Suche mittels Attribut

Diese Seite stellt eine einfache Suchoberfläche zum Finden von Objekten bereit, die ein Attribut mit einem bestimmten Datenwert enthalten. Andere verfügbare Suchoberflächen sind die Attributsuche sowie der Abfragengenerator.

Suche mittels Attribut

Eine Liste aller Seiten, die das Attribut „Anmerkungen“ mit dem Wert „Der Evaluator prüft die Abwägungen des Herstellers, ob die Darstellung von sensiblen Daten zum gegebenen Zeitpunkt für die Erfüllung des Zwecks der Anwendung erforderlich ist. Für die Risikobewertung ist zu berücksichtigen, wie die Anwendung den Nutzer davor schützt, sensible Daten anzuzeigen (vergleiche T.VisibleAsset). Bei Formularen muss die Web-Anwendung den Web-Browser anweisen, die Eingabe bei sensiblen Daten auszublenden (type="password") und Eingaben geeignet zu behandeln.“ haben. Weil nur wenige Ergebnisse gefunden wurden, werden auch ähnliche Werte aufgelistet.

⧼showingresults⧽

Zeige (vorherige 50 | nächste 50) (20 | 50 | 100 | 250 | 500)


    

Liste der Ergebnisse

  • O.Source 2  + (Der Evaluator prüft, ob eine Escape-SyntaxDer Evaluator prüft, ob eine Escape-Syntax von strukturierten Daten für alle Eingaben vorhanden ist. Schadhafte Zeichen sind kontextabhängig zu betrachten. Im Datenbank-Kontext sind beispielsweise Hochkommata oder Prozentzeichen gegebenenfalls schadhaft, während im Web/HTML Kontext eher Tag-Klammern (<) schadhaft sind. Grundsätzlich muss die Input-Validierung daher kontextbezogen stattfinden. Wird eine potenziell schädliche Eingabe erkannt, muss sie entweder bereinigt/maskiert oder abgelehnt/verworfen werden. Das Verwerfen sollte dem Bereinigen vorgezogen werden. Sofern vorher maskierte oder bereinigte Eingaben weitergegeben werden, müssen diese so maskiert oder enkodiert werden, dass sie im Kontext der Weitergabe keine schädlichen Effekte haben.r Weitergabe keine schädlichen Effekte haben.)
  • O.Arch 7  + (Der Evaluator prüft, ob eine entsprechende Möglichkeit vorhanden ist. Falls kein verschlüsselter Kanal bereitgestellt wird, ist dies in der Risikobewertung zu berücksichtigen.)
  • O.TrdP 6  + (Der Evaluator prüft, ob eingehende Daten über Drittanbieter-Software als nicht vertrauenswürdige Quelle nach O.Source_1 behandelt werden und Sicherheitsfunktionen vorhanden sind.)
  • O.Arch 9  + (Der Evaluator prüft, ob entsprechende HTTP-Server-Header verwendet werden. Falls keine dem Stand der Technik entsprechenden HTTP-Server-Header verwendet werden, ist dies in der Risikobewertung zu berücksichtigen.)
  • O.Auth 8  + (Der Evaluator prüft, ob er ohne angemessenDer Evaluator prüft, ob er ohne angemessene Authentifizierung die Authentisierungsdaten verändern kann. Dies betrifft auch einen Ablauf zum Passwort zurücksetzen. Beruht dieser Ablauf bspw. auf Sicherheitsabfragen, darf die Antwort nicht einfach zu erraten oder gar aus möglicherweise öffentlichen Informationen ermittelbar sein (z.B. Mädchenname der Mutter).telbar sein (z.B. Mädchenname der Mutter).)
  • O.Data 8  + (Der Evaluator prüft, ob erhobene sensible Daten anderen Anwendungen auf dem Gerät verfügbar gemacht werden oder Daten in öffentlichen Verzeichnissen gespeichert werden.)
  • O.Data 9  + (Der Evaluator prüft, ob erhobene sensible Der Evaluator prüft, ob erhobene sensible Daten anderen Anwendungen auf dem Gerät verfügbar gemacht werden oder Daten in öffentlichen Verzeichnissen gespeichert werden. Dies schließt insbesondere Caches, Autokorrektur- und Autovervollständigungsverfahren mit ein. Ist dies der Fall, prüft der Evaluator die Abwägungen des Herstellers und berücksichtigt diese in der Risikobewertung.rücksichtigt diese in der Risikobewertung.)
  • O.Cryp 1  + (Der Evaluator prüft, ob fest einprogrammierte geheime, bzw. private Schlüssel eingesetzt werden.)
  • O.Auth 2  + (Der Evaluator prüft, ob fest einprogrammierte geheime, bzw. private Schlüssel eingesetzt werden.)
  • O.Ntwk 3  + (Der Evaluator prüft, ob für den Aufbau sicDer Evaluator prüft, ob für den Aufbau sicherer Kommunikationskanäle auf Betriebssystem -Funktionen zurückgegriffen wird. Alternativ können Bibliotheken oder Frameworks verwendet werden, die den in Kapitel 3.1.4 beschriebenen Anforderungen genügen. Eigene Implementierungen zum Aufbau sicherer Kommunikationskanäle sind nicht zulässig. Kommunikationskanäle sind nicht zulässig.)
  • O.Purp 3  + (Der Evaluator prüft, ob ohne Zustimmung des Nutzers personenbezogene Daten verarbeitet werden können.)
  • O.Data 10  + (Der Evaluator prüft, ob sensible Daten, bei denen keine Notwendigkeit für einen Export besteht, trotzdem exportierbar sind. Dies umfasst unter anderem private kryptografische Schlüssel.)
  • O.Paid 7  + (Der Evaluator prüft, ob über die NachverfoDer Evaluator prüft, ob über die Nachverfolgung von Zahlungsströmen Rückschlüsse auf die Eigenschaften oder das Verhalten des Nutzers möglich sind. Die Abwägungen des Herstellers bei potenziellen Rückschlüssen sind in der Risikobewertung zu berücksichtigen.in der Risikobewertung zu berücksichtigen.)
  • O.Data 17  + (Der Evaluator stellt sicher, dass für alle Formularfelder, in die sensible Daten eingegeben werden, die Autocomplete-Funktion deaktiviert ist.)
  • O.Data 16  + (Der Evaluator stellt sicher, dass für alle Cookies, die sensible Daten enthalten, das Secure-Flag gesetzt ist.)
  • O.Data 15  + (Der Evaluator stellt sicher, dass für alle Cookies, auf die nicht mittels JavaScript zugegriffen wird, das HTTP-Only-Flag gesetzt ist.)
  • O.Data 18  + (Der Evaluator stellt sicher, dass persistierte Daten für weitere Hosts einer Domain unlesbar sind.)
  • O.Paid 2  + (Der Evaluator validiert, dass alle kostenpflichtigen Leistungen ausschließlich nach Bestätigung durch den Nutzer erbracht werden können.)
  • O.Paid 1  + (Der Evaluator validiert, dass alle kostenpflichtigen Leistungen und Ressourcen eindeutig als solche erkennbar sind.)
  • O.Paid 3  + (Der Evaluator validiert, dass die Nutzung von Diensten, die zusätzliche Kosten für den Nutzer verursachen können (z.B. das Versenden von SMS), ausschließlich nach Abgabe einer Einverständniserklärung des Nutzers möglich ist.)
  • O.Tokn 2  + (Der Evaluator validiert, dass keine sensiblen Daten in ein Authentifizierungstoken eingebettet werden.)
  • O.Resi 2  + (Der Evaluator überprüft, ob der Nutzer angemessen über die Risiken einer Verwendung von Geräten mit eingeschränkten Sicherheitsleistungen informiert wird.)
  • O.TrdP 1  + (Der Hersteller stellt eine Liste der eingesetzten externen Software, Frameworks und Bibliotheken inkl. der verwendeten Versionen bereit. Der Evaluator prüft die bereitgestellte Liste auf Vollständigkeit.)
  • O.TrdP 3  + (Der Hersteller stellt eine Übersicht der lDer Hersteller stellt eine Übersicht der letzten Schwachstellenanalyse der eingesetzten Frameworks und Bibliotheken bereit. Diese wird vom Evaluator geprüft und in der Risikobewertung berücksichtigt. Zusätzlich prüft der Evaluator, ob der Hersteller bei Auftreten von Schwachstellen eine Mitigationsstrategie im Rahmen einer angemessenen Grace-Period bereitstellt.er angemessenen Grace-Period bereitstellt.)
  • O.TrdP 2  + (Der Hersteller stellt nach O.TrdP_1 dem Evaluator eine Liste eingesetzter externer Software, Frameworks und Bibliotheken zur Verfügung. Diese wird vom Evaluator geprüft und in der Risikobewertung berücksichtigt.)
  • O.Purp 9  + (Der Evaluator prüft die Abwägungen des HerDer Evaluator prüft die Abwägungen des Herstellers, ob die Darstellung von sensiblen Daten zum gegebenen Zeitpunkt für die Erfüllung des Zwecks der Anwendung erforderlich ist. Für die Risikobewertung ist zu berücksichtigen, wie die Anwendung den Nutzer davor schützt, sensible Daten anzuzeigen (vergleiche T.VisibleAsset). Bei Formularen muss die Web-Anwendung den Web-Browser anweisen, die Eingabe bei sensiblen Daten auszublenden (type="password") und Eingaben geeignet zu behandeln.word") und Eingaben geeignet zu behandeln.)
  • O.Arch 3  + (Der Evaluator bewertet die ausgearbeitete Richtlinie des Herstellers und deren Berücksichtigung in der Risikobewertung.)
  • O.Purp 4  + (Der Evaluator gleicht die in O.Purp_2 gewonnen Erkenntnisse mit den erteilten Zustimmungen ab.)
  • O.Arch 2  + (Der Evaluator prüft Design- und Architektur-Dokumente auf die Berücksichtigung der Verarbeitung sensibler Daten inkl. des Datenlebenszyklus.)
  • O.Purp 6  + (Der Evaluator prüft das Vorhandensein, die Aktualität und die Vollständigkeit des Verzeichnisses.)
  • O.TrdP 4  + (Der Evaluator prüft das Vorhandensein eines solchen Konzeptes. Eine inhaltliche Prüfung ist im Rahmen der TR nicht erforderlich. Zusätzlich prüft der Evaluator, ob der Hersteller eine Mitigationsstrategie bereitstellt.)
  • O.Auth 4  + (Der Evaluator prüft das Vorhandensein und Der Evaluator prüft das Vorhandensein und die Güte von zusätzlichen Informationen zur Bewertung eines Authentifizierungsvorgangs. Solche Informationen können beispielsweise über die Invalidierung/Löschung von Schlüsseln bei Änderung von Merkmalen biometrischer Systeme oder eine Prüfung auf Änderung von biometrischen Metadaten umgesetzt werden. Eine Prüfung auf Konformität zum Datenschutz der erhobenen Informationen ist im Rahmen der TR nicht erforderlich, eine zusätzliche Prüfung ist daher empfehlenswert. Werden keine zusätzlichen Informationen zur Bewertung verwendet, prüft der Evaluator die Abwägungen des Herstellers. Diese sind in der Risikobewertung zu berücksichtigen.in der Risikobewertung zu berücksichtigen.)
  • O.Pass 4  + (Der Evaluator prüft das Vorhandensein und die Güte von zusätzlichen Informationen zur Protokollierung von Änderungen und dem Zurücksetzen von Passwörtern.)
  • O.Auth 1  + (Der Evaluator prüft das vom Hersteller bereitgestellt Konzept zur Authentifizierung, Autorisierung und Beenden der Anwendungssitzung. Er bewertet die Güte der eingesetzten Verfahren Anhand des aktuellen Standes der Technik.)
  • O.Source 5  + (Der Evaluator prüft den Zugriff auf sensible Daten bei Exceptions im Programmablauf. Jeglicher identifizierte Zugriff muss in der Risikobewertung betrachtet werden.)
  • O.TrdP 5  + (Der Evaluator prüft die Maßnahmen des Herstellers zur Verifikation der Vertrauenswürdigkeit von Drittanbietern.)
  • O.Paid 10  + (Der Evaluator prüft die Zahlverfahren durcDer Evaluator prüft die Zahlverfahren durch Drittanbieter. Sowohl bei Bibliotheken oder Frameworks, als auch bei Web-Diensten wird geprüft, dass keine sensiblen Nutzerdaten an den Zahlungsdienstleister abfließen (z.B., dass der Titel der gebuchten Leistung keine sensiblen Informationen enthält).ng keine sensiblen Informationen enthält).)
  • O.Cryp 4  + (Der Evaluator prüft die verwendeten kryptographischen Schlüssel auf ihre Zweckgebundenheit. Es wird der Zweck nach Schutz durch Verschlüsselung und Authentisierung unterschieden.)
  • O.Auth 3  + (Der Evaluator prüft durch Quelltextanalyse und praktische Tests das Vorhandensein der Zwei-Faktor-Authentifizierung. Insbesondere prüft er, ob die verwendeten Faktoren aus unterschiedlichen Kategorien stammen (Wissen, Besitz, Inhärenz).)
  • O.Source 4  + (Der Evaluator prüft durch Quelltextanalyse und praktische Tests die kontrollierte Behandlung und Dokumentation von Exceptions.)
  • O.Tokn 1  + (Der Evaluator prüft, ob AuthentifizierungsDer Evaluator prüft, ob Authentifizierungstoken ausschließlich in sicheren Speicherbereichen (vgl. O.Sess_2) abgelegt werden. Andernfalls wird die Aufbewahrung des Authentifizierungstokens in die Risikobewertung aufgenommen. Authentifizierungstokens müssen auf dem Gerät vor Zugriffen durch Dritte geschützt sein.vor Zugriffen durch Dritte geschützt sein.)
  • O.Pass 1  + (Der Evaluator prüft, ob Passwortrichtlinien, welche dem aktuellen Stand der Technik entsprechen, eingesetzt werden. Andernfalls sind die Abwägungen des Herstellers zu prüfen und in der Risikobewertung zu berücksichtigen.)
  • O.Tokn 5  + (Der Evaluator prüft, ob das Authentifizierungstoken zum Beenden der Anwendungssitzung invalidiert wird. Hierzu testet er das Hintergrundsystem mit gültigen Abfragen, die den alten Authentifizierungstoken enthalten.)
  • O.Sess 1  + (Der Evaluator prüft, ob das Session-Handling durch ein sicheres Framework bereitgestellt wird. Andernfalls wird die Aufnahme der Implementierung des Session-Handlings geprüft und in die Risikobewertung aufgenommen.)
  • O.Purp 5  + (Der Evaluator prüft, ob dem Nutzer die Möglichkeit gegeben wird erteilte Einwilligungen wieder zu entziehen. Darüber hinaus validiert er, dass der Nutzer beim Entzug von Einwilligungen auf die daraus resultierenden Konsequenzen hingewiesen wird.)
  • O.Data 14  + (Der Evaluator prüft, ob dem Nutzer die MögDer Evaluator prüft, ob dem Nutzer die Möglichkeit gegeben wird, alle sensiblen Daten und anwendungsspezifischen Anmeldeinformationen auch im Hintergrundsystem vollständig zu löschen oder unzugänglich zu machen. Sollte dem Nutzer diese Möglichkeit nicht gegeben werden, prüft der Evaluator die gewählte maximale Verweildauer im Hintergrundsystem auf ihre Angemessenheit. Weiterhin stellt er sicher, dass dem Nutzer die Möglichkeit gegeben wird die Daten auch vor Ablauf der Verweildauer zu löschen und ob er angemessen über diese Möglichkeit informiert wird.en über diese Möglichkeit informiert wird.)
  • O.Auth 5  + (Der Evaluator prüft, ob dem Nutzer leicht zugänglich die Möglichkeit gegeben wird, Informationen zu Anmeldevorgängen nachzuvollziehen. Ist das nicht der Fall, sind die Abwägungen des Herstellers zu prüfen und in der Risikobewertung zu berücksichtigen.)
  • O.Plat 1  + (Der Evaluator prüft, ob der Hersteller einDer Evaluator prüft, ob der Hersteller eine Nutzung ohne aktivierten Geräteschutz zulässt. Ist das der Fall, prüft der Evaluator, ob der Nutzer angemessen über die daraus resultierenden Risiken aufgeklärt wird, und er berücksichtigt die Abwägungen des Herstellers in der Risikobewertung.en des Herstellers in der Risikobewertung.)
  • O.Plat 7  + (Der Evaluator prüft, ob der Nutzer angemesDer Evaluator prüft, ob der Nutzer angemessen über die Möglichkeit des Verbleibs von sensiblen Daten im Arbeitsspeicher informiert und über die daraus resultierenden Risiken aufgeklärt wird. Diese Informationspflicht schließt die Option aus O.Plat_8 mit ein. schließt die Option aus O.Plat_8 mit ein.)
  • O.Data 12  + (Der Evaluator prüft, ob der Nutzer angemessen über die Risiken einer aktiven Verbindung zum Hintergrundsystem bei gesperrtem Endgerät informiert wird.)
  • O.Pass 3  + (Der Evaluator prüft, ob der Nutzer die Möglichkeit hat, sein Passwort zu ändern und verifiziert, dass diese Funktionalität nicht zweckentfremdet werden kann.)