Alle öffentlichen Logbücher

Dies ist die kombinierte Anzeige aller in d.hack geführten Logbücher. Die Ausgabe kann durch die Auswahl des Logbuchtyps, des Benutzers oder des Seitentitels eingeschränkt werden (Groß-/Kleinschreibung muss beachtet werden).

Logbücher
(neueste | älteste) Zeige ( | ) (20 | 50 | 100 | 250 | 500)
  • 15:21, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 7 (Die Seite wurde neu angelegt: „== Beschreibung == Falls die Web-Anwendung kostenpflichtige Funktionen anbietet, MUSS der Hersteller ein Konzept vorlegen, welches vorbeugt, dass Dritte die Zahlungsströme zur Nutzung von Anwendungsfunktionen zurückverfolgen können. == Kurzfassung == Profilbildung durch Nachverfolgung der Zahlungsströme durch Dritte. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob über die Nachverfolgung von Zahlungss…“)
  • 15:21, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 6 (Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung SOLL die Transaktionshistorie von kostenpflichtigen Leistungen im Hintergrundsystem ablegen. Die Transaktionshistorie, einschließlich der Metadaten, MUSS als sensibles Datum gemäß O.Purp_8 behandelt werden. == Kurzfassung == Ablage der sensiblen Transaktionshistorie im Hintergrundsystem. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft über praktische Tests und Quelltextan…“)
  • 15:21, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 5 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS den Nutzer in die Lage versetzen, zuvor erteilte Einverständnisse zurückzuziehen. == Kurzfassung == Entzug des Einverständnisses ermöglichen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung eine Liste mit allen vom Nutzer gegebenen Einverständniserklärungen anzeigt und diese nachträglich geändert werden kann. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 3 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS vor einer Zugriffsanforderung auf kostenpflichtige Ressourcen, das Einverständnis des Nutzers einholen. == Kurzfassung == Einverständnis des Nutzers vor einer Zugriffsanforderung auf kostenpflichtige Ressourcen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert, dass die Nutzung von Diensten, die zusätzliche Kosten für den Nutzer verursachen können (z.B. das Vers…“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 2 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS vor dem Ausführen kostenpflichtiger Leistungen das Einverständnis des Nutzers einholen. == Kurzfassung == Einverständnis des Nutzers vor dem Ausführen kostenpflichtiger Leistungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert, dass alle kostenpflichtigen Leistungen ausschließlich nach Bestätigung durch den Nutzer erbracht werden können. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Paid 1 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS für den Nutzer kenntlich machen, welche kostenpflichtigen Leistungen (z.B. Zusatzfunktionalitäten oder Premiumzugriffe) und welche kostenpflichtigen Ressourcen (z.B. SMS, Telefonate, mobile Daten) von der Anwendung angeboten oder verwendet werden. == Kurzfassung == Anzeige kostenpflichtiger Leistungen und Ressourcen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert…“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 18 (Die Seite wurde neu angelegt: „== Beschreibung == Im Browser persistierte Daten SOLLEN für weitere Hosts einer Domain unlesbar sein (d.h. Vermeidung von Domain-Cookies). == Kurzfassung == Vermeidung von Domain-Cookies. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator stellt sicher, dass persistierte Daten für weitere Hosts einer Domain unlesbar sind. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 17 (Die Seite wurde neu angelegt: „== Beschreibung == Für alle Formularfelder mit sensiblen Eingabedaten MUSS die Autocomplete-Funktion abgeschaltet sein. == Kurzfassung == Autocomplete-Funktion bei Formularfeldern. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator stellt sicher, dass für alle Formularfelder, in die sensible Daten eingegeben werden, die Autocomplete-Funktion deaktiviert ist. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 16 (Die Seite wurde neu angelegt: „== Beschreibung == Für alle Cookies, die sensible Daten enthalten, MUSS das Secure-Flag gesetzt sein. == Kurzfassung == Secure-Flag bei Cookies. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator stellt sicher, dass für alle Cookies, die sensible Daten enthalten, das Secure-Flag gesetzt ist. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 15 (Die Seite wurde neu angelegt: „== Beschreibung == Für alle Cookies, auf die nicht mittels JavaScript zugegriffen wird, MUSS das HTTP-Only-Flag verwendet werden. == Kurzfassung == HTTP-Only-Flag bei Cookies. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator stellt sicher, dass für alle Cookies, auf die nicht mittels JavaScript zugegriffen wird, das HTTP-Only-Flag gesetzt ist. == Lösungsansätze ==“)
  • 15:18, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 14 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS dem Nutzer die Möglichkeit geben, dass bei endgültiger Beendigung der Nutzung alle sensiblen Daten und anwendungsspezifischen Anmeldeinformationen auch im Hintergrundsystem vollständig gelöscht werden. Entscheidet sich der Nutzer, die Daten im Hintergrundsystem nicht zu löschen, MUSS eine für den primären Zweck angemessene maximale Verweildauer definiert sein. Der Nutzer MUSS über die Verweildauer informie…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 12 (Die Seite wurde neu angelegt: „== Beschreibung == Über die Nutzungsbedingungen der Web-Anwendung MUSS der Nutzer über das Risiko informiert werden, welches damit verbunden ist, dass im gesperrten Zustand des Endgeräts die Verbindung zum Hintergrundsystem weiter geöffnet bleibt, wenn der Nutzer sich nicht explizit ausgeloggt hat. == Kurzfassung == Information des Nutzers über die Risiken einer aktiven Verbindung mit dem Hintergrundsystem bei gesperrtem Endgerät. == Anmerkungen =…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 11 (Die Seite wurde neu angelegt: „== Beschreibung == Durch die Web-Anwendung kann der Zugriff für Dritte und die Speicherung des Bildschirms (z. B. Screenshots und Anzeigen für das App-Switching) nicht unterbunden werden. Über die Nutzungsbedingungen MUSS der Nutzer darüber informiert werden, dass sensible Daten über Screenshots oder Anzeigen für das App-Switching kompromittiert werden können. == Kurzfassung == Information des Nutzers über die Risiken bei Speicherung des Bildschi…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 10 (Die Seite wurde neu angelegt: „== Beschreibung == Sensible Daten DÜRFEN NICHT aus der Komponente, auf der sie erzeugt wurden, exportiert werden. == Kurzfassung == Kein Export von sensiblen Daten aus der Quelle. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob sensible Daten, bei denen keine Notwendigkeit für einen Export besteht, trotzdem exportierbar sind. Dies umfasst unter anderem private kryptografische Schlüssel. == Lösungsans…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 9 (Die Seite wurde neu angelegt: „== Beschreibung == Bei der Eingabe sensibler Daten über die Tastatur SOLL die Web-Anwendung unterbinden, dass Aufzeichnungen für Dritte erkennbar werden. == Kurzfassung == Zugriffsbeschränkung bei der Erhebung von sensiblen Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob erhobene sensible Daten anderen Anwendungen auf dem Gerät verfügbar gemacht werden oder Daten in öffentlichen Verzeichniss…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 8 (Die Seite wurde neu angelegt: „== Beschreibung == Bei der Erhebung von sensiblen Daten durch die Verwendung von Aufnahmegeräten (z.B. Kamera), MUSS vorgebeugt werden, dass andere Anwendungen darauf Zugriff erlangen könnten, etwa über eine Mediengalerie. == Kurzfassung == Zugriffsbeschränkung bei der Erhebung von sensiblen Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob erhobene sensible Daten anderen Anwendungen auf dem Ger…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 7 (Die Seite wurde neu angelegt: „== Beschreibung == Bei der Verwendung von Aufnahmegeräten (z. B. Kamera) MÜSSEN sämtliche Metadaten mit Datenschutz-Relevanz, wie etwa Rückschlüsse auf die GPS-Koordinaten des Aufnahmeorts, eingesetzte Hardware etc., entfernt werden. == Kurzfassung == Entfernung von Metadaten mit Datenschutzrelevanz. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung Daten erheben kann, die Metadaten enthal…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 6 (Die Seite wurde neu angelegt: „== Beschreibung == Die Speicherung und Verarbeitung von sensiblen Daten SOLL im Hintergrundsystem erfolgen. == Kurzfassung == Speicherung und Verarbeitung von sensiblen Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, welche Daten die Web-Anwendung permanent speichert bzw. verarbeitet. Er ermittelt das Risiko, das durch eine solche Speicherung und Verarbeitung in der Anwendung entsteht und nimmt es in d…“)
  • 15:15, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 5 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS die Grundsätze der Datensparsamkeit und Zweckbindung berücksichtigen. == Kurzfassung == Erhebung, Speicherung und Verarbeitung von ausschließlich für den Zweck der Anwendung notwendigen Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, welche Daten von der Anwendung erhoben, gespeichert und verarbeitet werden und stellt diese dem Zweck der Anwendung gegenübe…“)
  • 15:12, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 3 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung DARF Ressourcen, die einen Zugriff auf sensible Daten ermöglichen, gegenüber Dritten NICHT verfügbar machen. == Kurzfassung == Zugriff auf sensible Daten durch Dritte. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob die Anwendung Ressourcen zur Verfügung stellt, über die Dritte Zugriff auf sensible Daten erhalten können. Dies umfasst Daten in geteilten Speicherb…“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 2 (Die Seite wurde neu angelegt: „== Beschreibung == Exportiert der Nutzer sensible Daten unverschlüsselt MUSS der Nutzer durch die Web-Anwendung darauf aufmerksam gemacht werden, dass der Nutzer selbst die Verantwortung für die Datensicherheit dieser exportierten Daten übernimmt. == Kurzfassung == Verschlüsselung aller sensiblen Daten in Exports. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob es dem Nutzer möglich ist sensible Daten…“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Data 1 (Die Seite wurde neu angelegt: „== Beschreibung == Die Voreinstellung der Web-Anwendung MUSS die maximale Sicherheit bieten. == Kurzfassung == Maximale Sicherheit bei Werkseinstellung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft die Standardeinstellungen der Anwendung bei ihrer Installation. Das umfasst unter anderem die Berechtigungen des Betriebssystems, welche die Anwendung einfordert. Die Berechtigungen müssen dem Zweck der Anwendun…“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Tokn 5 (Die Seite wurde neu angelegt: „== Beschreibung == Wird eine Anwendungssitzung beendet, MUSS die Anwendung den Authentifizierungstoken sicher löschen und das Hintergrundsystem informieren. Dies gilt sowohl für das aktive Beenden durch den Benutzer (log-out), als auch für das automatische Beenden durch die Anwendung (vgl. [O.Auth_8] und [O.Auth_9)]. == Kurzfassung == Invalidierung des Session-Authentifizierungstoken zum Beenden der Anwendungssitzung. == Anmerkungen == ==== Prüftief…“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Tokn 4 (Die Seite wurde neu angelegt: „== Beschreibung == Die Web-Anwendung MUSS es dem Nutzer ermöglichen ein oder alle zuvor ausgestellten Authentifizierungstoken ungültig zu machen. == Kurzfassung == Invalidierung bereits ausgestellter Authentifizierungstoken. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung auf Anfrage des Nutzers, ein oder alle zuvor ausgestellten Authentifizierungstoken invalidiert. == Lösungsansätze ==“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Tokn 3 (Die Seite wurde neu angelegt: „== Beschreibung == Ein Authentifizierungstoken MUSS ausschließlich die von der Web-Anwendung erwarteten Felder enthalten. == Kurzfassung == Prüfung der Inhalte des Authentifizierungstokens. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Authentifizierungstoken die Standardkonformität einhalten und dass die Authentifizierungstoken ausschließlich vorgesehene Daten beinhalten. == Lösungsansätze ==“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Tokn 2 (Die Seite wurde neu angelegt: „== Beschreibung == Es DÜRFEN KEINE sensiblen Daten in ein Authentifizierungstoken eingebettet werden. == Kurzfassung == Authentifizierungstoken ohne Einbettung sensibler Daten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert, dass keine sensiblen Daten in ein Authentifizierungstoken eingebettet werden. == Lösungsansätze ==“)
  • 15:10, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Sess 4 (Die Seite wurde neu angelegt: „== Beschreibung == Wird eine Anwendungssitzung beendet, MUSS die Anwendung den Session-Identifier sicher löschen und das Hintergrundsystem informieren. Dies gilt sowohl für das aktive Beenden durch den Benutzer (log-out), als auch für das automatische Beenden durch die Anwendung (vgl. O.Auth_6 und O.Auth_7). == Kurzfassung == Löschen des Session-Identifiers zum Beenden der Anwendungssitzung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMI…“)
  • 15:08, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Tokn 1 (Die Seite wurde neu angelegt: „== Beschreibung == Das Authentifizierungstoken MUSS in einem sicheren Speicherbereich liegen (vgl. O.Sess_2). == Kurzfassung == Ablage des Authentifizierungstokens in einem geschützten Speicherbereich. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob Authentifizierungstoken ausschließlich in sicheren Speicherbereichen (vgl. O.Sess_2) abgelegt werden. Andernfalls wird die Aufbewahrung des Authentifizieru…“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Sess 3 (Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung MUSS es dem Nutzer ermöglichen einen oder alle zuvor ausgestellten Session-Identifier ungültig zu machen. == Kurzfassung == Invalidierung bereits ausgestellter Session-Identifier. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob die Anwendung dem Nutzer ermöglicht, einen oder alle zuvor ausgestellten Session-Identifier ungültig zu machen. == Lösungsansätze ==“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Sess 2 (Die Seite wurde neu angelegt: „== Beschreibung == Der Session-Identifier SOLL in einem sicheren Speicherbereich liegen. == Kurzfassung == Ablage von Session-Identifiern in einem sicheren Speicherbereich. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob der Session-Identifier in einem sicheren Speicherbereit gespeichert werden. Als sicherer Speicherbereich werden Mechanismen des genutzten Web-Browsers akzeptiert, die dafür Sorge tragen…“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Sess 1 (Die Seite wurde neu angelegt: „== Beschreibung == Das Session-Handling SOLL mittels sicherer Frameworks realisiert werden. == Kurzfassung == Session-Handling durch sicherere Frameworks. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob das Session-Handling durch ein sicheres Framework bereitgestellt wird. Andernfalls wird die Aufnahme der Implementierung des Session-Handlings geprüft und in die Risikobewertung aufgenommen. == Lösungsa…“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Pass 4 (Die Seite wurde neu angelegt: „== Beschreibung == Das Ändern und Zurücksetzen von Passwörtern MUSS protokolliert werden == Kurzfassung == Protokollierung und Information über Änderungen und Zurücksetzen von Passwörtern. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft das Vorhandensein und die Güte von zusätzlichen Informationen zur Protokollierung von Änderungen und dem Zurücksetzen von Passwörtern. == Lösungsansätze ==“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Pass 3 (Die Seite wurde neu angelegt: „== Beschreibung == Der Nutzer MUSS die Möglichkeit haben, sein Passwort zu ändern. == Kurzfassung == Möglichkeit zur Änderung des Passwortes. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob der Nutzer die Möglichkeit hat, sein Passwort zu ändern und verifiziert, dass diese Funktionalität nicht zweckentfremdet werden kann. == Lösungsansätze ==“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Pass 2 (Die Seite wurde neu angelegt: „== Beschreibung == Für die Authentifizierung mittels Benutzername und Passwort KANN die Stärke des verwendeten Passworts dem Nutzer angezeigt werden. Informationen über die Stärke des gewählten Passworts DÜRFEN NICHT in der Web-Anwendung oder im Hintergrundsystem persistiert werden. == Kurzfassung == Anzeige der Stärke des verwendeten Passworts. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob dem…“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Pass 1 (Die Seite wurde neu angelegt: „== Beschreibung == Bei einer Authentifizierung mittels Benutzername und Passwort MÜSSEN starke Passwortrichtlinien existieren. Diese SOLLEN sich am aktuellen Stand gängiger Best-Practices orientieren. == Kurzfassung == Durchsetzung starker Passwortrichtlinien. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob Passwortrichtlinien, welche dem aktuellen Stand der Technik entsprechen, eingesetzt werden. Andern…“)
  • 15:03, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Auth 11 (Die Seite wurde neu angelegt: „== Beschreibung == Für die Nutzer-Authentifizierung in der Anwendungssitzung KANN der zweite Faktor vom Hintergrundsystem-System erzeugt werden. == Kurzfassung == Erzeugung des zweiten Faktors durch das Hintergrundsystem. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Wird bei einer Zwei-Faktor-Authentisierung der zweite Faktor vom Hintergrundsystem in die Anwendung importiert (z.B. Time-Based One-Time Passwort (TOTP)), prüft d…“)
  • 15:00, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Auth 10 (Die Seite wurde neu angelegt: „== Beschreibung == Der Nutzer MUSS in den Nutzungsbedingungen der Web-Anwendung auf das Restrisiko hingewiesen werden, welches mit der Speicherung der Login-Credentials im Web- Browser oder auch einem anderen externen Programm für einen komfortableren Anmeldevorgang verbunden ist. == Kurzfassung == Information des Nutzers über das Restrisiko der Speicherung der Login-Credentials im Web-Browser. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHEC…“)
  • 15:00, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Auth 9 (Die Seite wurde neu angelegt: „== Beschreibung == Bei Änderung der Zugangsparameter SOLL der Nutzer über die zuletzt hinterlegten, gültigen Kontaktdaten über die Änderung informiert werden. Dem Nutzer SOLL über diesem Weg eine Möglichkeit geboten werden, die gemeldete Änderung zu sperren und nach entsprechender Authentifizierung neue Zugangsparameter zu setzen. == Kurzfassung == Information des Nutzers bei Änderung der Zugangsparameter. == Anmerkungen == ==== Prüftiefe ====…“)
  • 15:00, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Auth 8 (Die Seite wurde neu angelegt: „== Beschreibung == Die Authentisierungsdaten DÜRFEN NICHT ohne eine ausreichende Authentifizierung des Nutzers geändert werden. == Kurzfassung == Ausreichende Authentifizierung des Nutzers für Änderung der Authentisierungsdaten. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft, ob er ohne angemessene Authentifizierung die Authentisierungsdaten verändern kann. Dies betrifft auch einen Ablauf zum Passwort…“)
  • 15:00, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Auth 7 (Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung MUSS nach einer angemessenen Zeit in der sie aktiv verwendet wurde (active time) eine erneute Authentisierung fordern. == Kurzfassung == Erneute Authentifizierung nach angemessenen Zeit in der sie dauerhaft aktiv verwendet wurde. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert, dass nach einer der Anwendung angemessenen Zeit, in der sie dauerhaft aktiv verwendet wurde, eine…“)
  • 15:00, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Auth 6 (Die Seite wurde neu angelegt: „== Beschreibung == Die Anwendung MUSS nach einer angemessenen Zeit in der sie nicht aktiv verwendet wurde (idle time) eine erneute Authentisierung fordern. == Kurzfassung == Erneute Authentifizierung nach angemessenen Zeit in der sie nicht aktiv verwendet wurde. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator validiert, dass nach einer der Anwendung angemessenen Zeit, in der sie nicht aktiv verwendet wurde, eine erne…“)
  • 15:00, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Auth 5 (Die Seite wurde neu angelegt: „== Beschreibung == Dem Nutzer SOLL eine Möglichkeit gegeben werden, sich über ungewöhnliche Anmeldevorgänge informieren zu lassen. == Kurzfassung == Information des Benutzers über ungewöhnliche Anmeldeversuche. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft, ob dem Nutzer leicht zugänglich die Möglichkeit gegeben wird, Informationen zu Anmeldevorgängen nachzuvollziehen. Ist das nicht der Fall, sind d…“)
  • 15:00, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Auth 4 (Die Seite wurde neu angelegt: „== Beschreibung == Für die Bewertung eines Authentifizierungsvorgangs SOLLEN zusätzliche Informationen (z. B. das verwendete Endgerät, der verwendete IP-Adresse oder die Zeit des Zugriffs) mit einbezogen werden. == Kurzfassung == Zusätzliche Informationen bei Bewertung des Authentifizierungsvorgangs einbeziehen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft das Vorhandensein und die Güte von zusätzli…“)
  • 15:00, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Auth 3 (Die Seite wurde neu angelegt: „== Beschreibung == Jeder Authentifizierungsvorgang des Nutzers MUSS in Form einer Zwei-Faktor-Authentifizierung umgesetzt werden. == Kurzfassung == Zwei-Faktor-Authentifizierung. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft durch Quelltextanalyse und praktische Tests das Vorhandensein der Zwei-Faktor-Authentifizierung. Insbesondere prüft er, ob die verwendeten Faktoren aus unterschiedlichen Kategorien st…“)
  • 14:59, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Auth 1 (Die Seite wurde neu angelegt: „== Beschreibung == Der Hersteller MUSS ein Konzept zur Authentifizierung (Zwei-Faktor-basiert), Autorisierung (Rollenkonzept) und zum Beenden einer Anwendungssitzung dokumentieren. == Kurzfassung == Herstellerkonzept zur Authentifizierung von Anwendungssitzungen. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Evaluator prüft das vom Hersteller bereitgestellt Konzept zur Authentifizierung, Autorisierung und Beenden der Anwend…“)
  • 14:58, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Cryp 5 (Die Seite wurde neu angelegt: „== Beschreibung == Die Stärke der kryptographischen Schlüssel MUSS dem aktuellen Stand der Technik entsprechen (siehe [TR02102-1]). == Kurzfassung == Nutzung von starken kryptographischen Schlüsseln. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft die Stärke der verwendeten Schlüssel gegen den aktuellen Stand der Technik (vgl. [TR02102-1]). == Lösungsansätze ==“)
  • 14:58, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.Cryp 3 (Die Seite wurde neu angelegt: „== Beschreibung == Die Wahl kryptographischer Primitive MUSS passend zum Anwendungsfall sein und dem aktuellen Stand der Technik (siehe [TR02102-1]) entsprechen. == Kurzfassung == Passende Wahl der kryptographischen Primitive. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' EXAMINE ''' <br /> Der Evaluator prüft die Abwägungen des Herstellers zur Wahl der kryptographischen Primitive und prüft, ob diese dem aktuellen Stand der Technik entspreche…“)
  • 14:58, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.TrdP 3 (Die Seite wurde neu angelegt: „== Beschreibung == Externe Bibliotheken und Frameworks MÜSSEN durch den Hersteller regelmäßig auf Schwachstellen überprüft werden. Der Hersteller MUSS ein Sicherheitskonzept vorlegen, das bei Bekanntwerden von Schwachstellen anhand der Kritikalität eine geduldete Weiternutzung für die Anwendung festlegt. Nachdem die Übergangsfrist (Grace Period) abgelaufen ist, DÜRFEN die betroffenen Funktionen aus Bibliotheken und Frameworks bei bekannten Schwac…“)
  • 14:57, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.TrdP 2 (Die Seite wurde neu angelegt: „== Beschreibung == Externe Software, Bibliotheken und Frameworks MÜSSEN in der neusten oder der ihr vorhergehenden, verfügbaren „Stable“ -Version verwendet werden. == Kurzfassung == Verwendung der aktuellen Version bei externen Bibliotheken und Frameworks. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Hersteller stellt nach O.TrdP_1 dem Evaluator eine Liste eingesetzter externer Software, Frameworks und Bibliotheken zu…“)
  • 14:57, 23. Apr. 2024 92.196.168.196 Diskussion erstellte die Seite O.TrdP 1 (Die Seite wurde neu angelegt: „== Beschreibung == Der Hersteller MUSS eine zentrale und vollständige Liste von Abhängigkeiten durch externe Software, Bibliotheken und Frameworks führen. == Kurzfassung == Abhängigkeiten durch externe Software, Bibliotheken und Frameworks. == Anmerkungen == ==== Prüftiefe ==== <br /> :: ''' CHECK ''' <br /> Der Hersteller stellt eine Liste der eingesetzten externen Software, Frameworks und Bibliotheken inkl. der verwendeten Versionen bereit. Der…“)
(neueste | älteste) Zeige ( | ) (20 | 50 | 100 | 250 | 500)
Abgerufen von „https://dhack.labs.inf.fh-dortmund.de//index.php/Spezial:Logbuch