Sicherheit: EU warnt vor 50 Schwachstellen in Webstandards

PolitikSicherheitSicherheitsmanagement

Die europäische Security-Agentur fordert das Umschreiben und Ausbessern moderner Web-Standards. Selbst HTML5 sei betroffen, so ergab eine entsprechende Untersuchung.

Die »European Network and Information Security Agency«, kurz Enisa, veröffentlichte gerade ihren Ergebnisreport über die Web-Standards der nächsten Generation. Das Urteil fällt nicht allzu schmeichelhaft aus, denn trotz der fast fertiggestellten Entwicklungsarbeit sieht Enisa beim Thema Sicherheit noch einigen Verbesserungsbedarf.

»Viele der Spezifikationen erreichen leider schon bald den Point of no Return. Wir sollten also noch schnell die Gelegenheit ergreifen, scharf über die Web-Sicherheit nachzudenken und die entsprechenden Änderungen gleich einzuarbeiten, statt später eine Reparatur per Patch zu versuchen«, empfiehlt Giles Hogben, Co-Autor der Enisa-Untersuchung. Er fordert die Internetbranche auf,  jetzt ein Security-by-Design zuzulassen. Enisa untersuchte 13 aktuelle beziehungsweise kommende Standards des World Wide Web Consortium (W3C), inklusive HTML5, XHR und CORS (Cross Origin Communication Interfaces) sowie Widgets oder APIs etwa für Geo-Location.

Die Enisa-Untersuchung fand allein im HTML5-Code einige Probleme. So kritisieren die EU-Experten die Möglichkeit, dass der Click-Jacking-Schutz unterdrückt werden kann. Das dürfte möglicherweise etliche unbedarfte Surfer auf verseuchte Online-Formulare locken. Dann gebe es Stellen, wo der Zugriff auf sensitive Informationen nicht geschützt werde. Verbesserungen bei der Implementation, Erweiterungen der Zugriffskontrollen sowie des Zugangssystems (Permissions)
stehen auf der Änderungswunschliste der EU. Die W3C begrüßte die Enisa-Arbeit und versprach eine Weiterleitung an die relevanten Arbeitsgruppen.