherheit liegt weit außerhalb der Top 10. Für alle vertraulichen Daten sollten Sie zumindest:
# Die Bedrohungen betrachten, vor denen Sie die Daten schützen wollen (z. B. Innen- und Außentäter) und sicherstellen, dass diese Daten angemessen durch Verschlüsselung geschützt werden.
+
# Klärung der Bedrohungen, vor denen die Daten zu schützen sind (z. B. Innen- und Außentäter) und sicherstellen, dass vertrauliche Daten bei der Übertragung/Speicherung geeignet durch Verschlüsselung geschützt werden.
# Sicherstellen, dass ausgelagerte Datensicherungen verschlüsselt sind und die Schlüssel getrennt verwaltet und gesichert werden.
+
# Kein unnötiges Speichern vertraulicher Daten. Löschung nicht mehr benötigter Daten. Daten, die es nicht gibt, können auch nicht gestohlen werden.
# Sicherstellen, dass angemessene, starke Algorithmen und Schlüssel verwendet und verwaltet werden.
+
# Sicherstellen, dass starke Algorithmen und Schlüssel (z.B. gemäß FIPS-140, [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.pdf BSI TR-02102-2)] verwendet werden.
# Sicherstellen, dass Passwörter mit einem starken Algorithmus und einem angemessenen Salt gehasht werden.
+
# Sicherstellen, dass Passwörter mit einem speziell für Passwortschutz entwickelten Algorithmus gespeichert werden ([http://en.wikipedia.org/wiki/Bcrypt bcrypt], [http://en.wikipedia.org/wiki/PBKDF2  PBKDF2] oder [http://en.wikipedia.org/wiki/Scrypt scrypt]).
# Sicherstellen, dass alle Schlüssel und Passwörter vor unberechtigtem Zugriff geschützt sind.
+
# Deaktivieren der Autovervollständigung und des Cachings in Formularen mit vertraulichen Informationen.
 
{{Top_10:SubsectionTableEndTemplate}}
 
{{Top_10:SubsectionTableEndTemplate}}
  
= '''JAVA''' =
+
= '''JAVA''' =  
<!-- z.Z ohne Template --->
+
==== JAVA-Teil 1: Kryptografisch unsichere Speicherung ====
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=7|year=2010|language=de}}
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=6|year=2013|language=de}}
Beispiel für das sichere Hashen von Passwörtern. Um die Sicherheit zu erhöhen sollte jedes Passwort mit einem Zufallswert (Salt) berechnet und möglichst viele Iterationen beim Hashing genutzt werden.
+
Ein einfaches Beispiel für die Veschlüsselung von Texten, hier mit dem AES-128 Algorithmus. Die Auswahl an Verschlüsselungsparametern wie beispielsweise Algorithmus, Ciphermodus oder Schlüssellänge ist groß und kommt immer auf die jeweiligen Daten und die Anwendung an.
<span style="color: red;">'''Geheime Schlüssel sollten natürlich nicht wie im Beispiel im Quellcode stehen.'''</span>
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
  <nowiki>
+
String plainText = "HelloWorld";<br/>
String password = "Password";
+
<br/>
 +
// password setzen <br/>
 +
String password = "my128bitPassword";<br/>
 +
<br/>
 +
// CBC Cipher immer mit einem zufällig erzeugten <br/>
 +
// Initialization Vector (IV) initialisieren (Länge 16 Byte)<br/>
 +
byte[] ivBytes = new byte[16];<br/>
 +
(new SecureRandom()).nextBytes(ivBytes);<br/>
 +
<br/>
 +
// den Schlüssel erzeugen<br/>
 +
SecretKeySpec key = new SecretKeySpec(password.getBytes(), "AES");<br/>
 +
<br/>
 +
// Container für die Verschlüsselungs Parameter<br/>
 +
IvParameterSpec paramSpec = new IvParameterSpec(ivBytes); <br/>
 +
<br/>
 +
// Chiffrierer erzeugen und initialisieren<br/>
 +
// Algorithmus: AES<br/>
 +
// Modus: CBC<br/>
 +
// Padding: PKCS5Padding<br/>
 +
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");<br/>
 +
cipher.init(Cipher.ENCRYPT_MODE, key, paramSpec); <br/>
 +
<br/>
 +
// Verschlüsselung durchführen<br/>
 +
byte[] encrypted = cipher.doFinal(plainText.getBytes());
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
<br/>
 +
Die Benutzung der ESAPI erleichtert die Handhabung, da neben einer großen Bandbreite an Verschlüsselungs-, Hash-, und Signaturalgorithmen auch Methoden für die Schlüsselerzeugung und -verwaltung unterstüzt werden. Nach Initialisierung der Parameter in der Konfigurationsdatei ESAPI.properties, reduziert sich die eigentliche Verschlüsselung eines Textes beispielsweise zu:
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
CipherText ciphertext =
 +
::  ESAPI.encryptor().encrypt( new PlainText(myplaintext) );
 +
{{Top_10_2010:ExampleEndTemplate}}
  
// salt anlegen und mit zufälligen Bytes befüllen
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=6|year=2013|language=de}}
byte[] salt = new byte[8];
+
Beispiele für das Hashen von Passwörtern. Um die Sicherheit zu erhöhen sollte jedes Passwort mit einem Zufallswert (Salt) berechnet und gespeichert werden sowie möglichst viele Iterationen beim Hashing genutzt werden.
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
String password = "mypassword";
 +
<br/>
 +
// salt anlegen und mit zufälligen Bytes befüllen<br/>
 +
byte[] salt = new byte[8];<br/>
 
(new SecureRandom()).nextBytes(salt);
 
(new SecureRandom()).nextBytes(salt);
 
+
<br/>
// Hash-Generator anlegen (verwendeter Algorithmus ist SHA-256)
+
// Hash-Generator anlegen (verwendeter Algorithmus ist SHA-256)<br/>
// und mit salt initialisieren (=> höhere Sicherheit gegen Angriffe)
+
// und mit salt initialisieren (=> höhere Sicherheit gegen Angriffe)<br/>
MessageDigest digest = MessageDigest.getInstance("SHA-256");
+
MessageDigest digest = MessageDigest.getInstance("SHA-256");<br/>
digest.reset();
+
digest.reset();<br/>
 
digest.update(salt);
 
digest.update(salt);
 
+
<br/>
byte[] input = digest.digest(password.getBytes("UTF-8"));
+
byte[] input = digest.digest(password.getBytes("UTF-8"));<br/>
 
+
<br/>
// Hash in mehreren Iterationen (n = 100.000) berechnen
+
// Hash in mehreren Iterationen (n = 100.000) berechnen<br/>
// mehr Iterationen verlangsamen Angriffe (signifikant?)
+
// mehr Iterationen verlangsamen Angriffe (signifikant?)<br/>
 
for (int i = 0; i < 100000; i++) {
 
for (int i = 0; i < 100000; i++) {
  digest.reset();
+
digest.reset();
  input = digest.digest(input);
+
input = digest.digest(input);
 +
}<br/>
 +
// am Ende der Iterationen enthält input den berechneten Hash
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
<br/>
 +
;PBKDF2
 +
Sicherer ist allerdings die Nutzung einer PBKDF2 (Password-Based Key Derivation Function 2) wie im folgenden Beispiel:
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
public byte[] generatePBKDF2Hash(String password)
 +
:  throws NoSuchAlgorithmException, InvalidKeySpecException {  <br/>
 +
:: byte[] salt = new byte[20];
 +
:: // salt mit zufälligen Bytes befüllen
 +
:: (new SecureRandom()).nextBytes(salt);
 +
::<br/>
 +
:: int iterations = 10000;
 +
:: int keyLength  = 160;
 +
:: // neuen Schlüssel erzeugen
 +
:: SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
 +
:: PBEKeySpec pbeKeySpec = new PBEKeySpec(password, salt, iterations, keyLength);
 +
::      SecretKey mySecretKey = factory.generateSecret(pbeKeySpec);
 
}
 
}
// am Ende der Iterationen enthält input den berechneten Hash
+
<br/>
</nowiki>
+
byte[] hash = generatePBKDF2Hash(password).getEncoded();<br/>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
<br/>
 +
;bcrypt
 +
Eine weiterer empfohlener Algorithmus ist bcrypt, hier bespielsweise unter Verwendung der jBCrypt-Bibliothek (siehe Referenzen).
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
String hashed = BCrypt.hashpw(password, BCrypt.gensalt(12));
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
Zu bcrypt gibt es mittlerweile eine noch sicherere Variante scrypt, der Link zu einer Beispielimplementierung findet sich bei den Referenzen.
  
Und dies ist ein einfaches Beispiel für die Veschlüsselung von Texten, hier mit dem AES-128 Algorithmus. Die Auswahl an Verschlüsselungsparameter wie beispielsweise Algorithmus, Ciphermodus oder Schlüssellänge ist groß. Bei der Wahl der Parameter kommt es dabei immer auf die jeweiligen Daten und die Anwendung an.  
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=6|year=2013|language=de}}
 +
Um geheime Schlüssel sicher, aber auch gleichzeitig einfach zugänglich und austauschbar aufzubewahren empfiehlt sich eine spezielle Schlüsseldatei, wie beispielweise der Java KeyStore. In dieser Datei werden die Schlüssel mit einem Master-Password gesichert, die Datei selbst sollte getrennt von den verschlüsselten Daten abgelegt werden:
 +
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
// Erzeugung eines symmetrischen Schlüssels mittels der vorher beschriebenen PBKDF2<br/>
 +
String password = "mypassword";<br/>
 +
byte[] mySecretKey = generatePBKDF2Hash(password);<br/>
 +
<br/>
 +
// neuen KeyStore für symmetrische Schlüssel erzeugen <br/>
 +
KeyStore ks = KeyStore.getInstance("JCEKS");<br/>
 +
ks.load(null, null);<br/>
 +
<br/>
 +
// Schlüssel speichern<br/>
 +
KeyStore.ProtectionParameter passwordProtection =<br/>
 +
:  new KeyStore.PasswordProtection(password);
 +
KeyStore.SecretKeyEntry entry = new KeyStore.SecretKeyEntry(mySecretKey);<br/>
 +
ks.setEntry("beispielkey", entry, passwordProtection);<br/>
 +
<br/>
 +
// KeyStore in Datei speichern <br/>
 +
FileOutputStream fos = new FileOutputStream("SecretKeyStoreDatei");<br/>
 +
ks.store(fos,password);<br/>
 +
fos.close();
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=6|year=2013|language=de}}
 +
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 +
* Einen umfangreicheren Überblick über die Anforderungen, gibt es unter [[ASVS|ASVS requirements on Cryptography (V7), Data Protection (V9) und Communications Security (V10)]].
 +
* [[Cryptographic_Storage_Cheat_Sheet|OWASP Cryptographic Storage Cheat Sheet]]
 +
* [[Password_Storage_Cheat_Sheet|OWASP Password Storage Cheat Sheet]]
 +
* [[Transport_Layer_Protection_Cheat_Sheet|OWASP Transport Layer Protection Cheat Sheet]]
 +
* [[Testing_for_SSL-TLS|OWASP Testing Guide: Chapter on SSL/TLS Testing]]
 +
* [[O-Saft|OWASP SSL Advanced Forensic Tool (O-SAFT)]]
 +
* [[OWASP_Proactive_Controls | OWASP Proactive Controls:]] [[OWASP_Proactive_Controls#7:_Protect_Data|Kapitel über 'Protect Data']]
 +
: Älter:
 +
* [[Top_10_2007-Insecure_Cryptographic_Storage | OWASP Top 10-2007 on Insecure Cryptographic Storage]]
 +
* [[Guide_to_Cryptography#Insecure_transmission_of_secrets|OWASP Development Guide: Chapter on Cryptography]]
 +
* [[Codereview-Cryptography | OWASP Code Review Guide: Chapter on Cryptography]]
 +
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}}
 +
* [http://cwe.mitre.org/data/definitions/310.html CWE Entry 310 on Cryptographic Issues]
 +
* [http://cwe.mitre.org/data/definitions/312.html CWE Entry 312 on Cleartext Storage of Sensitive Information]
 +
* [http://cwe.mitre.org/data/definitions/319.html CWE Entry 319 on Cleartext Transmission of Sensitive Information]
 +
* [http://cwe.mitre.org/data/definitions/326.html CWE Entry 326 on Weak Encryption]
 +
* [http://www.mindrot.org/projects/jBCrypt Reine Java Implementierung von BCrypt]
 +
* [https://github.com/wg/scrypt Beispielimplementierung von SCrypt]
 +
* [https://www.ssllabs.com/projects/best-practices/index.html SSL LABS: 'SSL/TLS Deployment Best Practices']
 +
* [https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html BSI: 'TR-02102-2 Teil 2']
 +
* [https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/study-on-cryptographic-protocols ENISA: 'Study on cryptographic protocols']
 +
* [https://bettercrypto.org bettercrypto.org:] [https://bettercrypto.org/static/applied-crypto-hardening.pdf 'Applied Crypto Hardening (DRAFT)']
 +
* [https://wiki.mozilla.org/Security/Server_Side_TLS MozillaWiki: Security/Server Side TLS]
 +
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=JAVA
 +
    |headertabRight=JAVA2
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=Nothing <!--- 2013NextHeaderTabDeveloperEdition --->
 +
    |prev=A5-{{Top_10_2010:ByTheNumbers
 +
              |5
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A6-{{Top_10_2010:ByTheNumbers
 +
              |6
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
 +
= '''JAVA2''' =
 +
==== JAVA-Teil 2: Unzureichende Absicherung der Transportschicht ====
 +
{{Top_10:SubsectionTableBeginTemplate|type=headertab}}{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=6|year=2013|language=de}}
 +
;Absicherung der Transportschicht (beim Deployment)
  
  <nowiki>
+
Um die Verschlüsselung auf der Transportebene sollte sich der Entwickler nie selbst kümmern, sondern dies immer dem Webserver überlassen.
// Salt mit zufälligen Werten erzeugen (Länge 16 Byte)
+
Im J2EE-Deployment-Descriptor der Anwendung (= web.xml) ist die folgende Konfiguration vorzunehmen, um sicherzustellen, dass nur ausschließlich über https kommuniziert wird:
byte[] ivBytes = new byte[16];
 
(new SecureRandom()).nextBytes(ivBytes);
 
  
// den Schlüssel erzeugen
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
SecretKeySpec key = new SecretKeySpec("My128bitMastrKey".getBytes(), "AES");
+
<security-constraint>
 +
:  <web-resource-collection>
 +
::    <web-resource-name>Protected Context</web-resource-name>
 +
::    <url-pattern>/*</url-pattern>
 +
:  </web-resource-collection>
 +
:  <!-- auth-constraint an dieser Stelle für Authentisierung  -->
 +
:  <user-data-constraint>
 +
::      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
 +
:  </user-data-constraint>
 +
</security-constraint>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
<br/>
 +
Für Session-Cookies ist immer das Attribute SECURE zu setzen:
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
<session-config>
 +
:  <cookie-config>
 +
::      <secure>
 +
:::        true
 +
::      </secure>
 +
:  </cookie-config>
 +
</session-config>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
<br/>
 +
In der Server-Configuration ist sicherzustellen, dass nur TLS und SSL3 unterstützt werden.
 +
Das Speichern von vertraulichen Inhalten am Client oder auf einem Proxy kann über den Header Cache-Control verhindert werden:
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
Header set Cache-Control "no-cache, no store, must-revalidate"
 +
{{Top_10_2010:ExampleEndTemplate}}
  
// Container für die Verschlüsselungs Parameter
+
Weitere Hinweise im [https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet Transport Layer Protection Cheat Sheet]
IvParameterSpec paramSpec = new IvParameterSpec(ivBytes);  
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2a|risk=6|year=2013|language=de}}
 +
;Absicherung der Transportschicht (auf dem Webserver - Teil 1)
 +
<b>Sichere Verschlüsselung</b>
 +
* Nutzen Sie aktuelle Empfehlungen zur SSL/TLS-Sicherheit, das Thema ist derzeit sehr(!) dynamisch. Z.B.:
 +
:* [https://www.ssllabs.com/projects/best-practices/index.html SSL LABS: 'SSL/TLS Deployment Best Practices']
 +
:* [https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html BSI TR-02102 Teil 2]
 +
* aktuelle Verschlüsselungsbibliotheken einsetzen, die aktuelle Protokolle und Verfahren unterstützen
 +
* Nur sichere Verschlüsselungsprotokolle unterstützen (TLS1.2, TLS1.1, ggf auch TLS1.0)
 +
* Die Verschlüsselungsverfahren auf dem Server priorisieren
 +
* sichere, ephemerale Verschlüsselungsverfahren (Cipher-Suites), die 'Forward Secrecy' unterstützen (z.B. DHE_RSA, ECDHE_RSA) mit hoher Prio versehen. Derzeit sollte dabei DHE bevorzugt werden (bei ausreichender CPU), da es an vertrauenswürdigen Kurven für ECDHE mangelt, vgl [http://safecurves.cr.yp.to http://safecurves.cr.yp.to], [https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html#c1675929]; Teilweise sind bereits [http://www.researchgate.net/profile/Johannes_Merkle/publication/260050106_Standardisierung_der_Brainpool-Kurven_fr_TLS_und_IPSec/file/60b7d52f36a0cc2fdd.pdf Brainpool Curves] für TLS implementiert [https://tools.ietf.org/html/rfc7027 (RFC 7027)]. Aussichtsreiche, neue Kurven sind [https://tools.ietf.org/html/draft-josefsson-tls-curve25519-06 'Curve25519'] und [http://sourceforge.net/p/ed448goldilocks/wiki/Home/ 'Ed448-Goldilocks'], die gerade für TLS definiert werden (vgl  [https://tools.ietf.org/html/rfc7748 RFC 7748 - Elliptic Curves for Security]), [http://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml#tls-parameters-8 IANA] und [https://tools.ietf.org/html/draft-ietf-tls-rfc4492bis-17 DRAFT-ietf-tls-rfc4492bis] <!--- Stand: September 2017 --->
 +
* sichere Schlüssellängen für assymetrische und symmetrische Verfahren (gem. BSI TR-02102 Teil 2):
 +
:* Schlüsseleinigung und Authentisierung: DHE(-Parameter), RSA, DSS: 3000 bits für RSA; ECDHE: 256 bits
 +
:* (symmetrische) Verschlüsselung: AES: 128 bits
 +
* RC4 und andere schwache oder exotische Cipher <u>abschalten</u> (vgl (see [https://tools.ietf.org/html/rfc7465], [http://tools.ietf.org/html/rfc5469]), <u>ohne</u> den Zugriff von (noch) unterstützten Browsern, oder Suchmaschinen-Bots (Webcrawlern) zu verlieren.
 +
* Richtlinie erstellen, welche Browser und Betriebssysteme, unterstützt werden sollen, sowie welche Protokolle und welche Cipher für die verschlüsselte Verbindung jeweils ausgewählt werden sollen (z.B. vorübergehend noch TLSv1, TLS_RSA_WITH_AES_128_CBC_SHA).
 +
* Empfehlungen für den 'Cipher-String' auf Grundlage der oben genannten Anforderungen (inkl. Priorität) anhand folgender Szenarien:
 +
:* <b>Cipher-String 'A+'</b> (Advanced+, eingeschränkte Kompatibilität, z.B. auf die neueren Browser-Versionen)
 +
::* Empfohlen, wenn Sie die benutzten Server und Clients steuern (z.B. freigeben) und die Kompatibilität vorab prüfen können; Nutzt nur die stärksten Perfect-Forward-Secrecy-Cipher (PFS-Cipher)
 +
::* Protokoll: TLSv1.2 (und neuer)
 +
:* <b>Cipher-String 'A'</b> (Advanced, bessere Kompatibilität, z.B. die meisten neueren Browser-Versionen)
 +
::* Empfohlen, wenn Sie die benutzten Server und Clients steuern (z.B. freigeben) und die Kompatibilität vorab prüfen können, wenn 'A+' zu sehr einschränkt; Nutzt die stärkeren PFS-Cipher
 +
::* Protokoll: TLSv1.2 (und neuer)
 +
:* <b>Cipher-String 'B'</b> (Broad Compatibility, weitgehende Kompatibilität)
 +
::* Empfohlen, wenn Sie nur die benutzten Server steuern; Nutzt nur PFS-Cipher; Streben Sie mittelfristig 'A' für https an
 +
::* Protokoll: TLSv1.0, besser: TLSv1.1 (und neuer)
 +
:* <b>Cipher-String 'C'</b> (Widest Compatibility, weitgehende Kompatibilität, auch zu Alt-Browsern und älteren, noch gepatchten Bibliotheken sowie anderen Anwendungs-Protokollen, wie z.B. IMAPS)
 +
::* Noch nutzbar, wenn Sie nur die benutzten Server steuern und Alt-Client-Systeme noch unterstützen; PFS-Cipher werden bis auf DHE mit SHA-1 bevorzugt (um potentielle Inkompatibilitäten zu vermeiden); Bestehende Risiken der zusätzlichen Verfahren (z.B. auch ohne PFS) sollten bewusst eingegangen werden; Streben Sie mittelfristig 'A' für https an, sonst mind. 'B'
 +
::* Protokoll: TLSv1.0 (und neuer)
 +
:* <b>Cipher-String 'C-'</b> (Legacy, weitgehende Kompatibilität zu uralten Browsern und alten, noch gepatchten Bibliotheken, Laufzeitumgebungen sowie anderen Anwendungs-Protokollen, z.B. SMTP)
 +
::* Nutzen Sie diese Cipher-Zusammenstellung nur, wenn Sie 3DES (=TLS_RSA_WITH_3DES_EDE_CBC_SHA, =DES-CBC3-SHA) für richtig alte Systeme anbieten <u>müssen</u>; PFS-Cipher werden bis auf DHE mit SHA-1 bevorzugt (um potentielle Inkompatibilitäten zu vermeiden); Bestehende Risiken der zusätzlichen Verfahren (z.B. auch ohne PFS, 3DES) sollten bewusst eingegangen werden; Streben Sie kurzfristig 'C' an
 +
::* Protokoll: TLSv1.0 (und neuer)
 +
:* Tabelle der Cipher:
 +
::{| border="1" cellspacing="1" cellpadding="1" style="border-collapse:collapse; text-align: center; font-size:84%;"
 +
|- style="font-size: 119%; background-color:#DCDCDC;"
 +
! style="text-align:left;" |Cipher-Name: <br> IANA, [openssl]
 +
! style="width: 8%;" | Cipher-Hex-Wert
 +
! style="width:11%;" | Advanced+ (A+)
 +
! style="width:11%;" | Advanced (A)
 +
! style="width:11%;" | Broad <br> Compatibility (B)
 +
! style="width:11%;" | Widest <br> Compatibility (C)
 +
! style="width:11%;" | Legacy (C-)
 +
|- style="background-color:#B9FFC5;"
 +
<!---                    | IANA,                                  <br> [openssl]                    || Hex      || A+ ||  A ||  B ||  C ||  C- ---->
 +
| style="text-align:left" | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,  <br> [DHE-RSA-AES256-GCM-SHA384]  || 0x009f  ||  1 ||  1 ||  1 ||  1 ||  1
 +
|- style="background-color:#B9FFC5;"
 +
| style="text-align:left" | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,  <br> [DHE-RSA-AES128-GCM-SHA256]  || 0x009e  ||  2 ||  2 ||  2 ||  2 ||  2
 +
|- style="background-color:#B9FFC5;"
 +
| style="text-align:left" | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, <br> [ECDHE-RSA-AES256-GCM-SHA384] || 0xc030  ||  3 ||  3 ||  3 ||  3 ||  3
 +
|- style="background-color:#B9FFC5;"
 +
| style="text-align:left" | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, <br> [ECDHE-RSA-AES128-GCM-SHA256] || 0xc02f  ||  4 ||  4 ||  4 ||  4 ||  4
 +
|- style="background-color:#E3FFE3;"
 +
| style="text-align:left" | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,  <br> [DHE-RSA-AES256-SHA256]      || 0x006b  ||    ||  5 ||  5 ||  5 ||  5
 +
|- style="background-color:#E3FFE3;"
 +
| style="text-align:left" | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,  <br> [DHE-RSA-AES128-SHA256]      || 0x0067  ||    ||  6 ||  6 ||  6 ||  6
 +
|- style="background-color:#E3FFE3;"
 +
| style="text-align:left" | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, <br> [ECDHE-RSA-AES256-SHA384]    || 0xc028  ||    ||  7 ||  7 ||  7 ||  7
 +
|- style="background-color:#E3FFE3;"
 +
| style="text-align:left" | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, <br> [ECDHE-RSA-AES128-SHA256]    || 0xc027  ||    ||  8 ||  8 ||  8 ||  8
 +
|-
 +
| style="text-align:left" | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,    <br> [ECDHE-RSA-AES256-SHA]        || 0xc014  ||    ||    ||  9 ||  9 ||  9
 +
|-
 +
| style="text-align:left" | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,    <br> [ECDHE-RSA-AES128-SHA]        || 0xc013  ||    ||    || 10 || 10 || 10
 +
|- style="background-color:#F4F6F8;"
 +
| style="text-align:left" | TLS_RSA_WITH_AES_256_GCM_SHA384,      <br> [AES256-GCM-SHA384]          || 0x009d  ||    ||    ||    || 11 || 11
 +
|- style="background-color:#F4F6F8;"
 +
| style="text-align:left" | TLS_RSA_WITH_AES_128_GCM_SHA256,      <br> [AES128-GCM-SHA256]          || 0x009c  ||    ||    ||    || 12 || 12
 +
|- style="background-color:#F4F6F8;"
 +
| style="text-align:left" | TLS_RSA_WITH_AES_256_CBC_SHA256,      <br> [AES256-SHA256]              || 0x003d  ||    ||    ||    || 13 || 13
 +
|-  style="background-color:#F4F6F8;"
 +
| style="text-align:left" | TLS_RSA_WITH_AES_128_CBC_SHA256,      <br> [AES128-SHA256]              || 0x003c  ||    ||    ||    || 14 || 14
 +
|- style="background-color:#F4F6F8;"
 +
| style="text-align:left" | TLS_RSA_WITH_AES_256_CBC_SHA,          <br> [AES256-SHA]                  || 0x0035  ||    ||    ||    || 15 || 15
 +
|- style="background-color:#F4F6F8;"
 +
| style="text-align:left" | TLS_RSA_WITH_AES_128_CBC_SHA,          <br> [AES128-SHA]                  || 0x002f  ||    ||    ||    || 16 || 16
 +
|- style="background-color:#FFFF88;"
 +
| style="text-align:left" | TLS_RSA_WITH_3DES_EDE_CBC_SHA,        <br> [DES-CBC3-SHA]                || 0x000a  ||    ||    ||    ||    || 17
 +
|-
 +
| style="text-align:left" | TLS_DHE_RSA_WITH_AES_256_CBC_SHA,      <br> [DHE-RSA-AES256-SHA]          || 0x0039  ||    ||    || 11 || 17 || 18
 +
|-
 +
| style="text-align:left" | TLS_DHE_RSA_WITH_AES_128_CBC_SHA,      <br> [DHE-RSA-AES128-SHA]          || 0x0033  ||    ||    || 12 || 18 || 19
 +
|}
 +
::<b>Anmerkungen:</b><br>- Die Nummer gibt die Position der jeweiligen Priorisierung an<br>- Da ältere Internet-Explorer- und Java-Versionen <u>keine</u> Diffie-Hellman-Parameter >1024 bit unterstützen wurden die Verfahren 'TLS_DHE_RSA_WITH_AES_256_CBC_SHA' und 'TLS_DHE_RSA_WITH_AES_128_CBC_SHA' am Ende angeordnet, um Inkompatibilitäten mit Altversionen zu vermeiden; Alternative: Diese Verfahren ganz weglassen.<br/>
 +
:* Beispiel-Cipher-Strings für OpenSSL:
 +
::{| border="1" cellspacing="1" cellpadding="1" style="border-collapse:collapse; text-align: left; font-size:84%;"
 +
|- style="font-size: 119%; background-color:#EAECF0;"
 +
!Cipher-String            || OpennSSL-Syntax
 +
|- style="background-color:#B9FFC5;"
 +
| style="font-size: 119%;"| <b>Advanced+ (A+)</b>          || DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
 +
|- style="background-color:#E3FFE3;"
 +
| style="font-size: 119%;"| <b>Advanced (A)</b>            || DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256
 +
|-
 +
| style="font-size: 119%;"| <b>Broad Compatibility (B)</b>  || DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA
 +
|- style="background-color:#F4F6F8;"
 +
| style="font-size: 119%;"| <b>Widest Compatibility (C)</b> || DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA
 +
|- style="background-color:#FFFF88;"
 +
| style="font-size: 119%;"| <b>Legacy (C-)</b>              || DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA
 +
|}
 +
* TLS/SSL-Konfiguration des Webservers härten:
 +
:* nur sichere Server-initiierte Renegotiation
 +
:* <u>keine</u> Komprimierung
 +
:* Einstellungen aller virtuellen Server (virtualHosts) prüfen
 +
:* Bei Einsatz von Server Name Indication (SNI), prüfen, welcher Server der Default-Server ist. Alte Browser bzw. Betriebssysteme, ohne SNI-Unterstützung erreichen nur diesen!
 +
:* Prüfen der, von der installierten OpenSSL-Version unterstützten Cipher
 +
:* Reduktion der SSL-Extensions auf das notwendige Maß, z.B. Deaktivieren von Heart-Beat (vgl [http://heartbleed.com Heartbleed]), kein Aktivieren von unsicheren Extension-DRAFTS wie z.B. Additional random, Opaque PRF Input (vgl. [http://dualec.org/DualECTLS.pdf DualECTLS])
 +
* Konfigurations-Beispiel für Apache inkl. Cipher String 'A':
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
SSLProtocol +TLSv1.2 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;# for Cipher-String 'A+', 'A'<br>
 +
<nowiki>#</nowiki>SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1 # for Cipher-String 'B', 'C', 'C-'<br>
 +
SSLCompression off <br>
 +
SSLHonorCipherOrder on <br>
 +
SSLCipherSuite 'DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256'<br>
 +
<nowiki>#</nowiki>optional kann ':!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:!ADH:!IDEA' ergänzt werden.
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
<b>Anmerkungen:</b> - Der Cipher-String mit den SSL-Cipher-Suites wurde als Whitelist formuliert, um die serverseitige Kompatibilität mit alten Versionen von OpenSSL zu erhöhen.<br/>
 +
- Überwachen Sie die Performance Ihres Servers, der Verbindungsaufbau mit DHE ist ca. 2,4 Mal CPU-intensiver als mit ECDHE (vgl [http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html#some-benchmarks <nowiki>[Vincent Bernat, 2011]</nowiki>], [http://nmav.gnutls.org/2011/12/price-to-pay-for-perfect-forward.html <nowiki>[nmav's Blog, 2011]</nowiki>])<br/>
  
// Chiffrierer erzeugen und initialisieren
+
* Prüfen der Cipher-Einstellungen mittels openssl, z.B. Cipher-String 'A':
// Algorithmus: AES
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
// Modus: CBC
+
openssl ciphers -V "DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256"<br>
// Padding: PKCS5Padding
+
<nowiki>#</nowiki>add optionally ':!aNULL:!eNULL:!LOW:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:!ADH:!IDEA' to protect older Versions of OpenSSL<br>
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
+
<nowiki>#</nowiki>use openssl ciphers -v "..." for openssl < 1.0.1:
cipher.init(Cipher.ENCRYPT_MODE, key, paramSpec);
+
<small>
 +
0x00,0x9F - DHE-RSA-AES256-GCM-SHA384  TLSv1.2 Kx=DH    Au=RSA  Enc=AESGCM(256) Mac=AEAD
 +
0x00,0x9E - DHE-RSA-AES128-GCM-SHA256  TLSv1.2 Kx=DH    Au=RSA  Enc=AESGCM(128) Mac=AEAD
 +
0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH  Au=RSA  Enc=AESGCM(256) Mac=AEAD
 +
0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH  Au=RSA  Enc=AESGCM(128) Mac=AEAD
 +
0x00,0x6B - DHE-RSA-AES256-SHA256      TLSv1.2 Kx=DH    Au=RSA  Enc=AES(256)    Mac=SHA256
 +
0x00,0x67 - DHE-RSA-AES128-SHA256      TLSv1.2 Kx=DH    Au=RSA  Enc=AES(128)    Mac=SHA256
 +
0xC0,0x28 - ECDHE-RSA-AES256-SHA384    TLSv1.2 Kx=ECDH  Au=RSA  Enc=AES(256)   Mac=SHA384
 +
0xC0,0x27 - ECDHE-RSA-AES128-SHA256    TLSv1.2 Kx=ECDH  Au=RSA  Enc=AES(128)    Mac=SHA256
 +
</small>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
<b>Achtung/CAUTION</b>: Der Cipher-String wurde nur mit einzelnen, älteren OpenSSL-Versionen getestet, es können ungewollt weitere Cipher-Suiten dadurch benutzt werden. (ONLY tested with some elder Versions of OpenSSL!)
  
// Verschlüsselung durchführen
+
<br/>
byte[] encrypted = cipher.doFinal(plainText.getBytes());
+
<b>sichere Zertifikate</b><br/>
  </nowiki>
+
* Nutzen Sie eine vertrauenswürdige Zertifizierungsstelle (CA) für öffentlich erreichbare, verschlüsselte Webserver; Prüfen Sie die Vergabe-Politik der CA.
 +
* zeitgemäße, starke Verfahren mit sicheren Schlüssellängen (vgl. [https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html BSI TR-02102-2 Teil 2]: 2000 bits bzw. (nach 2015:) 3000 bits für RSA), auch für alle Zwischenzertifikate und das Root-Zertifikat der CA.
 +
* Angabe der 'Fully Qualified Names' und bei 'www' auch des Domänennamens im Zertifikat, damit ein Redirekt möglich ist (<nowiki>z.B. von 'https://example.com' zu 'https://www.example.com'</nowiki>).
 +
* Dedizierte Zuertifikate, je Server; <u>keine</u> 'Sammelzertifikate' (Wildcard-Zertifikate, z.B. <span style="color:red;">*.example.com</span>)
 +
* Überwachung der Gültigkeit der Zertifikate
 +
* IP-Adressen in Zertifikaten <u>vermeiden</u>, <u>keine</u> [https://tools.ietf.org/html/rfc1918 RFC 1918]-Adressen (z.B. <span style="color:red;">192.168.1.1</span>)<br/>
 +
* stellen Sie die, zum Verifizieren benötigte Zertifikats-Kette auf dem Webserver zur Verfügung (auch die Zwischenzertifikate)
 +
* Nutzen Sie Ihre Zeritifikate nur für Dienste mit einem vergleichbaren Sicherheitsniveau (vermeiden Sie z.B. das Zertifikat eines Webservers auch für Email-Dienste zu nutzen)
 +
<br/>
 +
<b>Testen der Einstellungen und des Zertifikats:</b>
 +
* [[Testing_for_SSL-TLS_%28OWASP-CM-001%29 | OWASP Testing Guide: Chapter on SSL/TLS Testing]]
 +
* [[O-Saft|OWASP 'O-Saft' (OWASP SSL audit for testers / OWASP SSL advanced forensic tool)]]
 +
* [https://www.ssllabs.com/ssltest SSL LABS Server Test]
 +
* weitere Tools: [[Testing_for_Weak_SSL/TLS_Ciphers,_Insufficient_Transport_Layer_Protection_(OTG-CRYPST-001)#Tools| Testing for Weak SSL/TLS Ciphers, Insufficient Transport Layer Protection (OTG-CRYPST-001)-Tools]]
 +
<br/>
 +
Weitere Details im [[Transport_Layer_Protection_Cheat_Sheet|Transport Layer Protection Cheat Sheet]] und
 +
[[Testing_for_SSL-TLS|OWASP Testing Guide: Chapter on SSL/TLS Testing]].<br/>
 +
Links mit Beispielen für viele Plattformen:
 +
* [https://bettercrypto.org bettercrypto.org:] [https://bettercrypto.org/static/applied-crypto-hardening.pdf 'Applied Crypto Hardening (DRAFT)']
 +
* [https://wiki.mozilla.org/Security/Server_Side_TLS MozillaWiki: Security/Server Side TLS]
 +
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=2b|risk=6|year=2013|language=de}}
 +
;Absicherung der Transportschicht (auf dem Webserver - Teil 2)
 +
<b>Wirksamer Schutz gegen Man In The Middle-Angriffe</b><br/>
 +
Die Sicherheitskonfiguration unter Option 2a hat noch eine Schwachstelle, so das MITM (Man In The Middle attack) nicht zuverlässig verhindert wird. MITM erzeugt einen Zertifikatsfehler am Client, der üblicherweise aber (durch den Anwender) ignoriert wird. Deshalb wurde der HTTP-Header "HTTP Strict Transport Security (HSTS)" eingeführt. Damit werden kompatible Browser (Firefox, Chrome, Opera aber bisher NICHT IE) angewiesen, dass
 +
* der Browser den http-Request ausschließlich über https verschickt (auch falls die Seite mit http aufgerufen wird).
 +
* der Anwender Zertifikatsfehler im Browser nicht mehr ignorieren kann.
 +
<br/>
 +
Konfiguration im Apache:
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
Header set Strict-Transport-Security
 +
: "max-age=16070400; includeSubDomains"
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
<br/>
 +
Da der HSTS-Header nur über https übermittelt wird ist zusätzlich ein Redirect nötig:
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
:  <VirtualHost *:80>
 +
::      ServerAlias *
 +
::      RewriteEngine On
 +
::      <nowiki>RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [redirect=301]</nowiki>
 +
:  </VirtualHost>
 +
{{Top_10_2010:ExampleEndTemplate}}
 +
<br/>
 +
;Quellen:
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=7|year=2010|language=de}}
+
[[HTTP_Strict_Transport_Security|HTTP Strict Transport Security]]<br>
Geheime Schlüssel sollten natürlich nicht wie im nebenstehenden Beispiel im Quellcode stehen. Um Schlüssel sicher, aber auch gleichzeitig einfach zugänglich und austauschbar aufzubewahren empfiehlt sich eine spezielle Schlüsseldatei, wie beispielweise der Java KeyStore. In dieser Datei werden die Schlüssel mit einem MasterKey gesichert, die Datei selbst sollte getrennt von den verschlüsselten Daten abgelegt werden:
+
[http://www.youtube.com/watch?v=zEV3HOuM_Vw&feature=youtube_gdata AppSecTutorial Series - Episode 4]
 
  <nowiki>
 
char[] password = getMasterKey();
 
byte[] salt = new byte[20];
 
// salt mit zufälligen Bytes befüllen
 
(new SecureRandom()).nextBytes(salt);
 
  
// neuen Schlüssel erzeugen
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=6|year=2013|language=de}}
SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
+
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
PBEKeySpec pbeKeySpec = new PBEKeySpec(password, salt, 1000, 128);
+
* Einen umfangreicheren Überblick über die Anforderungen, gibt es unter [[ASVS|ASVS requirements on Cryptography (V7), Data Protection (V9) und Communications Security (V10)]].
SecretKey mySecretKey = factory.generateSecret(pbeKeySpec);
+
* [[Cryptographic_Storage_Cheat_Sheet|OWASP Cryptographic Storage Cheat Sheet]]
 +
* [[Password_Storage_Cheat_Sheet|OWASP Password Storage Cheat Sheet]]
 +
* [[Transport_Layer_Protection_Cheat_Sheet|OWASP Transport Layer Protection Cheat Sheet]]
 +
* [[Testing_for_SSL-TLS|OWASP Testing Guide: Chapter on SSL/TLS Testing]]
 +
* [[O-Saft|OWASP SSL Advanced Forensic Tool (O-SAFT)]]
 +
: Älter:
 +
* [[Top_10_2007-Insecure_Cryptographic_Storage | OWASP Top 10-2007 on Insecure Cryptographic Storage]]
 +
* [[Guide_to_Cryptography#Insecure_transmission_of_secrets|OWASP Development Guide: Chapter on Cryptography]]
 +
* [[Codereview-Cryptography | OWASP Code Review Guide: Chapter on Cryptography]]
 +
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}}
 +
* [http://cwe.mitre.org/data/definitions/310.html CWE Entry 310 on Cryptographic Issues]
 +
* [http://cwe.mitre.org/data/definitions/312.html CWE Entry 312 on Cleartext Storage of Sensitive Information]
 +
* [http://cwe.mitre.org/data/definitions/319.html CWE Entry 319 on Cleartext Transmission of Sensitive Information]
 +
* [http://cwe.mitre.org/data/definitions/326.html CWE Entry 326 on Weak Encryption]
 +
* [http://www.mindrot.org/projects/jBCrypt Reine Java Implementierung von BCrypt]
 +
* [https://github.com/wg/scrypt Beispielimplementierung von SCrypt]
 +
* [https://www.ssllabs.com/projects/best-practices/index.html SSL LABS: 'SSL/TLS Deployment Best Practices']
 +
* [https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html BSI: 'TR-02102-2 Teil 2']
 +
* [https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/study-on-cryptographic-protocols ENISA: 'Study on cryptographic protocols']
 +
* [https://bettercrypto.org bettercrypto.org:] [https://bettercrypto.org/static/applied-crypto-hardening.pdf 'Applied Crypto Hardening (DRAFT)']
 +
* [https://wiki.mozilla.org/Security/Server_Side_TLS MozillaWiki: Security/Server Side TLS]
  
// neuen KeyStore für symmetrische Schlüssel erzeugen
+
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
KeyStore ks = KeyStore.getInstance("JCEKS");
+
    |headertab=JAVA
ks.load(null, null);
+
    |useprev=Nothing <!---- 2013PrevHeaderTabDeveloperEdition --->
 
+
    |usenext=2013NextHeaderTabDeveloperEdition
// Schlüssel speichern
+
    |prev=A6-{{Top_10_2010:ByTheNumbers
KeyStore.ProtectionParameter passwordProtection =  
+
              |6
    new KeyStore.PasswordProtection(password);
+
              |year=2013
KeyStore.SecretKeyEntry entry = new KeyStore.SecretKeyEntry(mySecretKey);
+
              |language=de}}
ks.setEntry("beispielkey", entry, passwordProtection);
+
    |next=A7-{{Top_10_2010:ByTheNumbers
 
+
              |7
// KeyStore in Datei speichern
+
              |year=2013
FileOutputStream fos = new FileOutputStream("SecretKeyStoreDatei");
+
              |language=de}}
ks.store(fos,password);
+
    |year=2013
fos.close();
+
    |language=de
  </nowiki>
+
}}
 
+
= '''PHP''' =
 
+
{{taggedSection
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=left|title=3|risk=7|year=2010|language=de}}
+
    | type=tbd
Grundsätzlich gibt es bei der Verschlüsselung immer viele Wahlmöglichkeiten. Die Benutzung der ESAPI erleichtert die Handhabung ungemein, da neben einer großen Bandbreite an Verschlüsselungs-, Hash-, und Signaturalgorithmen auch Methoden für die Schlüsselerzeugung- und verwaltung unterstüzt werden. Die Verschlüsselung eines Textes beispielsweise reduziert sich dann zu:
+
    | comment=Bitte senden Sie uns weitere gute Beispiele mit PHP für diesen Abschnitt.
  <nowiki>
+
}}
CipherText ciphertext = ESAPI.encryptor().encrypt( new PlainText(myplaintext) );
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=2|risk=6|year=2013|language=de}}
  </nowiki>
+
Um vorerstellte Hash-Tabellen zu verhindern, kann jedem Datensatz eine zufällige Zeichenfolge hinzugefügt werden, welche als Salt (Deutsch: Salz) bezeichnet wird. Ein Beispiel für die sichere Erstellung eines Hashwerts ist im Folgendemn gegeben. Dafür muss das GIT-Projekt [https://github.com/ircmaxell/password_compat] eingebunden werden, ab PHP-Version 5.5 ist dies im Kern enthalten.
 +
Das Salt wird bspw. bei einem Linuxsystem in der Funktion password_hash() durch Zugriff auf /dev/urandom erstellt. Der Rückgabewert der Funktion ist eine Zeichenkette und beinhaltet u.a. den Hashwert, das Salt und den genutzten Algorithmus.
 +
Die Kosten, welche die Anzahl der Hash-Iterationen angeben, können über den dritten Parameter festgelegt werden.
 +
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
 +
$options = [
 +
:   'cost' => 12,
 +
];<br/>
 +
$inputHash = password_hash($_GET['password'], CRYPT_SHA256, $options);<br/>
 +
storeHash($user, $inputHash); // Speichere Hash<br/>
 +
$hash = getHash($user); // Hole Hash aus der Datenbank<br/>
 +
// Prüfe eingegebenes Passwort gegen gespeichertes Passwort:<br/>
 +
$isPasswordVerified = password_verify($_GET['password'], $hash);<br/>  
 +
if($isPasswordVerified) {
 +
: // Password korrekt
 +
} else {
 +
: throw new PasswordVerificationException("");
 +
}
 +
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=7|year=2010|language=de}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=6|year=2013|language=de}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate}}
 
+
* Einen umfangreicheren Überblick über die Anforderungen, gibt es unter [[ASVS|ASVS requirements on Cryptography (V7), Data Protection (V9) und Communications Security (V10)]].
Einen umfangreicheren Überblick über die Anforderungen und die hierbei zu vermeidenden Probleme gibt es unter [http://www.owasp.org/index.php/ASVS#tab=ASVS ASVS requirements on Cryptography (V7)]. Des Weiteren:
+
* [[Cryptographic_Storage_Cheat_Sheet|OWASP Cryptographic Storage Cheat Sheet]]
 +
* [[Password_Storage_Cheat_Sheet|OWASP Password Storage Cheat Sheet]]
 +
* [[Transport_Layer_Protection_Cheat_Sheet|OWASP Transport Layer Protection Cheat Sheet]]
 +
* [[Testing_for_SSL-TLS|OWASP Testing Guide: Chapter on SSL/TLS Testing]]
 +
* [[O-Saft|OWASP SSL Advanced Forensic Tool (O-SAFT)]]
 +
: Älter:
 
* [[Top_10_2007-Insecure_Cryptographic_Storage | OWASP Top 10-2007 on Insecure Cryptographic Storage]]
 
* [[Top_10_2007-Insecure_Cryptographic_Storage | OWASP Top 10-2007 on Insecure Cryptographic Storage]]
* [http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encryptor.html ESAPI Encryptor API]
+
* [[Guide_to_Cryptography#Insecure_transmission_of_secrets|OWASP Development Guide: Chapter on Cryptography]]
* [http://www.owasp.org/index.php/Guide_to_Cryptography#Insecure_transmission_of_secrets OWASP Development Guide: Chapter on Cryptography]
 
 
* [[Codereview-Cryptography | OWASP Code Review Guide: Chapter on Cryptography]]
 
* [[Codereview-Cryptography | OWASP Code Review Guide: Chapter on Cryptography]]
{{Top_10_2010_Developer_Edition_De:SubSubsectionExternalReferencesTemplate|language=de}}
+
{{Top_10_2010:SubSubsectionExternalReferencesTemplate|language=de}}
 
* [http://cwe.mitre.org/data/definitions/310.html CWE Entry 310 on Cryptographic Issues]
 
* [http://cwe.mitre.org/data/definitions/310.html CWE Entry 310 on Cryptographic Issues]
 
* [http://cwe.mitre.org/data/definitions/312.html CWE Entry 312 on Cleartext Storage of Sensitive Information]
 
* [http://cwe.mitre.org/data/definitions/312.html CWE Entry 312 on Cleartext Storage of Sensitive Information]
 +
* [http://cwe.mitre.org/data/definitions/319.html CWE Entry 319 on Cleartext Transmission of Sensitive Information]
 
* [http://cwe.mitre.org/data/definitions/326.html CWE Entry 326 on Weak Encryption]
 
* [http://cwe.mitre.org/data/definitions/326.html CWE Entry 326 on Weak Encryption]
{{Top_10:SubsectionTableEndTemplate}}
+
* [http://www.php.net/manual/en/function.password-hash.php Funktionsweise der Funktion password_hash]
 +
* [https://www.ssllabs.com/projects/best-practices/index.html SSL LABS: 'SSL/TLS Deployment Best Practices']
 +
* [https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html BSI: 'TR-02102-2 Teil 2']
 +
* [https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/study-on-cryptographic-protocols ENISA: 'Study on cryptographic protocols']
 +
* [https://bettercrypto.org bettercrypto.org:] [https://bettercrypto.org/static/applied-crypto-hardening.pdf 'Applied Crypto Hardening (DRAFT)']
 +
* [https://wiki.mozilla.org/Security/Server_Side_TLS MozillaWiki: Security/Server Side TLS]
 +
 
 +
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=PHP
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=A5-{{Top_10_2010:ByTheNumbers
 +
              |5
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A7-{{Top_10_2010:ByTheNumbers
 +
              |7
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
  
 +
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --- >
 
= '''Test''' =
 
= '''Test''' =
<!-- weitere Programmiersprachen oder evtl Anti-Beispiele --->
+
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=6|year=2013|language=de}}
{{Top_10:SubsectionTableBeginTemplate|type=headertab}} {{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=firstLeft|title=1|risk=7|year=2010|language=de}}
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
{{Top_10_2010:ExampleBeginTemplate}}
+
tbd<br/>
tbd
 
 
Text
 
Text
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=7|year=2010|language=de}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=right|title=2|risk=6|year=2013|language=de}}
{{Top_10_2010:ExampleBeginTemplate}}
+
{{Top_10_2010:ExampleBeginTemplate|year=2013}}
tbd
+
tbd<br/>
 
Text
 
Text
 
{{Top_10_2010:ExampleEndTemplate}}
 
{{Top_10_2010:ExampleEndTemplate}}
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=|risk=7|year=2010|language=de}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=defOp|position=whole|title=|risk=6|year=2013|language=de}}
tbd
+
tbd<br/>
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=7|year=2010|language=de}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=userImpact|position=left|risk=6|year=2013|language=de}}
(ganze Breite)
+
(ganze Breite)<br/>
 
Text
 
Text
  
{{Top_10_2010_Developer_Edition_De:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=7|year=2010|language=de}}
+
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|risk=6|year=2013|language=de}}
{{Top_10:SubsectionTableEndTemplate}}
+
{{Top_10:SubsectionTableEndTemplate}}{{Top 10 DeveloperEdition:NavigationByHeadertab
 +
    |headertab=Test
 +
    |useprev=2013PrevHeaderTabDeveloperEdition
 +
    |usenext=2013NextHeaderTabDeveloperEdition
 +
    |prev=A5-{{Top_10_2010:ByTheNumbers
 +
              |5
 +
              |year=2013
 +
              |language=de}}
 +
    |next=A7-{{Top_10_2010:ByTheNumbers
 +
              |7
 +
              |year=2013
 +
              |language=de}}
 +
    |year=2013
 +
    |language=de
 +
}}
 +
------------------------------------------------>
 
<headertabs />
 
<headertabs />
 
+
{{Top_10_2013_DeveloperEdition:BottomAdvancedTemplate
{{Top_10_2010_Developer_Edition_De:BottomAdvancedTemplate
 
 
     |type=0
 
     |type=0
     |useprev=PrevLink_Germany_Projekte
+
     |useprev=2013PrevLinkDeveloperEdition
     |usenext=NextLink_Germany_Projekte
+
     |usenext=2013NextLinkDeveloperEdition
     |prev=Top_10_fuer_Entwickler/A6_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
+
     |prev=A5-{{Top_10_2010:ByTheNumbers
               |6
+
               |5
               |language=de
+
               |year=2013
               |year=2010}}
+
               |language=de}}
     |next=Top_10_fuer_Entwickler/A8_{{Top_10_2010_Developer_Edition_De:ByTheNumbers
+
     |next=A7-{{Top_10_2010:ByTheNumbers
               |8
+
               |7
               |language=de
+
              |year=2013
              |year=2010}}
+
               |language=de}}
 +
    |year=2013
 +
    |language=de
 
}}
 
}}
 
 
[[Category:OWASP Top 10 fuer Entwickler]]
 

Latest revision as of 12:55, 15 September 2017

← A5-Sicherheitsrelevante Fehlkonfiguration
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

A7-Fehlerhafte Autorisierung auf Anwendungsebene →
A6 Verlust der Vertraulichkeit sensibler Daten (Kryptografisch unsichere Speicherung / Unzureichende Absicherung der Transportschicht)


Bedrohungsquellen
Angriffsvektoren
Schwachstellen
Technische Auswirkung
Auswirkung auf das Unternehmen
Anwendungs-
spezifisch
Ausnutzbarkeit
SCHWIERIG
Verbreitung
SELTEN
Auffindbarkeit
DURCHSCHNITTLICH
Auswirkung
SCHWERWIEGEND
Anwendungs-/
Geschäftsspezifisch
Jeder mit Zugriff auf Ihre vertraulichen Daten (Backups inkl.) ist zu betrachten. Das betrifft die Speicherung, die Übertragung und auch die Daten im Browser der Kunden. Externe und interne Bedrohungen sind relevant. Angreifer brechen i.d.R. nicht die Verschlüsselung selbst. Stattdessen stehlen sie Schlüssel, führen Seiten- oder MITM-Angriffe aus oder stehlen Klartext vom Server, während der Übertragung oder aus dem Browser des Kunden heraus. Fehlende Verschlüsselung vertraulicher Daten ist die häufigste Schwachstelle. Die Nutzung von Kryptographie erfolgt oft mit schwacher Schlüsselerzeugung und -verwaltung und der Nutzung schwacher Algorithmen, insbesondere für das Password Hashing. Browser Schwachstellen sind verbreitet und leicht zu finden, aber nur schwer auszunutzen. Ein eingeschränkter Zugriff lässt ext. Angreifer Probleme auf dem Server i.d.R. nur schwer finden und ausnutzen. Fehler kompromittieren regelmäßig vertrauliche Daten. Es handelt sich hierbei oft um sensitive Daten wie personenbezogene Daten, Benutzernamen und Passwörter oder Kreditkarteninformationen. Betrachten Sie den Wert verlorener Daten und die Auswirkungen auf die Reputation des betroffenen Unternehmens. Hat es ggf. auch juristische Konsequenzen, wenn die Daten bekannt werden?
Mögliche Angriffsszenarien

Szenario 1: Eine Anwendung verschlüsselt Kreditkartendaten automatisch bei der Speicherung in einer Datenbank. Das bedeutet aber auch durch SQL-Injection erlangte Kreditkartendaten in diesem Fall automatisch entschlüsselt werden. Die Anwendung hätte die Daten mit eine Public Key verschlüsseln sollen und nur nachgelagerte Anwendungen und nicht die Webanwendung selbst hätten die Daten mit dem Private Key entschlüsseln dürfen.
Szenario 2: Eine Webseite schützt die authentisierten Seiten nicht mit SSL. Der Angreifer stiehlt das Sitzungscookie des Nutzers durch einfaches Mitlesen der Kommunikation (z.B. in einem offenen WLAN). Durch Wiedereinspielen dieses Cookies übernimmt der Angreifer die Sitzung des Nutzers und erlangt Zugriff auf die privaten Daten des Nutzers.
Szenario 3: Die Passwortdatenbank benutzt Hashwerte ohne Salt zur Speicherung der Passwörter. Eine Schwachstelle in der Downloadfunktion erlaubt dem Angreifer den Zugriff auf die Datei. Zu allen Hashes kann über eine Rainbowtabelle mit vorausberechneten Hashes der Klartext gefunden werden.

Wie kann ich 'Verlust der Vertraulichkeit sensibler Daten' verhindern?

Eine Übersicht über alle Tücken unsicherer Kryptografie, SSL-Verwendung und Datensicherheit liegt weit außerhalb der Top 10. Für alle vertraulichen Daten sollten Sie zumindest:

  1. Klärung der Bedrohungen, vor denen die Daten zu schützen sind (z. B. Innen- und Außentäter) und sicherstellen, dass vertrauliche Daten bei der Übertragung/Speicherung geeignet durch Verschlüsselung geschützt werden.
  2. Kein unnötiges Speichern vertraulicher Daten. Löschung nicht mehr benötigter Daten. Daten, die es nicht gibt, können auch nicht gestohlen werden.
  3. Sicherstellen, dass starke Algorithmen und Schlüssel (z.B. gemäß FIPS-140, BSI TR-02102-2) verwendet werden.
  4. Sicherstellen, dass Passwörter mit einem speziell für Passwortschutz entwickelten Algorithmus gespeichert werden (bcrypt, PBKDF2 oder scrypt).
  5. Deaktivieren der Autovervollständigung und des Cachings in Formularen mit vertraulichen Informationen.

JAVA-Teil 1: Kryptografisch unsichere Speicherung

Verteidigungs-Option 1 gegen 'Verlust der Vertraulichkeit sensibler Daten':

Ein einfaches Beispiel für die Veschlüsselung von Texten, hier mit dem AES-128 Algorithmus. Die Auswahl an Verschlüsselungsparametern wie beispielsweise Algorithmus, Ciphermodus oder Schlüssellänge ist groß und kommt immer auf die jeweiligen Daten und die Anwendung an.

String plainText = "HelloWorld";

// password setzen
String password = "my128bitPassword";

// CBC Cipher immer mit einem zufällig erzeugten
// Initialization Vector (IV) initialisieren (Länge 16 Byte)
byte[] ivBytes = new byte[16];
(new SecureRandom()).nextBytes(ivBytes);

// den Schlüssel erzeugen
SecretKeySpec key = new SecretKeySpec(password.getBytes(), "AES");

// Container für die Verschlüsselungs Parameter
IvParameterSpec paramSpec = new IvParameterSpec(ivBytes);

// Chiffrierer erzeugen und initialisieren
// Algorithmus: AES
// Modus: CBC
// Padding: PKCS5Padding
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
cipher.init(Cipher.ENCRYPT_MODE, key, paramSpec);

// Verschlüsselung durchführen
byte[] encrypted = cipher.doFinal(plainText.getBytes());


Die Benutzung der ESAPI erleichtert die Handhabung, da neben einer großen Bandbreite an Verschlüsselungs-, Hash-, und Signaturalgorithmen auch Methoden für die Schlüsselerzeugung und -verwaltung unterstüzt werden. Nach Initialisierung der Parameter in der Konfigurationsdatei ESAPI.properties, reduziert sich die eigentliche Verschlüsselung eines Textes beispielsweise zu:

CipherText ciphertext =

ESAPI.encryptor().encrypt( new PlainText(myplaintext) );
Verteidigungs-Option 2 gegen 'Verlust der Vertraulichkeit sensibler Daten':

Beispiele für das Hashen von Passwörtern. Um die Sicherheit zu erhöhen sollte jedes Passwort mit einem Zufallswert (Salt) berechnet und gespeichert werden sowie möglichst viele Iterationen beim Hashing genutzt werden.

String password = "mypassword";
// salt anlegen und mit zufälligen Bytes befüllen
byte[] salt = new byte[8];
(new SecureRandom()).nextBytes(salt);
// Hash-Generator anlegen (verwendeter Algorithmus ist SHA-256)
// und mit salt initialisieren (=> höhere Sicherheit gegen Angriffe)
MessageDigest digest = MessageDigest.getInstance("SHA-256");
digest.reset();
digest.update(salt);
byte[] input = digest.digest(password.getBytes("UTF-8"));

// Hash in mehreren Iterationen (n = 100.000) berechnen
// mehr Iterationen verlangsamen Angriffe (signifikant?)
for (int i = 0; i < 100000; i++) {

digest.reset();
input = digest.digest(input);

}
// am Ende der Iterationen enthält input den berechneten Hash


PBKDF2

Sicherer ist allerdings die Nutzung einer PBKDF2 (Password-Based Key Derivation Function 2) wie im folgenden Beispiel:

public byte[] generatePBKDF2Hash(String password)

throws NoSuchAlgorithmException, InvalidKeySpecException {
byte[] salt = new byte[20];
// salt mit zufälligen Bytes befüllen
(new SecureRandom()).nextBytes(salt);

int iterations = 10000;
int keyLength = 160;
// neuen Schlüssel erzeugen
SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
PBEKeySpec pbeKeySpec = new PBEKeySpec(password, salt, iterations, keyLength);
SecretKey mySecretKey = factory.generateSecret(pbeKeySpec);

}
byte[] hash = generatePBKDF2Hash(password).getEncoded();


bcrypt

Eine weiterer empfohlener Algorithmus ist bcrypt, hier bespielsweise unter Verwendung der jBCrypt-Bibliothek (siehe Referenzen).

String hashed = BCrypt.hashpw(password, BCrypt.gensalt(12));

Zu bcrypt gibt es mittlerweile eine noch sicherere Variante scrypt, der Link zu einer Beispielimplementierung findet sich bei den Referenzen.

Verteidigungs-Option 3 gegen 'Verlust der Vertraulichkeit sensibler Daten':

Um geheime Schlüssel sicher, aber auch gleichzeitig einfach zugänglich und austauschbar aufzubewahren empfiehlt sich eine spezielle Schlüsseldatei, wie beispielweise der Java KeyStore. In dieser Datei werden die Schlüssel mit einem Master-Password gesichert, die Datei selbst sollte getrennt von den verschlüsselten Daten abgelegt werden:

// Erzeugung eines symmetrischen Schlüssels mittels der vorher beschriebenen PBKDF2
String password = "mypassword";
byte[] mySecretKey = generatePBKDF2Hash(password);

// neuen KeyStore für symmetrische Schlüssel erzeugen
KeyStore ks = KeyStore.getInstance("JCEKS");
ks.load(null, null);

// Schlüssel speichern
KeyStore.ProtectionParameter passwordProtection =

new KeyStore.PasswordProtection(password);

KeyStore.SecretKeyEntry entry = new KeyStore.SecretKeyEntry(mySecretKey);
ks.setEntry("beispielkey", entry, passwordProtection);

// KeyStore in Datei speichern
FileOutputStream fos = new FileOutputStream("SecretKeyStoreDatei");
ks.store(fos,password);
fos.close();

Referenzen

OWASP

Älter:

Andere

« JAVA    

JAVA-Teil 2: Unzureichende Absicherung der Transportschicht

Verteidigungs-Option 1 gegen 'Verlust der Vertraulichkeit sensibler Daten':
Absicherung der Transportschicht (beim Deployment)

Um die Verschlüsselung auf der Transportebene sollte sich der Entwickler nie selbst kümmern, sondern dies immer dem Webserver überlassen. Im J2EE-Deployment-Descriptor der Anwendung (= web.xml) ist die folgende Konfiguration vorzunehmen, um sicherzustellen, dass nur ausschließlich über https kommuniziert wird:

<security-constraint>

<web-resource-collection>
<web-resource-name>Protected Context</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>

</security-constraint>


Für Session-Cookies ist immer das Attribute SECURE zu setzen:

<session-config>

<cookie-config>
<secure>
true
</secure>
</cookie-config>

</session-config>


In der Server-Configuration ist sicherzustellen, dass nur TLS und SSL3 unterstützt werden. Das Speichern von vertraulichen Inhalten am Client oder auf einem Proxy kann über den Header Cache-Control verhindert werden:

Header set Cache-Control "no-cache, no store, must-revalidate"

Weitere Hinweise im Transport Layer Protection Cheat Sheet

Verteidigungs-Option 2a gegen 'Verlust der Vertraulichkeit sensibler Daten':
Absicherung der Transportschicht (auf dem Webserver - Teil 1)

Sichere Verschlüsselung

  • Nutzen Sie aktuelle Empfehlungen zur SSL/TLS-Sicherheit, das Thema ist derzeit sehr(!) dynamisch. Z.B.:
  • aktuelle Verschlüsselungsbibliotheken einsetzen, die aktuelle Protokolle und Verfahren unterstützen
  • Nur sichere Verschlüsselungsprotokolle unterstützen (TLS1.2, TLS1.1, ggf auch TLS1.0)
  • Die Verschlüsselungsverfahren auf dem Server priorisieren
  • sichere, ephemerale Verschlüsselungsverfahren (Cipher-Suites), die 'Forward Secrecy' unterstützen (z.B. DHE_RSA, ECDHE_RSA) mit hoher Prio versehen. Derzeit sollte dabei DHE bevorzugt werden (bei ausreichender CPU), da es an vertrauenswürdigen Kurven für ECDHE mangelt, vgl http://safecurves.cr.yp.to, [1]; Teilweise sind bereits Brainpool Curves für TLS implementiert (RFC 7027). Aussichtsreiche, neue Kurven sind 'Curve25519' und 'Ed448-Goldilocks', die gerade für TLS definiert werden (vgl RFC 7748 - Elliptic Curves for Security), IANA und DRAFT-ietf-tls-rfc4492bis
  • sichere Schlüssellängen für assymetrische und symmetrische Verfahren (gem. BSI TR-02102 Teil 2):
  • Schlüsseleinigung und Authentisierung: DHE(-Parameter), RSA, DSS: 3000 bits für RSA; ECDHE: 256 bits
  • (symmetrische) Verschlüsselung: AES: 128 bits
  • RC4 und andere schwache oder exotische Cipher abschalten (vgl (see [2], [3]), ohne den Zugriff von (noch) unterstützten Browsern, oder Suchmaschinen-Bots (Webcrawlern) zu verlieren.
  • Richtlinie erstellen, welche Browser und Betriebssysteme, unterstützt werden sollen, sowie welche Protokolle und welche Cipher für die verschlüsselte Verbindung jeweils ausgewählt werden sollen (z.B. vorübergehend noch TLSv1, TLS_RSA_WITH_AES_128_CBC_SHA).
  • Empfehlungen für den 'Cipher-String' auf Grundlage der oben genannten Anforderungen (inkl. Priorität) anhand folgender Szenarien:
  • Cipher-String 'A+' (Advanced+, eingeschränkte Kompatibilität, z.B. auf die neueren Browser-Versionen)
  • Empfohlen, wenn Sie die benutzten Server und Clients steuern (z.B. freigeben) und die Kompatibilität vorab prüfen können; Nutzt nur die stärksten Perfect-Forward-Secrecy-Cipher (PFS-Cipher)
  • Protokoll: TLSv1.2 (und neuer)
  • Cipher-String 'A' (Advanced, bessere Kompatibilität, z.B. die meisten neueren Browser-Versionen)
  • Empfohlen, wenn Sie die benutzten Server und Clients steuern (z.B. freigeben) und die Kompatibilität vorab prüfen können, wenn 'A+' zu sehr einschränkt; Nutzt die stärkeren PFS-Cipher
  • Protokoll: TLSv1.2 (und neuer)
  • Cipher-String 'B' (Broad Compatibility, weitgehende Kompatibilität)
  • Empfohlen, wenn Sie nur die benutzten Server steuern; Nutzt nur PFS-Cipher; Streben Sie mittelfristig 'A' für https an
  • Protokoll: TLSv1.0, besser: TLSv1.1 (und neuer)
  • Cipher-String 'C' (Widest Compatibility, weitgehende Kompatibilität, auch zu Alt-Browsern und älteren, noch gepatchten Bibliotheken sowie anderen Anwendungs-Protokollen, wie z.B. IMAPS)
  • Noch nutzbar, wenn Sie nur die benutzten Server steuern und Alt-Client-Systeme noch unterstützen; PFS-Cipher werden bis auf DHE mit SHA-1 bevorzugt (um potentielle Inkompatibilitäten zu vermeiden); Bestehende Risiken der zusätzlichen Verfahren (z.B. auch ohne PFS) sollten bewusst eingegangen werden; Streben Sie mittelfristig 'A' für https an, sonst mind. 'B'
  • Protokoll: TLSv1.0 (und neuer)
  • Cipher-String 'C-' (Legacy, weitgehende Kompatibilität zu uralten Browsern und alten, noch gepatchten Bibliotheken, Laufzeitumgebungen sowie anderen Anwendungs-Protokollen, z.B. SMTP)
  • Nutzen Sie diese Cipher-Zusammenstellung nur, wenn Sie 3DES (=TLS_RSA_WITH_3DES_EDE_CBC_SHA, =DES-CBC3-SHA) für richtig alte Systeme anbieten müssen; PFS-Cipher werden bis auf DHE mit SHA-1 bevorzugt (um potentielle Inkompatibilitäten zu vermeiden); Bestehende Risiken der zusätzlichen Verfahren (z.B. auch ohne PFS, 3DES) sollten bewusst eingegangen werden; Streben Sie kurzfristig 'C' an
  • Protokoll: TLSv1.0 (und neuer)
  • Tabelle der Cipher:
Cipher-Name:
IANA, [openssl]
Cipher-Hex-Wert Advanced+ (A+) Advanced (A) Broad
Compatibility (B)
Widest
Compatibility (C)
Legacy (C-)
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
[DHE-RSA-AES256-GCM-SHA384]
0x009f 1 1 1 1 1
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
[DHE-RSA-AES128-GCM-SHA256]
0x009e 2 2 2 2 2
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
[ECDHE-RSA-AES256-GCM-SHA384]
0xc030 3 3 3 3 3
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
[ECDHE-RSA-AES128-GCM-SHA256]
0xc02f 4 4 4 4 4
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,
[DHE-RSA-AES256-SHA256]
0x006b 5 5 5 5
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
[DHE-RSA-AES128-SHA256]
0x0067 6 6 6 6
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
[ECDHE-RSA-AES256-SHA384]
0xc028 7 7 7 7
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
[ECDHE-RSA-AES128-SHA256]
0xc027 8 8 8 8
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
[ECDHE-RSA-AES256-SHA]
0xc014 9 9 9
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
[ECDHE-RSA-AES128-SHA]
0xc013 10 10 10
TLS_RSA_WITH_AES_256_GCM_SHA384,
[AES256-GCM-SHA384]
0x009d 11 11
TLS_RSA_WITH_AES_128_GCM_SHA256,
[AES128-GCM-SHA256]
0x009c 12 12
TLS_RSA_WITH_AES_256_CBC_SHA256,
[AES256-SHA256]
0x003d 13 13
TLS_RSA_WITH_AES_128_CBC_SHA256,
[AES128-SHA256]
0x003c 14 14
TLS_RSA_WITH_AES_256_CBC_SHA,
[AES256-SHA]
0x0035 15 15
TLS_RSA_WITH_AES_128_CBC_SHA,
[AES128-SHA]
0x002f 16 16
TLS_RSA_WITH_3DES_EDE_CBC_SHA,
[DES-CBC3-SHA]
0x000a 17
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
[DHE-RSA-AES256-SHA]
0x0039 11 17 18
TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
[DHE-RSA-AES128-SHA]
0x0033 12 18 19
Anmerkungen:
- Die Nummer gibt die Position der jeweiligen Priorisierung an
- Da ältere Internet-Explorer- und Java-Versionen keine Diffie-Hellman-Parameter >1024 bit unterstützen wurden die Verfahren 'TLS_DHE_RSA_WITH_AES_256_CBC_SHA' und 'TLS_DHE_RSA_WITH_AES_128_CBC_SHA' am Ende angeordnet, um Inkompatibilitäten mit Altversionen zu vermeiden; Alternative: Diese Verfahren ganz weglassen.
  • Beispiel-Cipher-Strings für OpenSSL:
Cipher-String OpennSSL-Syntax
Advanced+ (A+) DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
Advanced (A) DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256
Broad Compatibility (B) DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA
Widest Compatibility (C) DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA
Legacy (C-) DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA
  • TLS/SSL-Konfiguration des Webservers härten:
  • nur sichere Server-initiierte Renegotiation
  • keine Komprimierung
  • Einstellungen aller virtuellen Server (virtualHosts) prüfen
  • Bei Einsatz von Server Name Indication (SNI), prüfen, welcher Server der Default-Server ist. Alte Browser bzw. Betriebssysteme, ohne SNI-Unterstützung erreichen nur diesen!
  • Prüfen der, von der installierten OpenSSL-Version unterstützten Cipher
  • Reduktion der SSL-Extensions auf das notwendige Maß, z.B. Deaktivieren von Heart-Beat (vgl Heartbleed), kein Aktivieren von unsicheren Extension-DRAFTS wie z.B. Additional random, Opaque PRF Input (vgl. DualECTLS)
  • Konfigurations-Beispiel für Apache inkl. Cipher String 'A':

SSLProtocol +TLSv1.2                  # for Cipher-String 'A+', 'A'
#SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1 # for Cipher-String 'B', 'C', 'C-'
SSLCompression off
SSLHonorCipherOrder on
SSLCipherSuite 'DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256'
#optional kann ':!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:!ADH:!IDEA' ergänzt werden.

Anmerkungen: - Der Cipher-String mit den SSL-Cipher-Suites wurde als Whitelist formuliert, um die serverseitige Kompatibilität mit alten Versionen von OpenSSL zu erhöhen.
- Überwachen Sie die Performance Ihres Servers, der Verbindungsaufbau mit DHE ist ca. 2,4 Mal CPU-intensiver als mit ECDHE (vgl [Vincent Bernat, 2011], [nmav's Blog, 2011])

  • Prüfen der Cipher-Einstellungen mittels openssl, z.B. Cipher-String 'A':

openssl ciphers -V "DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256"
#add optionally ':!aNULL:!eNULL:!LOW:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:!ADH:!IDEA' to protect older Versions of OpenSSL
#use openssl ciphers -v "..." for openssl < 1.0.1:

0x00,0x9F - DHE-RSA-AES256-GCM-SHA384   TLSv1.2 Kx=DH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
0x00,0x9E - DHE-RSA-AES128-GCM-SHA256   TLSv1.2 Kx=DH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH   Au=RSA  Enc=AESGCM(256) Mac=AEAD
0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH   Au=RSA  Enc=AESGCM(128) Mac=AEAD
0x00,0x6B - DHE-RSA-AES256-SHA256       TLSv1.2 Kx=DH     Au=RSA  Enc=AES(256)    Mac=SHA256
0x00,0x67 - DHE-RSA-AES128-SHA256       TLSv1.2 Kx=DH     Au=RSA  Enc=AES(128)    Mac=SHA256
0xC0,0x28 - ECDHE-RSA-AES256-SHA384     TLSv1.2 Kx=ECDH   Au=RSA  Enc=AES(256)    Mac=SHA384
0xC0,0x27 - ECDHE-RSA-AES128-SHA256     TLSv1.2 Kx=ECDH   Au=RSA  Enc=AES(128)    Mac=SHA256

Achtung/CAUTION: Der Cipher-String wurde nur mit einzelnen, älteren OpenSSL-Versionen getestet, es können ungewollt weitere Cipher-Suiten dadurch benutzt werden. (ONLY tested with some elder Versions of OpenSSL!)


sichere Zertifikate

  • Nutzen Sie eine vertrauenswürdige Zertifizierungsstelle (CA) für öffentlich erreichbare, verschlüsselte Webserver; Prüfen Sie die Vergabe-Politik der CA.
  • zeitgemäße, starke Verfahren mit sicheren Schlüssellängen (vgl. BSI TR-02102-2 Teil 2: 2000 bits bzw. (nach 2015:) 3000 bits für RSA), auch für alle Zwischenzertifikate und das Root-Zertifikat der CA.
  • Angabe der 'Fully Qualified Names' und bei 'www' auch des Domänennamens im Zertifikat, damit ein Redirekt möglich ist (z.B. von 'https://example.com' zu 'https://www.example.com').
  • Dedizierte Zuertifikate, je Server; keine 'Sammelzertifikate' (Wildcard-Zertifikate, z.B. *.example.com)
  • Überwachung der Gültigkeit der Zertifikate
  • IP-Adressen in Zertifikaten vermeiden, keine RFC 1918-Adressen (z.B. 192.168.1.1)
  • stellen Sie die, zum Verifizieren benötigte Zertifikats-Kette auf dem Webserver zur Verfügung (auch die Zwischenzertifikate)
  • Nutzen Sie Ihre Zeritifikate nur für Dienste mit einem vergleichbaren Sicherheitsniveau (vermeiden Sie z.B. das Zertifikat eines Webservers auch für Email-Dienste zu nutzen)


Testen der Einstellungen und des Zertifikats:


Weitere Details im Transport Layer Protection Cheat Sheet und OWASP Testing Guide: Chapter on SSL/TLS Testing.
Links mit Beispielen für viele Plattformen:

Verteidigungs-Option 2b gegen 'Verlust der Vertraulichkeit sensibler Daten':
Absicherung der Transportschicht (auf dem Webserver - Teil 2)

Wirksamer Schutz gegen Man In The Middle-Angriffe
Die Sicherheitskonfiguration unter Option 2a hat noch eine Schwachstelle, so das MITM (Man In The Middle attack) nicht zuverlässig verhindert wird. MITM erzeugt einen Zertifikatsfehler am Client, der üblicherweise aber (durch den Anwender) ignoriert wird. Deshalb wurde der HTTP-Header "HTTP Strict Transport Security (HSTS)" eingeführt. Damit werden kompatible Browser (Firefox, Chrome, Opera aber bisher NICHT IE) angewiesen, dass

  • der Browser den http-Request ausschließlich über https verschickt (auch falls die Seite mit http aufgerufen wird).
  • der Anwender Zertifikatsfehler im Browser nicht mehr ignorieren kann.


Konfiguration im Apache:

Header set Strict-Transport-Security

"max-age=16070400; includeSubDomains"


Da der HSTS-Header nur über https übermittelt wird ist zusätzlich ein Redirect nötig:

<VirtualHost *:80>
ServerAlias *
RewriteEngine On
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [redirect=301]
</VirtualHost>


Quellen

HTTP Strict Transport Security
AppSecTutorial Series - Episode 4

Referenzen

OWASP

Älter:

Andere

    JAVA »
This section is under construction. Please help OWASP to add missing content!
Comment: Bitte senden Sie uns weitere gute Beispiele mit PHP für diesen Abschnitt.
Verteidigungs-Option 2 gegen 'Verlust der Vertraulichkeit sensibler Daten':

Um vorerstellte Hash-Tabellen zu verhindern, kann jedem Datensatz eine zufällige Zeichenfolge hinzugefügt werden, welche als Salt (Deutsch: Salz) bezeichnet wird. Ein Beispiel für die sichere Erstellung eines Hashwerts ist im Folgendemn gegeben. Dafür muss das GIT-Projekt [4] eingebunden werden, ab PHP-Version 5.5 ist dies im Kern enthalten. Das Salt wird bspw. bei einem Linuxsystem in der Funktion password_hash() durch Zugriff auf /dev/urandom erstellt. Der Rückgabewert der Funktion ist eine Zeichenkette und beinhaltet u.a. den Hashwert, das Salt und den genutzten Algorithmus. Die Kosten, welche die Anzahl der Hash-Iterationen angeben, können über den dritten Parameter festgelegt werden.

$options = [

'cost' => 12,

];
$inputHash = password_hash($_GET['password'], CRYPT_SHA256, $options);
storeHash($user, $inputHash); // Speichere Hash
$hash = getHash($user); // Hole Hash aus der Datenbank
// Prüfe eingegebenes Passwort gegen gespeichertes Passwort:
$isPasswordVerified = password_verify($_GET['password'], $hash);
if($isPasswordVerified) {

// Password korrekt

} else {

throw new PasswordVerificationException("");

}

Referenzen

OWASP

Älter:

Andere

← A5-Sicherheitsrelevante Fehlkonfiguration
Top 10 fuer Entwickler-2013: Inhaltsverzeichnis

Die Top-10-Risiken

A7-Fehlerhafte Autorisierung auf Anwendungsebene →

© 2002-2017 OWASP Foundation This document is licensed under the Creative Commons Attribution-ShareAlike 3.0 license. Some rights reserved. CC-by-sa-3 0-88x31.png