623 a Abfangen Temporärer Fehler, 479 Abgesicherter
Total Page:16
File Type:pdf, Size:1020Kb
Index A allow_url_fopen, 510 allow_url_include, 510 Abfangen temporärer Fehler, 479 Amazon.com, 409 abgesicherter monolithischer Kernel, 135 Ambient Authority, 99, 107, 158, 416, 446 ablaufbasierte Kontrolle, 104 Ambige Interfaces, 476 Abschalten von Javascript, 503 Analysis/Paralysis Pattern, 553 Absichern von Application-Servern, 347 Anfangs- bzw. Endspanne, 571 Absicherung der Ressourcen, 350 Angriffe Absicherung der Verbindungen, 349 Klassifikation, 12 Absicherung von Servern, 169 Angriffsformen Abwehr auf der Netzwerkschicht, 39 lokale, 15 Access Control Context, 95, 203, 214 Anreicherung von Privilegien, 152 Access Control Lists, 108, 118 Antipattern, 99, 473 Access Control Markup Language, 197 API in Form paarweiser Methoden, 509 Access Control Matrix, 564 Append-Only-Recht, 152 Access Control Policies, 195 Application Integration in Acegi, 295 SSO-Infrastruktur, 285 ACL, 108, 118, 291 Application Level Security, 262 Beispiel, 119 Application Server Malware, 119 LTPA, 335 Solitaire, 119 Application Server Security, 313 Active Object, 470 Application Tower, 230 Add-Ons, 445 Application-Server, 330 Administration, 174 Architektur, 318 Administrationsfunktion, 288 Authorisierungscode in der „after the fact“-Sicherheitsmechanismen, Applikation, 329 417 Beispielarchitektur, 320 AJAX, 69 Classloader, 325 Java Script Object Notation, 75 Concurrency, 316 On-Demand JavaScript, 74 Credentials für den Zugriff auf Techniken, 72 Backends, 329 XMLHttpRequest, 72 CSIv2, 318 aktionsintegrierte Sicherheit, 554 Delegation mit Neuerzeugung Alias-Antipattern, 25 des Subjects, 346 Alias-Definition, 475 Entry–Context-Diagramm, 325 „Alles oder Nichts“-Prinzip, 116 Formen der Authentisierung, 324 623 624 Index Identity Assertion, 334 auf Web2.0, 70 Identity Token, 334 Buffer Overflow, 30 initiale Authentisierung, 332 Cross-Site-Request-Forgery (XSRF), JAAS-Framework, 315 20 keine eigenen Threads erzeugen, 316 Cross-Site-Scripting (XSS), 18 Komponentenarchitektur, 316 durch Race Condition, 472 Multithreading, 316 externe, 18 Neuerstellung eines Subjects, 337 Genuine AJAX/Web2.0-Attacken, 79 POLA, 354 Lokale auf Applikationslevel, 30 Probleme mit ClassNotFound- neue Angriffsformen, 17 Exceptions, 327 Shatter Attack, 35 Reverse Proxy, 343 soziale, 67 Security-Context-Diagramm, 321 Surf Jacking, 23 Security-Interfaces, 328 Übersicht, 12 Separation of Concerns, 313 UNIX Shellscript und Utility-Attacken, Separation of Context, 313 36 Sicherheits-Framework, 330 Visual Spoofing, 25 Single-Sign-On, 319 War-Googling, 29 Subject Propagation, 345 XML-basiert, 24 Thread und Requestcontext, 316 Zeichencode, 25 Verwaltung von Credentials, 322 zeitliche Entwicklung, 15 Zertifikate, 339 Attacken im Navigator, 508 Application-Server-Cluster, 319 Aufgabe des Supervisors, 448 Application-Server-Verbund Aufmerksamkeit, 552 Subject-Erzeugung, 342 Ausführungsidentität, 257 Applikationsarchitektur Auslieferungszustand, 348 Aufruf von Sicherheitsprüfungen Aussagen, 403 vergessen, 233 Authentisierung in Web-Applikationen, Aufteilung in System und 278 Businesslogik, 276 Authentisierungscode in der Applikation, Businesslogik, 275 329 Eliminieren von Trusted Code, 479 Authentisierungs-Framework, 315 Eliminieren von Code, 479 Authentisierungsidentität, 257 Eliminieren von Fehlern, 478 Authentisierungsmethoden Multi-Tier, 233 Hierarchie, 16 sicherheitskritische Aspekte, 231 Authentisierungsobjekt, 289 Templates, 274 Authentisierungs-Token, 236 Wartbarkeit der Sicherheit, 233 Authorisierung, 186, 208 Arbeiten im Auftrag, 261 Authority, 433 Architektur Authority Reduction in Vista, 154 des OKWS-Web-Servers, 170 Authorization-Provider, 341 einer paravirtualisierten Lösung, 141 Automatic Processes, 553 eines Application-Servers, 318 automatisches Update, 535 Architekturschwäche, 509 automatisierte Testtools, 60 Argumentation für POLA, 106 Automobilbau, 91 ASLR, 33 Automobilindustrie, 120 Aspekte, 481 Automotive-Bereich Assertion, 404 OSGI, 365 Attacken, 70 Autorisierung, 290 Alias-Problem, 25 Autorisierungsidentität, 257 Angriff auf Password-File, 37 Autorität, 106 Application-DOS, 27 Autorität aus Designation, 556 auf Ebene der Semantik, 61 Autorität und Interaktion, 579 auf REST Architekturen, 21 Autoritäten, 403 Index 625 Autoritäten der Zugriffskontrolle, 197 Bundle, 366 Autoritätstrichter, 449, 455 Business Rule Engine, 196 Businesslogik, 274 B Bypass, 420 Bytecode Verifier, 188 Backend Security Defense in depth, 270 C unterschiedliche Views auf die Datensätze, 271 Caching, 412 Bedeutung der Identität des Ausführenden, Caja-Projekt, 530 207 Caller-Identity, 217 Bedrohungsmodelle für den Renderer, 529 Callgraph, 445 Behavior Rules, 590 Canaries, 32, 33 Behavior Sensitive, 456 Capabilities, 107, 111, 138, 426, 581 Beispiel für eine Closure, 443 Formen, 427 Beispiel OKWS-Web-Server, 169 Objekt Capabilities, 111 Beispielarchitektur eines Capability Applikationsservers, 320 Filedeskriptor, 152 Benutzbarkeit von Techniken und widerrufbar, 451 Mechanismen, 533 Capability Architecture, 526 Bequemlichkeit vs. Sicherheit, 545 Capability Safe, 530 Bestimmung der Gefährlichkeit, 433 Capability-basierte Architektur, Betriebssysteme 519, 524 Capabilities, 152 Capability-System, 437 Confused Deputy, 129 Cap-Browser, 523 durch VMs gesicherter Kernel, 136 Cap-Desk, 523 Isolation durch Trennung der Captcha, 71 Adressräume, 129 Card Reader Kernel-Datenstrukturen, 135 vorinstallierte Schlüssel, 377 Komponenten beim Microkernel, 132 Caretaker, 449 Mittel der Isolation, 129 Modellierung, 576 monolithischer Kernel, 131 Caretaker Sicherheitsbaustein, 576 Sicherheitsarchitektur, 127 CAS, 225 Treiberschema unter C, 136 Casts, 189 Beweisbare Plattformsicherheit, 610 Cell, 352 Bibliotheken Chain-of-Responsibility“-Pattern, 375 Classloader-Positionierung, 355 ChokePoint, 279 BinarySecurityToken, 397 Chroot, 152 bind(UserId, Passwort)-Aufruf, 282 Claim, 404 Blacklist, 420 Classloader, 199, 217 Blind Spot Bias, 550 Beispielcode, 367 Blindheit, 552 Default-Lookup-Policy, 326 breiter Zugang auf Daten, 270 Classloader-Hierarchie für Application- Browser, 504 Server, 327 Same Origin“-Prinzip, 78 Classloader-Vorgang, 188 Sicherheitsmodelle Internet Explorer, ClassNotFound-Exceptions, 327 Mozilla/Firefox, 78 CLDC, 380 Browser Memory Protetions, 32 C-Lists, 145 Browser Sicherheit Closures, 207, 440, 442 bösartiger Renderer, 521 Code Access Control in Application- Browserarchitektur, 504 Servern, 354 Buffer Overflows, 30 Code Access Security, 224 Beispielcode zur Erzeugung, 31 Code Security für Enterprise- Bug oder Architekturschwäche, 510 Applikationen, 223 626 Index Codeanalyse, 433 CSIv2, 255 codebasierte Policies, 203 Delegation, 339 Codepoint, 27 Token, 286 Abbildung auf Fonts, 26 Currying, 452 Abbildung auf Glyphs, 27 cognitive Biases, 550 D „Comet“-Anwendungen, 77 Community Sites, 78 Data Execution Protection, 33 Sicherheitsprobleme, 78 Datenbank-Views, 174 Complete Mediation, 291, 388, 428 Datenbankzugriff durch den Server, 359 Concurrency, 462 DBAccessPrincipal, 358 Concurrency und alternative Verfahren, DB-Proxies, 172 472 Deadlock, 465 Concurrent Constraint Programming, Deadlock-Problem, 465 578 Decentralized Mandatory Access Control, Conditioning, 552 153 Confinement, 447, 495, 570 Decorator, 451 Confirmation Bias, 550 Decorator Pattern, 221 Confused Deputy, 226, 421, 524 Deep Linking, 279 Confused-Deputy-Problem, 421, 580 De-Fakto, 571 Connected Limited Device Configuration „default-is-allow“ Logik, 494 (CLDC), 380 Default-is-deny, 94, 348 Connection Pool, 231 Default-Policy-Implementation, 198 Austauschen des Principals, 359 defensive consistency, 464 Identitätspropagation, 358 defensive correctness, 439 Constraints, 606 Degeneration von Architektur, 475 Container De-Jure, 570 Ausführungskontexte selber erstellen, deklarative Rollendefinition, 263 330 deklarative Security, 248 Container Managed Authentication, 288 deklarative Sicherheit Container Managed Security, 280 Designfragen, 268 Container-Architektur, 314, 317 deklaratives Modell der Zugriffskontrolle, Container-Managed-Authentisierung, 285 266 content-basierte Filterungen, 239 Delegation Continuation Passing, 472 durch Weitergabe von Credentials, 249 Control Sensitive, 456 implizites Vertrauen, 304 Convenience Interface, 447 Delegation mit Propagation des Subjects, Coordination Language, 466 346 Copy-Programm, 107 DEP, 33 CORBA-Infrastruktur, 232 Dependency-Injection-Prinzip, 138 crashme, 60, 145 Deputy Pattern, 593 Credential, 248, 551 Design der Benutzerschnittstelle, 555 Absicherung, 349 Design sicherer Systeme SSO-Schlüssel, 353 Grundprinzipien, 91 Verwaltung, 322 Regeln, 104 Credential-Diagramm, 323 Designation, 557 Cross Domain Proxy, 74 Designation und Autorität, 455 Cross Site Access Control, 23 Deskriptorsysteme, 145 Cross-Cell-Trust, 353 Diagramm, 449 Cross-Cutting Concern, 233 Die Kunst der Täuschung, 61 Cross-Site-Request-Forgery, 21 Diebold, 388 Cross-Site-Scripting Differenzierung des Take/Grant – Attacken, 18 Ansatzes, 574 Merkmale, 21 Digital Rights Management (DRM), 544 Index 627 direkte Authentisierung, 431 Propagation des Zugriffs durch Dirty Assignments, 440, 496 authentisierte User, 244 Discretionary vs. Mandatory, 544 Propagation von Identität, Recht und Diskreditierung von Capability-basierten Aufruf, 245 Systemen, 573 Requestvalidierung, 261 Diskussion der Spring Security Security, Sicherheitsprobleme Beispiel Search, 302 243 Dispatch-Funktion, 443 Endowment, 447 DLL-Hell, 327 End-to-End-Argument, 191 Domain, 258 End-to-End-Security, 229 Dominanz der heute gängigen Systeme, Enterprise Security, 229 418 Access