Attribut:Anmerkungen

Annotationen96

vorherige 20 20 50 100 250 500 nächste 20

Filter<p>Der <a rel="nofollow" class="external text" href="https://www.semantic-mediawiki.org/wiki/Help:Property_page/Filter">Filter für die Suche nach Datenwerten zu Attributen</a> unterstützt die Nutzung von <a rel="nofollow" class="external text" href="https://www.semantic-mediawiki.org/wiki/Help:Query_expressions">Abfrageausdrücken</a> wie bpsw. <code>~</code> oder <code>!</code>. Je nach genutzter <a rel="nofollow" class="external text" href="https://www.semantic-mediawiki.org/wiki/Query_engine">Abfragedatenbank</a> werden auch die groß- und kleinschreibungsunabhängige Suche oder auch folgende weitere Abfrageausdrücke unterstützt:</p><ul><li><code>in:</code>: Das Ergebnis soll den angegebenen Begriff enthalten, wie bspw. <code>in:Foo</code></li></ul><ul><li><code>not:</code>: Das Ergebnis soll den angegebenen Begriff nicht enthalten, wie bpsw. <code>not:Bar</code></li></ul>

Unterhalb werden 16 Seiten angezeigt, auf denen für dieses Attribut ein Datenwert gespeichert wurde.

O

O.Source 5 +

Der Evaluator prüft den Zugriff auf sensible Daten bei Exceptions im Programmablauf. Jeglicher identifizierte Zugriff muss in der Risikobewertung betrachtet werden. +

O.Source 6 +

Der Evaluator überprüft die produktive Anwendung auf Rückstände von Optionen zur Unterstützung der Entwicklung. +

O.Source 7 +

Der Evaluator überprüft die produktive Anwendung auf Rückstände von Zeichenketten, Debug-Mechanismen und -Informationen. +

O.Source 8 +

Der Evaluator stellt sicher, dass URL-Weiterleitungen kontrolliert verwendet werden. Keinesfalls darf der Link auf eine externe Seite hierbei die Session-ID enthalten. Ist die Liste der Weiterleitungs-URLs bekannt, darf auch nur auf diese weitergeleitet werden. Wenn möglich kann in diesen Fällen eine indizierte Liste auch serverseitig gehalten werden und die Weiterleitungs-URL dann über einen Index ermittelt werden. Eine Weiterleitung kann auch über eine dem Benutzer explizit angezeigte Webseite erfolgen, so dass der Benutzer selbst den Link vor dem aktiven Klick prüfen kann. Lokale Weiterleitungen sind daraufhin zu prüfen, dass die Ziel-URL nicht auf eine externe Seite führt. Wenn vermeidbar, sollte es dem Nutzer nicht selbst möglich sein, die Eingabe der Weiterleitungs-URL vorzunehmen. Ist es nicht vermeidbar, dass ein Nutzer selbst die Weiterleitungs-URL eingeben darf, muss diese umfassend daraufhin geprüft werden, dass sie gültig, zur Web-Anwendung passend und für den Nutzer zulässig ist. Wenn implementiert soll bevorzugt auf Whitelisting von erlaubten Adressen gesetzt werden und nicht auf Blacklisting. +

O.Source 9 +

Der Evaluator stellt durch Quelltextanalyse und praktische Tests sicher, dass die Web-Anwendung dem Stand der Technik entsprechende Maßnahmen ergreift, um ein ausführen von injizierten Funktionalitäten zu verhindern. Beispielsweise kann die Web-Anwendung als Gegenmaßnahme gegen Cross-Site-Request-Forgery (CSRF) Angriffe einen SessionCode (auch Synchronizer Token Pattern (STP) oder CSRF-Token) in jede URL als weiteren zufälligen (d.h. nicht erratbaren) Parameter in einem HiddenField einfügen. Auf Basis des SessionCodes kann das Hintergrundsystem die Gültigkeit der Anfrage zusätzlich prüfen. +

O.Tokn 1 +

Der Evaluator prüft, ob Authentifizierungstoken ausschließlich in sicheren Speicherbereichen (vgl. O.Sess_2) abgelegt werden. Andernfalls wird die Aufbewahrung des Authentifizierungstokens in die Risikobewertung aufgenommen. Authentifizierungstokens müssen auf dem Gerät vor Zugriffen durch Dritte geschützt sein. +

O.Tokn 2 +

Der Evaluator validiert, dass keine sensiblen Daten in ein Authentifizierungstoken eingebettet werden. +

O.Tokn 3 +

Der Evaluator prüft, ob die Authentifizierungstoken die Standardkonformität einhalten und dass die Authentifizierungstoken ausschließlich vorgesehene Daten beinhalten. +

O.Tokn 4 +

Der Evaluator prüft, ob die Anwendung auf Anfrage des Nutzers, ein oder alle zuvor ausgestellten Authentifizierungstoken invalidiert. +

O.Tokn 5 +

Der Evaluator prüft, ob das Authentifizierungstoken zum Beenden der Anwendungssitzung invalidiert wird. Hierzu testet er das Hintergrundsystem mit gültigen Abfragen, die den alten Authentifizierungstoken enthalten. +

O.TrdP 1 +

Der Hersteller stellt eine Liste der eingesetzten externen Software, Frameworks und Bibliotheken inkl. der verwendeten Versionen bereit. Der Evaluator prüft die bereitgestellte Liste auf Vollständigkeit. +

O.TrdP 2 +

Der Hersteller stellt nach O.TrdP_1 dem Evaluator eine Liste eingesetzter externer Software, Frameworks und Bibliotheken zur Verfügung. Diese wird vom Evaluator geprüft und in der Risikobewertung berücksichtigt. +

O.TrdP 3 +

Der Hersteller stellt eine Übersicht der letzten Schwachstellenanalyse der eingesetzten Frameworks und Bibliotheken bereit. Diese wird vom Evaluator geprüft und in der Risikobewertung berücksichtigt. Zusätzlich prüft der Evaluator, ob der Hersteller bei Auftreten von Schwachstellen eine Mitigationsstrategie im Rahmen einer angemessenen Grace-Period bereitstellt. +

O.TrdP 4 +

Der Evaluator prüft das Vorhandensein eines solchen Konzeptes. Eine inhaltliche Prüfung ist im Rahmen der TR nicht erforderlich. Zusätzlich prüft der Evaluator, ob der Hersteller eine Mitigationsstrategie bereitstellt. +

O.TrdP 5 +

Der Evaluator prüft die Maßnahmen des Herstellers zur Verifikation der Vertrauenswürdigkeit von Drittanbietern. +

O.TrdP 6 +

Der Evaluator prüft, ob eingehende Daten über Drittanbieter-Software als nicht vertrauenswürdige Quelle nach O.Source_1 behandelt werden und Sicherheitsfunktionen vorhanden sind. +