Attribut:Anmerkungen

Aus d.hack

Text

vorherige 202050100250500nächste 20
Unterhalb werden 20 Seiten angezeigt, auf denen für dieses Attribut ein Datenwert gespeichert wurde.
O
O.Plat 6 +
Der Evaluator prüft durch Quelltextanalyse und praktische Tests, ob die Web-Anwendung das Ausführen von injiziertem JavaScript ablehnt.  +
O.Plat 7 +
Der Evaluator prüft, ob der Nutzer angemessen über die Möglichkeit des Verbleibs von sensiblen Daten im Arbeitsspeicher informiert und über die daraus resultierenden Risiken aufgeklärt wird. Diese Informationspflicht schließt die Option aus O.Plat_8 mit ein.  +
O.Plat 8 +
Der Evaluator prüft, ob der Nutzer über selbst durchführbare Sicherheitsmaßnahmen informiert und ggf. angeleitet wird. Der Evaluator bewertet, ob die Maßnahmen ausreichend sind, um Restrisiken zu begrenzen.  +
O.Purp 1 +
Der Evaluator prüft, ob eine Beschreibung vorhanden ist und diese den rechtmäßigen Zwecken der Anwendung entspricht. Dabei werden die vom Hersteller definierten rechtmäßige Zwecke als Grundlage genutzt. Eine juristische Prüfung der Rechtmäßigkeit ist nicht erforderlich.  +
O.Purp 2 +
Der Evaluator prüft, ob alle Daten die erhoben und den rechtmäßigen Zwecken der Anwendung entsprechen. Dabei werden die vom Hersteller definierten rechtmäßige Zwecke als Grundlage genutzt. Eine juristische Prüfung der Rechtmäßigkeit ist nicht erforderlich.  +
O.Purp 3 +
Der Evaluator prüft, ob ohne Zustimmung des Nutzers personenbezogene Daten verarbeitet werden können.  +
O.Purp 4 +
Der Evaluator gleicht die in O.Purp_2 gewonnen Erkenntnisse mit den erteilten Zustimmungen ab.  +
O.Purp 5 +
Der Evaluator prüft, ob dem Nutzer die Möglichkeit gegeben wird erteilte Einwilligungen wieder zu entziehen. Darüber hinaus validiert er, dass der Nutzer beim Entzug von Einwilligungen auf die daraus resultierenden Konsequenzen hingewiesen wird.  +
O.Purp 6 +
Der Evaluator prüft das Vorhandensein, die Aktualität und die Vollständigkeit des Verzeichnisses.  +
O.Purp 8 +
Der Evaluator prüft die Abwägungen des Herstellers, ob die Weitergabe von sensiblen Daten an Dritte dem primären Zweck für die Anwendung dient. Darüber hinaus prüft er, ob die Weitergabe immer explizit durch den Nutzer erlaubt werden muss (Opt-In). Die Weitergabe an Dienste, deren primärer Zweck die Verarbeitung von Daten für Werbezwecke ist, ist generell verboten. Die Risikobewertung berücksichtigt, wie die Weitergabe von Daten an Dritte im Verhältnis zum Schutzbedarf der weitergeleiteten Informationen (Daten) und der daraus resultierenden Gefahr der Preisgabe von Informationen steht. Die Nutzung durch Dritte könnte z.B. im Aufruf von Cookies, Bannern von Dritten oder die Umleitung von Formular-Input über Webseiten von unbeteiligten Parteien bestehen.  +
O.Purp 9 +
Der Evaluator prüft die Abwägungen des Herstellers, ob die Darstellung von sensiblen Daten zum gegebenen Zeitpunkt für die Erfüllung des Zwecks der Anwendung erforderlich ist. Für die Risikobewertung ist zu berücksichtigen, wie die Anwendung den Nutzer davor schützt, sensible Daten anzuzeigen (vergleiche T.VisibleAsset). Bei Formularen muss die Web-Anwendung den Web-Browser anweisen, die Eingabe bei sensiblen Daten auszublenden (type="password") und Eingaben geeignet zu behandeln.  +
O.Resi 1 +
Der Evaluator prüft, ob die Anwendung „Best-Practices“ bereitstellt. Er bestätigt, dass vorhandene „Best-Practices“ dem aktuellen Stand der Technik entsprechen.  +
O.Resi 2 +
Der Evaluator überprüft, ob der Nutzer angemessen über die Risiken einer Verwendung von Geräten mit eingeschränkten Sicherheitsleistungen informiert wird.  +
O.Sess 1 +
Der Evaluator prüft, ob das Session-Handling durch ein sicheres Framework bereitgestellt wird. Andernfalls wird die Aufnahme der Implementierung des Session-Handlings geprüft und in die Risikobewertung aufgenommen.  +
O.Sess 2 +
Der Evaluator prüft, ob der Session-Identifier in einem sicheren Speicherbereit gespeichert werden. Als sicherer Speicherbereich werden Mechanismen des genutzten Web-Browsers akzeptiert, die dafür Sorge tragen, dass die Daten nur innerhalb der aktuellen Session selbst gelesen werden können und mit Beendigung der Session gelöscht werden.  +
O.Sess 3 +
Der Evaluator prüft, ob die Anwendung dem Nutzer ermöglicht, einen oder alle zuvor ausgestellten Session-Identifier ungültig zu machen.  +
O.Sess 4 +
Der Evaluator prüft, ob der Session-Identifier zum Beenden der Anwendungssitzung gelöscht wird. Hierzu testet er das Hintergrundsystem mit gültigen Abfragen, die den alten Session-Identifier enthalten.  +
O.Source 1 +
Der Evaluator prüft, ob alle Eingaben aus nicht vertrauenswürdigen Quellen vor ihrer Verwendung dem Stand der Technik entsprechend geprüft werden. Eingaben meinen jegliche Art von Daten, die in die Anwendung hineinfließen. Das sind zum Beispiel Nutzereingaben, Eingaben aus Drittanbieterkomponenten etc.  +
O.Source 2 +
Der Evaluator prüft, ob eine Escape-Syntax von strukturierten Daten für alle Eingaben vorhanden ist. Schadhafte Zeichen sind kontextabhängig zu betrachten. Im Datenbank-Kontext sind beispielsweise Hochkommata oder Prozentzeichen gegebenenfalls schadhaft, während im Web/HTML Kontext eher Tag-Klammern (<) schadhaft sind. Grundsätzlich muss die Input-Validierung daher kontextbezogen stattfinden. Wird eine potenziell schädliche Eingabe erkannt, muss sie entweder bereinigt/maskiert oder abgelehnt/verworfen werden. Das Verwerfen sollte dem Bereinigen vorgezogen werden. Sofern vorher maskierte oder bereinigte Eingaben weitergegeben werden, müssen diese so maskiert oder enkodiert werden, dass sie im Kontext der Weitergabe keine schädlichen Effekte haben.  +
O.Source 4 +
Der Evaluator prüft durch Quelltextanalyse und praktische Tests die kontrollierte Behandlung und Dokumentation von Exceptions.  +
Abgerufen von „https://dhack.labs.inf.fh-dortmund.de//index.php?title=Attribut:Anmerkungen&oldid=966