O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

91.5 ISO 17799
den. Obgleich in ISO 17799 (die in vielen Unternehmen als BS 7799,
kurz für »British Standard«, bekannt ist) kein Bezug auf webbasierte
Systeme genommen wird, enthält die Richtlinie viele wichtige Anre-
gungen, die Sie benutzen können, um die sicherheitsrelevanten Abläufe
in Ihrem Unternehmen zu verbessern.
Im nächsten Abschnitt fassen wir die wichtigsten Punkte der
Richtlinie kurz für Sie zusammen und erläutern den Zusammenhang
mit PHP-Sicherheit.
1.5 ISO 17799
Besonders in großen Unternehmen ist die Sicherheit der IT-Infrastruk-
tur und ganz besonders der unternehmensinternen Daten eines der
wichtigsten Ziele. Um Abläufe zu standardisieren und das Handling
sicherheitsrelevanter Prozesse auf einen einheitlichen Nenner zu brin-
gen, wurde von der British Standards Institution (BSI, nicht zu ver-
wechseln mit dem deutschen Bundesamt für Sicherheit in der Informa-
tionstechnik) der Standard 7799 ins Leben gerufen. In diesem
Dokument werden ausführlich »Best Practices«, also als vorbildlich
anerkannte Abläufe für die Sicherheit in Informationssystemen, aufge-
führt. Neben Aspekten wie der physischen Zugangssicherung enthält
das Standardwerk, das mittlerweile als internationaler Standard ISO
17799 aufgelegt wurde, auch für Webanwendungen wichtige Punkte.
Die ISO unterteilt Sicherheit in Informationssystemen in drei Fak-
toren, die in einem sicheren System stets erfüllt sein sollten:
Vertraulichkeit, also die Sicherheit, dass Information nur dem
zugänglich ist, der über die notwendige Autorisierung verfügt.
Integrität – Informationen und informationsverarbeitende Vor-
gänge müssen stets akkurat und vollständig sein.
Die ständige Verfügbarkeit aller Informationssysteme für berech-
tigte Benutzer ist der dritte wichtige Faktor.
Der Standard schreibt vor, dass alle Mechanismen, die zur Wahrung
dieser Faktoren etabliert werden, regelmäßig kontrolliert werden sol-
len, um auch auf neue Anforderungen reagieren zu können. Das wer-
den die meisten Administratoren von Webservern intuitiv beherzigen –
ist doch die Kontrolle auf neue Software-Updates nichts anderes als
das, was der Standard fordert.
Auch auf die Absicherung bei »third-party access«, also dem Zugriff
Dritter auf die eigene Infrastruktur, legt ISO 17799 Wert. In der PHP-
Welt ist das beispielsweise ein API Ihrer Anwendung, an die Ihre Kun-
den ihre eigenen Anwendungen anschließen können, um Funktionen

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required