Alle öffentlichen Logbücher

Dies ist die kombinierte Anzeige aller in d.hack geführten Logbücher. Die Ausgabe kann durch die Auswahl des Logbuchtyps, des Benutzers oder des Seitentitels eingeschränkt werden (Groß-/Kleinschreibung muss beachtet werden).

Logbücher
(neueste | älteste) Zeige (jüngere 50 | ) (20 | 50 | 100 | 250 | 500)
  • 15:32, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Plat 8 (Die Seite wurde neu angelegt: „== Beschreibung == Der Nutzer MUSS über Sicherheitsmaßnahmen informiert werden, sofern diese durch den Nutzer umsetzbar sind. == Kurzfassung == Information des Nutzers über erforderliche Sicherheitsmaßnahmen zur Anwendung, Bibliotheken und Plattformen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob der Nutzer über selbst durchführbare Sicherheitsmaßnahmen informiert und ggf. angeleitet wird. Der Ev…“)
  • 15:32, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Ntwk 3 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS die Sicherheitsfunktionalität der jeweilig verwendeten Betriebssystem-Plattform mit Browser verwenden, um sichere Kommunikationskanäle aufzubauen. == Kurzfassung == Sichere Kommunikationskanäle nur mit Betriebssystem-Funktionen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob für den Aufbau sicherer Kommunikationskanäle auf Betriebssystem -Funktionen zurück…“)
  • 15:31, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 4 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung KANN für den Zugriff auf häufig verwendete, kostenpflichtige Ressourcen oder kostenpflichtige Leistungen ein dauerhaftes Einverständnis des Nutzers einholen, soweit dies dem primären Zweck der Anwendung angemessen ist. == Kurzfassung == Dauerhaftes Einverständnis des Nutzers auf häufig verwendete, kostenpflichtige Leistungen oder Ressourcen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br />…“)
  • 15:31, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 13 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung SOLL sicherstellen, dass bei ihrer Beendigung alle sensiblen Daten und anwendungsspezifischen Anmeldeinformationen im Web-Browser nicht mehr zugreifbar sind. Dies schließt insbesondere Cookies und Webstorage mit ein. == Kurzfassung == Enterfernen oder anderweitiges unzugänglich machen aller sensiblen Daten im Browser bei Beendigung der Web-Anwendung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <b…“)
  • 15:31, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 4 (Die Seite wurde neu angelegt: „== Beschreibung == Alle erhobenen sensiblen Daten DÜRFEN NICHT über die Dauer ihrer jeweiligen Verwendung hinaus in der Web-Anwendung gehalten werden. == Kurzfassung == Löschung aller erhobenen sensiblen Daten nach Abschluss der Verwendung durch die Anwendung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob Daten über den Zeitraum ihrer Verwendung hinaus in der Anwendung gehalten werden. Daten, die nic…“)
  • 15:28, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Resi 1 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS dem Nutzer barrierearme Best-Practice-Empfehlungen zum sicheren Umgang mit der Anwendung und ihrer Konfiguration bereitstellen. == Kurzfassung == Informationen zum sicheren Umgang mit der Anwendung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung „Best-Practices“ bereitstellt. Er bestätigt, dass vorhandene „Best-Practices“ dem aktuellen Stand…“)
  • 15:25, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Plat 7 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS den Nutzer über das Risiko informieren, dass ggf. nach Beendigung der Web-Anwendung nutzerspezifischen Daten im Arbeitsspeicher verbleiben können. == Kurzfassung == Information des Nutzers über den Verbleib von sensiblen Daten im Arbeitsspeicher. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob der Nutzer angemessen über die Möglichkeit des Verbleibs von sensib…“)
  • 15:25, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Plat 6 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS das Ausführen von JavaScript aus Quellen außerhalb der Kontrolle des Herstellers ablehnen. == Kurzfassung == Einschränkung von JavaScript auf Quellen innerhalb der Kontrolle des Herstellers. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft durch Quelltextanalyse und praktische Tests, ob die Web-Anwendung das Ausführen von injiziertem JavaScript ablehnt. == Lösung…“)
  • 15:25, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Plat 5 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung KANN dem Nutzer die Optionen bieten, erweiterte Meldungen und Benachrichtigungen zum Logging bzw. zur Fehleranalyse, ggf. auch mit sensiblen Inhalten, anzuzeigen. Bei Werkseinstellung MUSS diese deaktiviert sein. == Kurzfassung == Option zur Anzeige von Meldungen/Benachrichtigungen mit sensiblen Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Falls die Anwendung die Möglichkeit zur Anze…“)
  • 15:25, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Plat 4 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung DARF KEINE sensiblen Daten in erweiterten Meldungen oder Benachrichtigungen, die nicht vom Nutzer explizit eingeschaltet wurden (siehe O.Plat_5),anzeigen. == Kurzfassung == Keine sensiblen Daten in Meldungen oder Benachrichtigungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft anhand von Quelltextanalyse und generierten Log-Nachrichten, ob die Anwendung sensible Daten…“)
  • 15:25, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Plat 3 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS den Nutzer auf den rechtmäßigen Zweck der anzufragenden Berechtigungen und auf die Auswirkungen hinweisen, die eintreten, falls der Nutzer diese nicht gewährt. == Kurzfassung == Hinweis auf Zweck der Berechtigungen und Auswirkungen bei Nichterteilung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung auf den Zweck der geforderten Berechtigungen hinwe…“)
  • 15:25, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Plat 2 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung DARF Berechtigungen, die für die Erfüllung ihres primären Zwecks nicht notwendig sind, NICHT einfordern. == Kurzfassung == Nur Anforderung der für den primären Zweck notwendigen Berechtigungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft die von der Anwendung geforderten Berechtigungen und bestätigt, dass diese für die Erfüllung des primären Zwecks der Anwendun…“)
  • 15:25, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Plat 1 (Die Seite wurde neu angelegt: „== Beschreibung == Für die Nutzung der Web-Anwendung SOLL das Endgerät über einen aktivierten Geräteschutz (Passwort, Mustersperre, o. ä.) verfügen. Im Fall eines nicht aktivierten Geräteschutzes MUSS der Hersteller den Nutzer über die damit verbundenen Risiken aufklären. == Kurzfassung == Geräteschutz für die Nutzung der Anwendung erforderlich. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob de…“)
  • 15:25, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Ntwk 4 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung DARF Zertifikate NICHT akzeptieren, deren Zertifikatskette dem Hersteller nicht vertrauenswürdig erscheint [RFC7469]. == Kurzfassung == Unterstützung von Zertifikats-Pinning. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator validiert, dass die Anwendung Zertifikats-Pinning unterstützt und dieses wirksam umsetzt. == Lösungsansätze ==“)
  • 15:22, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Ntwk 2 (Die Seite wurde neu angelegt: „== Beschreibung == Die Konfiguration der TLS-Verbindungen MUSS dem aktuellen Stand der Technik entsprechen und aktuellen Best-Practice-Empfehlungen folgen (vgl. [TR02102-2]). == Kurzfassung == TLS-Konfiguration gemäß aktuellem Stand der Technik. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator validiert, dass die in O.Ntwk_1 beschriebene Kommunikation dem Stand der Technik (siehe [TR02102-2]) entspricht. Dies umfa…“)
  • 15:22, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Ntwk 1 (Die Seite wurde neu angelegt: „== Beschreibung == Jegliche Netzwerkkommunikation der Web-Anwendung MUSS durchgängig mit TLS verschlüsselt werden. == Kurzfassung == Netzwerkkommunikation ausschließlich TLS-verschlüsselt. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator validiert, dass ausschließlich verschlüsselte Kommunikation zwischen der Anwendung und anderen Komponenten möglich ist. == Lösungsansätze ==“)
  • 15:22, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 10 (Die Seite wurde neu angelegt: „== Beschreibung == Zahlverfahren von Drittanbietern MÜSSEN die Anforderungen an Drittanbieter-Software erfüllen (vgl. Kapitel 3.1.4). == Kurzfassung == Anforderungen bei Zahlverfahren von Drittanbietern. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft die Zahlverfahren durch Drittanbieter. Sowohl bei Bibliotheken oder Frameworks, als auch bei Web-Diensten wird geprüft, dass keine sensiblen Nutzerdaten an de…“)
  • 15:22, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 9 (Die Seite wurde neu angelegt: „== Beschreibung == Die Validierung von getätigten Bezahlvorgängen MUSS im Hintergrundsystem vorgenommen werden. == Kurzfassung == Validierung von getätigten Bezahlvorgängen im Hintergrundsystem. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft durch Quelltextanalyse und praktische Tests, ob die Anwendung eigenständig Bezahlungen validiert und beispielsweise kostenpflichtige Funktionen freischalten kann.…“)
  • 15:22, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 8 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS dem Nutzer eine Übersicht der entstandenen Kosten anbieten. Falls die Kosten aufgrund einzelner Zugriffe erfolgt sind, MUSS die Anwendung einen Überblick der Zugriffe aufführen. == Kurzfassung == Anzeige der Übersicht der entstandenen Kosten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung dem Nutzer eine Übersicht der entstandenen Kosten anbiete…“)
  • 15:21, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 7 (Die Seite wurde neu angelegt: „== Beschreibung == Falls die Web-Anwendung kostenpflichtige Funktionen anbietet, MUSS der Hersteller ein Konzept vorlegen, welches vorbeugt, dass Dritte die Zahlungsströme zur Nutzung von Anwendungsfunktionen zurückverfolgen können. == Kurzfassung == Profilbildung durch Nachverfolgung der Zahlungsströme durch Dritte. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob über die Nachverfolgung von Zahlungss…“)
  • 15:21, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 6 (Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung SOLL die Transaktionshistorie von kostenpflichtigen Leistungen im Hintergrundsystem ablegen. Die Transaktionshistorie, einschließlich der Metadaten, MUSS als sensibles Datum gemäß O.Purp_8 behandelt werden. == Kurzfassung == Ablage der sensiblen Transaktionshistorie im Hintergrundsystem. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft über praktische Tests und Quelltextan…“)
  • 15:21, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 5 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS den Nutzer in die Lage versetzen, zuvor erteilte Einverständnisse zurückzuziehen. == Kurzfassung == Entzug des Einverständnisses ermöglichen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung eine Liste mit allen vom Nutzer gegebenen Einverständniserklärungen anzeigt und diese nachträglich geändert werden kann. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 3 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS vor einer Zugriffsanforderung auf kostenpflichtige Ressourcen, das Einverständnis des Nutzers einholen. == Kurzfassung == Einverständnis des Nutzers vor einer Zugriffsanforderung auf kostenpflichtige Ressourcen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert, dass die Nutzung von Diensten, die zusätzliche Kosten für den Nutzer verursachen können (z.B. das Vers…“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 2 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS vor dem Ausführen kostenpflichtiger Leistungen das Einverständnis des Nutzers einholen. == Kurzfassung == Einverständnis des Nutzers vor dem Ausführen kostenpflichtiger Leistungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert, dass alle kostenpflichtigen Leistungen ausschließlich nach Bestätigung durch den Nutzer erbracht werden können. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 1 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS für den Nutzer kenntlich machen, welche kostenpflichtigen Leistungen (z.B. Zusatzfunktionalitäten oder Premiumzugriffe) und welche kostenpflichtigen Ressourcen (z.B. SMS, Telefonate, mobile Daten) von der Anwendung angeboten oder verwendet werden. == Kurzfassung == Anzeige kostenpflichtiger Leistungen und Ressourcen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert…“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 18 (Die Seite wurde neu angelegt: „== Beschreibung == Im Browser persistierte Daten SOLLEN für weitere Hosts einer Domain unlesbar sein (d.h. Vermeidung von Domain-Cookies). == Kurzfassung == Vermeidung von Domain-Cookies. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator stellt sicher, dass persistierte Daten für weitere Hosts einer Domain unlesbar sind. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 17 (Die Seite wurde neu angelegt: „== Beschreibung == Für alle Formularfelder mit sensiblen Eingabedaten MUSS die Autocomplete-Funktion abgeschaltet sein. == Kurzfassung == Autocomplete-Funktion bei Formularfeldern. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator stellt sicher, dass für alle Formularfelder, in die sensible Daten eingegeben werden, die Autocomplete-Funktion deaktiviert ist. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 16 (Die Seite wurde neu angelegt: „== Beschreibung == Für alle Cookies, die sensible Daten enthalten, MUSS das Secure-Flag gesetzt sein. == Kurzfassung == Secure-Flag bei Cookies. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator stellt sicher, dass für alle Cookies, die sensible Daten enthalten, das Secure-Flag gesetzt ist. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 15 (Die Seite wurde neu angelegt: „== Beschreibung == Für alle Cookies, auf die nicht mittels JavaScript zugegriffen wird, MUSS das HTTP-Only-Flag verwendet werden. == Kurzfassung == HTTP-Only-Flag bei Cookies. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator stellt sicher, dass für alle Cookies, auf die nicht mittels JavaScript zugegriffen wird, das HTTP-Only-Flag gesetzt ist. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 14 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS dem Nutzer die Möglichkeit geben, dass bei endgültiger Beendigung der Nutzung alle sensiblen Daten und anwendungsspezifischen Anmeldeinformationen auch im Hintergrundsystem vollständig gelöscht werden. Entscheidet sich der Nutzer, die Daten im Hintergrundsystem nicht zu löschen, MUSS eine für den primären Zweck angemessene maximale Verweildauer definiert sein. Der Nutzer MUSS über die Verweildauer informie…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 12 (Die Seite wurde neu angelegt: „== Beschreibung == Über die Nutzungsbedingungen der Web-Anwendung MUSS der Nutzer über das Risiko informiert werden, welches damit verbunden ist, dass im gesperrten Zustand des Endgeräts die Verbindung zum Hintergrundsystem weiter geöffnet bleibt, wenn der Nutzer sich nicht explizit ausgeloggt hat. == Kurzfassung == Information des Nutzers über die Risiken einer aktiven Verbindung mit dem Hintergrundsystem bei gesperrtem Endgerät. == Anmerkungen =…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 11 (Die Seite wurde neu angelegt: „== Beschreibung == Durch die Web-Anwendung kann der Zugriff für Dritte und die Speicherung des Bildschirms (z. B. Screenshots und Anzeigen für das App-Switching) nicht unterbunden werden. Über die Nutzungsbedingungen MUSS der Nutzer darüber informiert werden, dass sensible Daten über Screenshots oder Anzeigen für das App-Switching kompromittiert werden können. == Kurzfassung == Information des Nutzers über die Risiken bei Speicherung des Bildschi…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 10 (Die Seite wurde neu angelegt: „== Beschreibung == Sensible Daten DÜRFEN NICHT aus der Komponente, auf der sie erzeugt wurden, exportiert werden. == Kurzfassung == Kein Export von sensiblen Daten aus der Quelle. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob sensible Daten, bei denen keine Notwendigkeit für einen Export besteht, trotzdem exportierbar sind. Dies umfasst unter anderem private kryptografische Schlüssel. == Lösungsans…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 9 (Die Seite wurde neu angelegt: „== Beschreibung == Bei der Eingabe sensibler Daten über die Tastatur SOLL die Web-Anwendung unterbinden, dass Aufzeichnungen für Dritte erkennbar werden. == Kurzfassung == Zugriffsbeschränkung bei der Erhebung von sensiblen Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob erhobene sensible Daten anderen Anwendungen auf dem Gerät verfügbar gemacht werden oder Daten in öffentlichen Verzeichniss…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 8 (Die Seite wurde neu angelegt: „== Beschreibung == Bei der Erhebung von sensiblen Daten durch die Verwendung von Aufnahmegeräten (z.B. Kamera), MUSS vorgebeugt werden, dass andere Anwendungen darauf Zugriff erlangen könnten, etwa über eine Mediengalerie. == Kurzfassung == Zugriffsbeschränkung bei der Erhebung von sensiblen Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob erhobene sensible Daten anderen Anwendungen auf dem Ger…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 7 (Die Seite wurde neu angelegt: „== Beschreibung == Bei der Verwendung von Aufnahmegeräten (z. B. Kamera) MÜSSEN sämtliche Metadaten mit Datenschutz-Relevanz, wie etwa Rückschlüsse auf die GPS-Koordinaten des Aufnahmeorts, eingesetzte Hardware etc., entfernt werden. == Kurzfassung == Entfernung von Metadaten mit Datenschutzrelevanz. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung Daten erheben kann, die Metadaten enthal…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 6 (Die Seite wurde neu angelegt: „== Beschreibung == Die Speicherung und Verarbeitung von sensiblen Daten SOLL im Hintergrundsystem erfolgen. == Kurzfassung == Speicherung und Verarbeitung von sensiblen Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, welche Daten die Web-Anwendung permanent speichert bzw. verarbeitet. Er ermittelt das Risiko, das durch eine solche Speicherung und Verarbeitung in der Anwendung entsteht und nimmt es in d…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 5 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS die Grundsätze der Datensparsamkeit und Zweckbindung berücksichtigen. == Kurzfassung == Erhebung, Speicherung und Verarbeitung von ausschließlich für den Zweck der Anwendung notwendigen Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, welche Daten von der Anwendung erhoben, gespeichert und verarbeitet werden und stellt diese dem Zweck der Anwendung gegenübe…“)
  • 15:12, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 3 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung DARF Ressourcen, die einen Zugriff auf sensible Daten ermöglichen, gegenüber Dritten NICHT verfügbar machen. == Kurzfassung == Zugriff auf sensible Daten durch Dritte. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob die Anwendung Ressourcen zur Verfügung stellt, über die Dritte Zugriff auf sensible Daten erhalten können. Dies umfasst Daten in geteilten Speicherb…“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 2 (Die Seite wurde neu angelegt: „== Beschreibung == Exportiert der Nutzer sensible Daten unverschlüsselt MUSS der Nutzer durch die Web-Anwendung darauf aufmerksam gemacht werden, dass der Nutzer selbst die Verantwortung für die Datensicherheit dieser exportierten Daten übernimmt. == Kurzfassung == Verschlüsselung aller sensiblen Daten in Exports. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob es dem Nutzer möglich ist sensible Daten…“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 1 (Die Seite wurde neu angelegt: „== Beschreibung == Die Voreinstellung der Web-Anwendung MUSS die maximale Sicherheit bieten. == Kurzfassung == Maximale Sicherheit bei Werkseinstellung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft die Standardeinstellungen der Anwendung bei ihrer Installation. Das umfasst unter anderem die Berechtigungen des Betriebssystems, welche die Anwendung einfordert. Die Berechtigungen müssen dem Zweck der Anwendun…“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Tokn 5 (Die Seite wurde neu angelegt: „== Beschreibung == Wird eine Anwendungssitzung beendet, MUSS die Anwendung den Authentifizierungstoken sicher löschen und das Hintergrundsystem informieren. Dies gilt sowohl für das aktive Beenden durch den Benutzer (log-out), als auch für das automatische Beenden durch die Anwendung (vgl. [O.Auth_8] und [O.Auth_9)]. == Kurzfassung == Invalidierung des Session-Authentifizierungstoken zum Beenden der Anwendungssitzung. == Anmerkungen == ==== Prüftief…“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Tokn 4 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS es dem Nutzer ermöglichen ein oder alle zuvor ausgestellten Authentifizierungstoken ungültig zu machen. == Kurzfassung == Invalidierung bereits ausgestellter Authentifizierungstoken. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung auf Anfrage des Nutzers, ein oder alle zuvor ausgestellten Authentifizierungstoken invalidiert. == Lösungsansätze ==“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Tokn 3 (Die Seite wurde neu angelegt: „== Beschreibung == Ein Authentifizierungstoken MUSS ausschließlich die von der Web-Anwendung erwarteten Felder enthalten. == Kurzfassung == Prüfung der Inhalte des Authentifizierungstokens. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Authentifizierungstoken die Standardkonformität einhalten und dass die Authentifizierungstoken ausschließlich vorgesehene Daten beinhalten. == Lösungsansätze ==“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Tokn 2 (Die Seite wurde neu angelegt: „== Beschreibung == Es DÜRFEN KEINE sensiblen Daten in ein Authentifizierungstoken eingebettet werden. == Kurzfassung == Authentifizierungstoken ohne Einbettung sensibler Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert, dass keine sensiblen Daten in ein Authentifizierungstoken eingebettet werden. == Lösungsansätze ==“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Sess 4 (Die Seite wurde neu angelegt: „== Beschreibung == Wird eine Anwendungssitzung beendet, MUSS die Anwendung den Session-Identifier sicher löschen und das Hintergrundsystem informieren. Dies gilt sowohl für das aktive Beenden durch den Benutzer (log-out), als auch für das automatische Beenden durch die Anwendung (vgl. O.Auth_6 und O.Auth_7). == Kurzfassung == Löschen des Session-Identifiers zum Beenden der Anwendungssitzung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMI…“)
  • 15:08, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Tokn 1 (Die Seite wurde neu angelegt: „== Beschreibung == Das Authentifizierungstoken MUSS in einem sicheren Speicherbereich liegen (vgl. O.Sess_2). == Kurzfassung == Ablage des Authentifizierungstokens in einem geschützten Speicherbereich. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob Authentifizierungstoken ausschließlich in sicheren Speicherbereichen (vgl. O.Sess_2) abgelegt werden. Andernfalls wird die Aufbewahrung des Authentifizieru…“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Sess 3 (Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung MUSS es dem Nutzer ermöglichen einen oder alle zuvor ausgestellten Session-Identifier ungültig zu machen. == Kurzfassung == Invalidierung bereits ausgestellter Session-Identifier. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung dem Nutzer ermöglicht, einen oder alle zuvor ausgestellten Session-Identifier ungültig zu machen. == Lösungsansätze ==“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Sess 2 (Die Seite wurde neu angelegt: „== Beschreibung == Der Session-Identifier SOLL in einem sicheren Speicherbereich liegen. == Kurzfassung == Ablage von Session-Identifiern in einem sicheren Speicherbereich. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob der Session-Identifier in einem sicheren Speicherbereit gespeichert werden. Als sicherer Speicherbereich werden Mechanismen des genutzten Web-Browsers akzeptiert, die dafür Sorge tragen…“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Sess 1 (Die Seite wurde neu angelegt: „== Beschreibung == Das Session-Handling SOLL mittels sicherer Frameworks realisiert werden. == Kurzfassung == Session-Handling durch sicherere Frameworks. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob das Session-Handling durch ein sicheres Framework bereitgestellt wird. Andernfalls wird die Aufnahme der Implementierung des Session-Handlings geprüft und in die Risikobewertung aufgenommen. == Lösungsa…“)
(neueste | älteste) Zeige (jüngere 50 | ) (20 | 50 | 100 | 250 | 500)
Abgerufen von „https://dhack.labs.inf.fh-dortmund.de//index.php/Spezial:Logbuch/92.196.168.196