# JSF - Auf was muss in Bezug auf Sicherheit geachtet werden??



## xumbu (4. Feb 2014)

Servus...





Eine Beispielsznario:

Angenommen ich würde ein Shopsystem entwickeln, auf was müsste ich achten?

*
1. SQL.Injections -> müssten durch die richtige Nutzung von Hibernate abgesichert sein.*

*
2. Cross-Site-Scripting -> ist jetzt auch nichts wofür man ein extra Framework braucht (wenn das in meinem Fall nicht sogar durch Primefaces vorgebeugt wird)*

Vielleicht stell ich mir das ganze ja zu einfach vor - 
  - aber der einzige Punkt der mir neben den anderen beiden einfällt wäre, dass der Angreifer sich Zugriffsrechte besorgt, die nicht für ihn bestimt sind. 

Hierbei hätte ich gedacht, dass ein einfaches Login:
ueberpruefen von Benutzername+Passwort  (am besten über https)
und bei Erfolg den User in der SessionScoped ManageBean eintragen 
+ über die ManagedBeans abfragen ob der 'User' der aktuellen Session die benötigten Rechte hat 
_(Eventuel noch Session-ID und IP adresse vergleichen und bei Login eine neue Session anlegen)_
ausreichend wäre.    



*Was könnte jetzt noch schief gehen?*
Mir fällt erstmal nichts mehr ein.
Aber bestimmt vertu ich mich da!?? Ich meine... wieso sollte es extra die Frameworks wie Spring Security geben, wenn das so einfach wäre??

???:L

Also nochmal ganz kurz: hab ich an alles gedacht oder komme ich nicht drum rum weitere Sicherheitsmaßnahmen zu "ergreifen" :autsch:


----------



## JavaMeister (4. Feb 2014)

installiere dir einen der hunderte fertigen Shop systeme.

noch besser ist eins zu mieten.


----------



## xumbu (4. Feb 2014)

Neee nee.  Es soll sschon was eigenes sein. 
Ich mach das ganze ja um was zu lernen. ... 
würde mein ziel also n bisschen verfehlen


----------



## xumbu (4. Feb 2014)

keiner hier der kurz was dazu sagen kann? ;(


----------



## JavaMeister (4. Feb 2014)

Ja das ist doch so ein sinnlos Thema.

Wenn man hier alle wieder rumkauen muss, was man bereits hundert male Diskutiert hat.

Es ist ja schön und alles das du das machen willst. Du kannst ja hier auch vieles lernen, aber im punkto Sicherheit wohl eher nur so Oberflächliche sachen.


----------



## xumbu (5. Feb 2014)

also sinnlos find ich das jetzt absolut nicht 

wenn ich hier im punkto sicherheit nicht viel lernen kann, kann mich ja evtl jemand auf ne Seite verweisen wo ich es kann.... 

bei google stoß ich nur auf unendlich viele Seiten was die Sicherheit angeht, da weiß man gar nicht wo man anfangen soll...  .. meistens sinds wahrscheinlich auch nur verschiedene Ansätze für das gleiche Problem. 
Und die Zeit alles hundert mal mit verschiedenen Methoden abzusichern bzw das zu lernen hat glaub ich keiner. :noe:


Also mir fehlt da einfach son bisschen der strukturierte Überblick über mögliche Gehfahren in einer Webanwendung...

*Ne kurze auflistung auf was man achten sollte würde mir schon reichen *


----------



## mjustin (5. Feb 2014)

Als Lesetipps habe ich hier die OWASP Top 10 (Deutschsprachige Übersetzung des "German Chapter"), und die Vorabversion des Bausteins Webanwendungen des BSI:


https://www.owasp.org/index.php/Germany/Projekte/Top_10_fuer_Entwickler
https://www.owasp.org/index.php/Germany/Projekte
https://www.owasp.org/index.php/OWASP_Review_BSI_IT-Grundschutz_Baustein_Webanwendungen
https://www.bsi.bund.de/SharedDocs/...versionen/Baustein_Webanwendungen_Entwurf.pdf

Auf den BSi Seiten führt der Suchbegriff "web-anwendungen" noch zu anderen PDFs mit Empfehlungen.

Falls formularbasierte Anmeldung verwendet wird, ist hier noch eine Vielzahl Praxistipps:

http - The definitive guide to form based website authentication - Stack Overflow


----------



## xumbu (5. Feb 2014)

Na das ist doch schonmal was :rtfm:

Danke


----------

