Kapitel 16. Client-seitige Angriffe

In der vormodernen Welt der Anwendungssicherheit (Web 1.0) ging man davon aus, dass die Client-Komponente (auch Browser genannt) einer Webanwendung kein gängiger Angriffsvektor für Hacker ist. Daher gingen die Unternehmen davon aus, dass sich der Großteil der Risikofläche einer Anwendung im Backend (auf der Serverseite) befindet und investierten nur wenig in die Sicherheit ihrer Browser-Clients.

Mit der Entwicklung des Web 2.0 wurden immer mehr Funktionen, die bisher nur auf dem Server zu finden waren, auf den Client übertragen. Komplexe Rechenoperationen wurden von Java oder C im Backend in JavaScript auf der Client-Seite umgeschrieben. Backend-Datenspeicher werden durch lokale Speicherung, Sitzungsspeicher oder IndexedDB ersetzt.

Asynchrone JavaScript- und XML (AJAX)-artige Netzwerkabfragen würden die Entwicklung von clientseitigen Anwendungen ermöglichen, die den Status pflegen, aktualisieren und speichern. Client-seitige Verbesserungen der JavaScript-Programmiersprache und des Browser-DOM würden komplexe Komponenten-Lebenszyklen mit Aktualisierungen, Renderings, Re-Renderings, Löschungen usw. ermöglichen - ähnlich wie bei einer Desktop-Anwendung.

Alles in allem würde sich die Gesamtarchitektur einer Webanwendung von einem Modell, bei dem der Server für alle Rechenoperationen zuständig war und der Client nur ...