Suche mittels Attribut

Diese Seite stellt eine einfache Suchoberfläche zum Finden von Objekten bereit, die ein Attribut mit einem bestimmten Datenwert enthalten. Andere verfügbare Suchoberflächen sind die Attributsuche sowie der Abfragengenerator.

Suche mittels Attribut

Eine Liste aller Seiten, die das Attribut „Anmerkungen“ mit dem Wert „Der Evaluator prüft, ob die Anwendung dem Nutzer ermöglicht, einen oder alle zuvor ausgestellten Session-Identifier ungültig zu machen.“ haben. Weil nur wenige Ergebnisse gefunden wurden, werden auch ähnliche Werte aufgelistet.

⧼showingresults⧽

Zeige (vorherige 50 | nächste 50) (20 | 50 | 100 | 250 | 500)

    

Liste der Ergebnisse

  • O.Paid 7  + (Der Evaluator prüft, ob über die NachverfoDer Evaluator prüft, ob über die Nachverfolgung von Zahlungsströmen Rückschlüsse auf die Eigenschaften oder das Verhalten des Nutzers möglich sind. Die Abwägungen des Herstellers bei potenziellen Rückschlüssen sind in der Risikobewertung zu berücksichtigen.in der Risikobewertung zu berücksichtigen.)
  • O.Data 5  + (Der Evaluator prüft, welche Daten von der Anwendung erhoben, gespeichert und verarbeitet werden und stellt diese dem Zweck der Anwendung gegenüber.)
  • O.Source 9  + (Der Evaluator stellt durch QuelltextanalysDer Evaluator stellt durch Quelltextanalyse und praktische Tests sicher, dass die Web-Anwendung dem Stand der Technik entsprechende Maßnahmen ergreift, um ein ausführen von injizierten Funktionalitäten zu verhindern. Beispielsweise kann die Web-Anwendung als Gegenmaßnahme gegen Cross-Site-Request-Forgery (CSRF) Angriffe einen SessionCode (auch Synchronizer Token Pattern (STP) oder CSRF-Token) in jede URL als weiteren zufälligen (d.h. nicht erratbaren) Parameter in einem HiddenField einfügen. Auf Basis des SessionCodes kann das Hintergrundsystem die Gültigkeit der Anfrage zusätzlich prüfen. Gültigkeit der Anfrage zusätzlich prüfen.)
  • O.Data 17  + (Der Evaluator stellt sicher, dass für alle Formularfelder, in die sensible Daten eingegeben werden, die Autocomplete-Funktion deaktiviert ist.)
  • O.Data 15  + (Der Evaluator stellt sicher, dass für alle Cookies, auf die nicht mittels JavaScript zugegriffen wird, das HTTP-Only-Flag gesetzt ist.)
  • O.Data 18  + (Der Evaluator stellt sicher, dass persistierte Daten für weitere Hosts einer Domain unlesbar sind.)
  • O.Data 16  + (Der Evaluator stellt sicher, dass für alle Cookies, die sensible Daten enthalten, das Secure-Flag gesetzt ist.)
  • O.Source 8  + (Der Evaluator stellt sicher, dass URL-WeitDer Evaluator stellt sicher, dass URL-Weiterleitungen kontrolliert verwendet werden. Keinesfalls darf der Link auf eine externe Seite hierbei die Session-ID enthalten. Ist die Liste der Weiterleitungs-URLs bekannt, darf auch nur auf diese weitergeleitet werden. Wenn möglich kann in diesen Fällen eine indizierte Liste auch serverseitig gehalten werden und die Weiterleitungs-URL dann über einen Index ermittelt werden. Eine Weiterleitung kann auch über eine dem Benutzer explizit angezeigte Webseite erfolgen, so dass der Benutzer selbst den Link vor dem aktiven Klick prüfen kann. Lokale Weiterleitungen sind daraufhin zu prüfen, dass die Ziel-URL nicht auf eine externe Seite führt. Wenn vermeidbar, sollte es dem Nutzer nicht selbst möglich sein, die Eingabe der Weiterleitungs-URL vorzunehmen. Ist es nicht vermeidbar, dass ein Nutzer selbst die Weiterleitungs-URL eingeben darf, muss diese umfassend daraufhin geprüft werden, dass sie gültig, zur Web-Anwendung passend und für den Nutzer zulässig ist. Wenn implementiert soll bevorzugt auf Whitelisting von erlaubten Adressen gesetzt werden und nicht auf Blacklisting.gesetzt werden und nicht auf Blacklisting.)
  • O.Paid 1  + (Der Evaluator validiert, dass alle kostenpflichtigen Leistungen und Ressourcen eindeutig als solche erkennbar sind.)
  • O.Paid 2  + (Der Evaluator validiert, dass alle kostenpflichtigen Leistungen ausschließlich nach Bestätigung durch den Nutzer erbracht werden können.)
  • O.Ntwk 1  + (Der Evaluator validiert, dass ausschließlich verschlüsselte Kommunikation zwischen der Anwendung und anderen Komponenten möglich ist.)
  • O.Paid 3  + (Der Evaluator validiert, dass die Nutzung von Diensten, die zusätzliche Kosten für den Nutzer verursachen können (z.B. das Versenden von SMS), ausschließlich nach Abgabe einer Einverständniserklärung des Nutzers möglich ist.)
  • O.Ntwk 4  + (Der Evaluator validiert, dass die Anwendung Zertifikats-Pinning unterstützt und dieses wirksam umsetzt.)
  • O.Tokn 2  + (Der Evaluator validiert, dass keine sensiblen Daten in ein Authentifizierungstoken eingebettet werden.)
  • O.Auth 6  + (Der Evaluator validiert, dass nach einer dDer Evaluator validiert, dass nach einer der Anwendung angemessenen Zeit, in der sie nicht aktiv verwendet wurde, eine erneute Authentifizierung erfolgen muss. Die Güte der geforderten Authentifizierung muss dem Vertrauensniveau angemessen sein (vgl. O.Auth_3).ensniveau angemessen sein (vgl. O.Auth_3).)
  • O.Auth 7  + (Der Evaluator validiert, dass nach einer dDer Evaluator validiert, dass nach einer der Anwendung angemessenen Zeit, in der sie dauerhaft aktiv verwendet wurde, eine erneute Authentifizierung erfolgen muss. Die Güte der geforderten Authentifizierung muss dem Vertrauensniveau angemessen sein (vgl. O.Auth_3).ensniveau angemessen sein (vgl. O.Auth_3).)
  • O.Source 6  + (Der Evaluator überprüft die produktive Anwendung auf Rückstände von Optionen zur Unterstützung der Entwicklung.)
  • O.Source 7  + (Der Evaluator überprüft die produktive Anwendung auf Rückstände von Zeichenketten, Debug-Mechanismen und -Informationen.)
  • O.Resi 2  + (Der Evaluator überprüft, ob der Nutzer angemessen über die Risiken einer Verwendung von Geräten mit eingeschränkten Sicherheitsleistungen informiert wird.)
  • O.TrdP 1  + (Der Hersteller stellt eine Liste der eingesetzten externen Software, Frameworks und Bibliotheken inkl. der verwendeten Versionen bereit. Der Evaluator prüft die bereitgestellte Liste auf Vollständigkeit.)
  • O.TrdP 3  + (Der Hersteller stellt eine Übersicht der lDer Hersteller stellt eine Übersicht der letzten Schwachstellenanalyse der eingesetzten Frameworks und Bibliotheken bereit. Diese wird vom Evaluator geprüft und in der Risikobewertung berücksichtigt. Zusätzlich prüft der Evaluator, ob der Hersteller bei Auftreten von Schwachstellen eine Mitigationsstrategie im Rahmen einer angemessenen Grace-Period bereitstellt.er angemessenen Grace-Period bereitstellt.)
  • O.TrdP 2  + (Der Hersteller stellt nach O.TrdP_1 dem Evaluator eine Liste eingesetzter externer Software, Frameworks und Bibliotheken zur Verfügung. Diese wird vom Evaluator geprüft und in der Risikobewertung berücksichtigt.)
  • O.Plat 5  + (Falls die Anwendung die Möglichkeit zur AnFalls die Anwendung die Möglichkeit zur Anzeige von Meldungen mit sensiblen Daten bietet, prüft der Evaluator, ob diese standardmäßig deaktiviert ist. Weiterhin prüft er, ob der Nutzer bei Aktivierung dieser Option angemessen über die daraus resultierenden Risiken aufgeklärt wird. Die Abwägungen des Herstellers, solche Optionen anzubieten, sind in der Risikobewertung zu berücksichtigen.in der Risikobewertung zu berücksichtigen.)
  • O.Paid 4  + (Falls die Anwendung ein dauerhaftes Einverständnis des Nutzers für den Zugriff auf kostenpflichtige Ressourcen fordert, prüft der Evaluator, ob dies für den primären Zweck der Anwendung erforderlich ist (vgl. O.Purp_1).)
  • O.Auth 11  + (Wird bei einer Zwei-Faktor-AuthentisierungWird bei einer Zwei-Faktor-Authentisierung der zweite Faktor vom Hintergrundsystem in die Anwendung importiert (z.B. Time-Based One-Time Passwort (TOTP)), prüft der Evaluator, ob die verwendete Methode dem Stand der Technik entspricht und ein separater Übertragungskanal verwendet wird.eparater Übertragungskanal verwendet wird.)
  • O.Sess 3  + (Der Evaluator prüft, ob die Anwendung dem Nutzer ermöglicht, einen oder alle zuvor ausgestellten Session-Identifier ungültig zu machen.)
  • O.Arch 3  + (Der Evaluator bewertet die ausgearbeitete Richtlinie des Herstellers und deren Berücksichtigung in der Risikobewertung.)
  • O.Arch 2  + (Der Evaluator prüft Design- und Architektur-Dokumente auf die Berücksichtigung der Verarbeitung sensibler Daten inkl. des Datenlebenszyklus.)
  • O.Plat 4  + (Der Evaluator prüft anhand von QuelltextanDer Evaluator prüft anhand von Quelltextanalyse und generierten Log-Nachrichten, ob die Anwendung sensible Daten in diese Nachrichten schreibt. Sollten die geloggten Daten Rückschlüsse auf den Nutzer zulassen, muss dieser Datenabfluss in der Risikobewertung berücksichtigt werden.der Risikobewertung berücksichtigt werden.)
  • O.Pass 4  + (Der Evaluator prüft das Vorhandensein und die Güte von zusätzlichen Informationen zur Protokollierung von Änderungen und dem Zurücksetzen von Passwörtern.)
  • O.TrdP 4  + (Der Evaluator prüft das Vorhandensein eines solchen Konzeptes. Eine inhaltliche Prüfung ist im Rahmen der TR nicht erforderlich. Zusätzlich prüft der Evaluator, ob der Hersteller eine Mitigationsstrategie bereitstellt.)
  • O.Purp 6  + (Der Evaluator prüft das Vorhandensein, die Aktualität und die Vollständigkeit des Verzeichnisses.)
  • O.Auth 4  + (Der Evaluator prüft das Vorhandensein und Der Evaluator prüft das Vorhandensein und die Güte von zusätzlichen Informationen zur Bewertung eines Authentifizierungsvorgangs. Solche Informationen können beispielsweise über die Invalidierung/Löschung von Schlüsseln bei Änderung von Merkmalen biometrischer Systeme oder eine Prüfung auf Änderung von biometrischen Metadaten umgesetzt werden. Eine Prüfung auf Konformität zum Datenschutz der erhobenen Informationen ist im Rahmen der TR nicht erforderlich, eine zusätzliche Prüfung ist daher empfehlenswert. Werden keine zusätzlichen Informationen zur Bewertung verwendet, prüft der Evaluator die Abwägungen des Herstellers. Diese sind in der Risikobewertung zu berücksichtigen.in der Risikobewertung zu berücksichtigen.)
  • O.Auth 1  + (Der Evaluator prüft das vom Hersteller bereitgestellt Konzept zur Authentifizierung, Autorisierung und Beenden der Anwendungssitzung. Er bewertet die Güte der eingesetzten Verfahren Anhand des aktuellen Standes der Technik.)
  • O.Source 5  + (Der Evaluator prüft den Zugriff auf sensible Daten bei Exceptions im Programmablauf. Jeglicher identifizierte Zugriff muss in der Risikobewertung betrachtet werden.)
  • O.Purp 9  + (Der Evaluator prüft die Abwägungen des HerDer Evaluator prüft die Abwägungen des Herstellers, ob die Darstellung von sensiblen Daten zum gegebenen Zeitpunkt für die Erfüllung des Zwecks der Anwendung erforderlich ist. Für die Risikobewertung ist zu berücksichtigen, wie die Anwendung den Nutzer davor schützt, sensible Daten anzuzeigen (vergleiche T.VisibleAsset). Bei Formularen muss die Web-Anwendung den Web-Browser anweisen, die Eingabe bei sensiblen Daten auszublenden (type="password") und Eingaben geeignet zu behandeln.word") und Eingaben geeignet zu behandeln.)
  • O.Purp 8  + (Der Evaluator prüft die Abwägungen des HerDer Evaluator prüft die Abwägungen des Herstellers, ob die Weitergabe von sensiblen Daten an Dritte dem primären Zweck für die Anwendung dient. Darüber hinaus prüft er, ob die Weitergabe immer explizit durch den Nutzer erlaubt werden muss (Opt-In). Die Weitergabe an Dienste, deren primärer Zweck die Verarbeitung von Daten für Werbezwecke ist, ist generell verboten. Die Risikobewertung berücksichtigt, wie die Weitergabe von Daten an Dritte im Verhältnis zum Schutzbedarf der weitergeleiteten Informationen (Daten) und der daraus resultierenden Gefahr der Preisgabe von Informationen steht. Die Nutzung durch Dritte könnte z.B. im Aufruf von Cookies, Bannern von Dritten oder die Umleitung von Formular-Input über Webseiten von unbeteiligten Parteien bestehen.eiten von unbeteiligten Parteien bestehen.)
  • O.Data 1  + (Der Evaluator prüft die StandardeinstellunDer Evaluator prüft die Standardeinstellungen der Anwendung bei ihrer Installation. Das umfasst unter anderem die Berechtigungen des Betriebssystems, welche die Anwendung einfordert. Die Berechtigungen müssen dem Zweck der Anwendung dienen und dürfen erst angefragt werden, sobald sie Verwendung finden.ragt werden, sobald sie Verwendung finden.)
  • O.Paid 10  + (Der Evaluator prüft die Zahlverfahren durcDer Evaluator prüft die Zahlverfahren durch Drittanbieter. Sowohl bei Bibliotheken oder Frameworks, als auch bei Web-Diensten wird geprüft, dass keine sensiblen Nutzerdaten an den Zahlungsdienstleister abfließen (z.B., dass der Titel der gebuchten Leistung keine sensiblen Informationen enthält).ng keine sensiblen Informationen enthält).)
  • O.Cryp 4  + (Der Evaluator prüft die verwendeten kryptographischen Schlüssel auf ihre Zweckgebundenheit. Es wird der Zweck nach Schutz durch Verschlüsselung und Authentisierung unterschieden.)
  • O.Plat 2  + (Der Evaluator prüft die von der Anwendung geforderten Berechtigungen und bestätigt, dass diese für die Erfüllung des primären Zwecks der Anwendung (O.Purp_1) erforderlich sind.)
  • O.Auth 3  + (Der Evaluator prüft durch Quelltextanalyse und praktische Tests das Vorhandensein der Zwei-Faktor-Authentifizierung. Insbesondere prüft er, ob die verwendeten Faktoren aus unterschiedlichen Kategorien stammen (Wissen, Besitz, Inhärenz).)
  • O.Paid 9  + (Der Evaluator prüft durch Quelltextanalyse und praktische Tests, ob die Anwendung eigenständig Bezahlungen validiert und beispielsweise kostenpflichtige Funktionen freischalten kann.)
  • O.Plat 6  + (Der Evaluator prüft durch Quelltextanalyse und praktische Tests, ob die Web-Anwendung das Ausführen von injiziertem JavaScript ablehnt.)
  • O.Source 4  + (Der Evaluator prüft durch Quelltextanalyse und praktische Tests die kontrollierte Behandlung und Dokumentation von Exceptions.)
  • O.Arch 4  + (Der Evaluator prüft durch Quelltextanalyse und praktische Tests, ob sensible Daten unverschlüsselt in Backups vorhanden sind oder im Browser-Cache persistiert werden.)
  • O.Paid 6  + (Der Evaluator prüft über praktische Tests Der Evaluator prüft über praktische Tests und Quelltextanalyse, ob eine Transaktionshistorie in der Anwendung vorgehalten wird. Die Transaktionshistorie sollte im Hintergrundsystem sicher gespeichert werden und aus der Anwendung einsehbar sein. Wenn die Transaktionshistorie in der Anwendung selber gespeichert wird, ist in einer Risikobewertung darzustellen, inwieweit die Sicherheit der gespeicherten Daten gewährleistet werden kann.eicherten Daten gewährleistet werden kann.)
  • O.Tokn 1  + (Der Evaluator prüft, ob AuthentifizierungsDer Evaluator prüft, ob Authentifizierungstoken ausschließlich in sicheren Speicherbereichen (vgl. O.Sess_2) abgelegt werden. Andernfalls wird die Aufbewahrung des Authentifizierungstokens in die Risikobewertung aufgenommen. Authentifizierungstokens müssen auf dem Gerät vor Zugriffen durch Dritte geschützt sein.vor Zugriffen durch Dritte geschützt sein.)
  • O.Data 4  + (Der Evaluator prüft, ob Daten über den Zeitraum ihrer Verwendung hinaus in der Anwendung gehalten werden. Daten, die nicht mehr genutzt werden, müssen sicher gelöscht werden.)
  • O.Pass 1  + (Der Evaluator prüft, ob Passwortrichtlinien, welche dem aktuellen Stand der Technik entsprechen, eingesetzt werden. Andernfalls sind die Abwägungen des Herstellers zu prüfen und in der Risikobewertung zu berücksichtigen.)
  • O.Source 1  + (Der Evaluator prüft, ob alle Eingaben aus Der Evaluator prüft, ob alle Eingaben aus nicht vertrauenswürdigen Quellen vor ihrer Verwendung dem Stand der Technik entsprechend geprüft werden. Eingaben meinen jegliche Art von Daten, die in die Anwendung hineinfließen. Das sind zum Beispiel Nutzereingaben, Eingaben aus Drittanbieterkomponenten etc.Eingaben aus Drittanbieterkomponenten etc.)
Abgerufen von „https://dhack.labs.inf.fh-dortmund.de//index.php/Spezial:Suche_mittels_Attribut/cl:YzodjT0OwjAMhS_EnxjZKpWBhYUThOaRWiQuSpwi9WBM3XoxHC-fnvz82ZeOE_K7cgAfe-T9-XSdXaxOppY_eVtfstM0PRWeoOz4C_aqtAmS8l5lMRc5bb8QaRhNAjG4yd5aF2PzlzrbcVdLQBHEKLb1QCk0aepvHiz0IrP00bZGoWCqIrlhBB_-