Minimalitätsprinzip (Webanwendungen)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Das Minimalitätsprinzip ist eine Art, Informationen in Webanwendungen so anzugeben oder zu kürzen, dass sie für einen potenziellen Angreifer oder „Hacker“ nur schwer oder gar nicht zugänglich sind, um die Verwundbarkeit durch Sicherheitslücken einzuschränken.

In der Regel ist es empfehlenswert, nur diejenigen Informationen bereitzustellen, die für die Anwendung bzw. den Benutzer notwendig sind. Darüber hinausgehende Informationen könnten unnötige Ansatzpunkte für eine Kompromittierung der Webanwendung liefern. Der Informationsgehalt von Demoanwendungen, die öffentlich zugänglich sind, ist unter Sicherheitsgesichtspunkten zu beurteilen und möglichst einzuschränken. Auf keinem Fall sind Demoanwendungen als Instanzen der Produktivanwendung bereitzustellen. Ausführliche Erklärungen sind nur dem an der Anwendung angemeldeten Benutzer zu geben. Hilfe-Seiten, die Informationen über Zusammenhänge von geschützten Anwendungen enthalten, dürfen zudem nur im geschützten Bereich zugreifbar sein.

Falsch: „Bitte geben Sie Ihren Benutzernamen und die 6-stellige PIN ein“
Richtig: „Bitte geben Sie Ihre Benutzerkennung und ihre PIN ein.“

Falsch: „Das eingegebene Passwort ist falsch“, falls die Benutzerkennung richtig und das Passwort falsch eingegeben worden sind
Richtig: „Login nicht möglich. Benutzerkennung oder Passwort nicht korrekt.“

Falsch: „Der Benutzer existiert nicht“, falls die Benutzerkennung nicht existiert.
Richtig: „Login nicht möglich. Benutzerkennung oder Passwort nicht korrekt.“

Falsch: Eintrag auf der Hilfe-Seite: „Geben Sie hier Ihre Kundennummer ein. Sie finden die Kundennummer links oben auf jeder Rechnung. Es ist die 5-stellige Zahlenfolge, die mit einem K beginnt.“
Richtig: Verzicht auf die exakten Angaben über Formate, Längen, Datentypen und Informationen, aus denen auch ein Außenstehender Hinweise für deren Erlangung entnehmen kann. Stattdessen „... in der Form, wie wir es Ihnen in unserem Anschreiben mitgeteilt haben.“

  • Mario Heiderich, Christian Matthies, Johannes Dahse: Sichere Webanwendungen. 1. Auflage. Galileo Press, Bonn 2009, ISBN 978-3-8362-1194-9.