Vorschau

Manchmal ist eine Website frei zugänglich und jeder Besucher kann jede Seite besuchen. Wenn aber der Inhalt der Website geändert werden kann, sind einige Endpunkte auf bestimmte Personen oder Gruppen beschränkt. Wenn jeder die Seiten von Amazon ändern könnte, stell dir vor, welche seltsamen Artikel auftauchen würden und welche erstaunlichen Verkäufe manche Leute plötzlich machen würden. Leider liegt es in der menschlichen Natur - für einige Menschen - die anderen auszunutzen, die eine versteckte Steuer für ihre Aktivitäten zahlen.

Sollten wir unsere Cryptid-Site für alle Benutzer/innen offen lassen, damit sie auf jeden Endpunkt zugreifen können? Nein! Fast jeder größere Webdienst muss irgendwann mit den folgenden Problemen fertig werden:

Authentifizierung (authn)

Wer bist du?

Autorisierung (authz)

Was willst du?

Sollte der Authentifizierungs- und Autorisierungscode eine eigene neue Schicht haben, etwa zwischen Web und Service, oder sollte alles von der Web- oder Serviceschicht selbst gehandhabt werden? Dieses Kapitel befasst sich mit Authentifizierungstechniken und wo sie eingesetzt werden sollten.

Oft scheinen Beschreibungen der Websicherheit verwirrender zu sein, als sie sein müssten. Angreifer können sehr, sehr hinterhältig sein, ...