Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in /kunden/349566_51067/webseiten/4ap.de/framework/class.database.php on line 61
4AP.de ~ alles fuer ABAP-Programmierer - Infos zur SAP Programmiersprache - Sicherheit
 

4AP.de ~ alles fuer ABAP-Programmierer - Infos zur SAP Programmiersprache


Suche



 

Sicherheit

Sicherheit für den ABAP-Entwickler im Internet



Wer noch immer ohne 'personal firewall' im Internet unterwegs ist dem ist eh nicht mehr zu helfen. Mir gefällt die 'Kerio Personal Firewall', oder auch die 'Agnitum Outpost Firewall' da man bei denen fast alles einstellen kann und diese beiden auch einen vernüftigen Web-Filter haben. Momentan benutze ich die 'Sygate Personal Firewall'.




Es wird immer schlimmer!!! Aber Polemik nützt nicht, deshalb ein paar durchaus ernst gemeinte und wichtige Tipps (nicht nur) für den Internet Explorer [ bei über 85% Marktanteil mögen mir die Netscaper / Mozilla-User diese einseitige Betrachtung verzeihen :-( ], sie haben ja auch schon einen von Haus aus ziemlich sicheren Browser (wer sich die ganze Einstellerei sparen will kann auch auf Mozilla/Firebird wechseln; nur für Notfälle {wenn mal wieder jemand zu blöd zum Programmieren war, oder der Website-Auftraggeber zu ignorant :-( } wird dann noch der IE benutzt):
  • Ganz wichtig vorneweg: man sollte natürlich nie als Administrator oder mit Administrator-Rechten seinen PC bedienen. Also einen weiteren User anlegen, der keine weitgehenden Rechte hat, also z.B. keine Software installieren darf, und nur mit diesem arbeiten. O.K. das ist ein wenig hinderlich aber absolut notwendig.
  • Browsereinstellungen: Über "Extras - Internetoptionen" sollte man dringend im Registerblatt 'Sicherheit' die Weltkugel = Internet markieren und die Sicherheitsstufe auf hoch setzen. Danach 'Stufe anpassen' klicken und alles wo Aktive-X steht auf Deaktivieren setzen! Nur so ist man z.B. einigermaßen vor 0190/0900er-Dialern etc. geschützt. Für Webseiten die danach nicht mehr richtig "funktionieren": [sie sind zwar eigentlich nur schlecht programmiert, aber den Exkurs lassen wir hier mal außen vor] kann man die URL unter "Vertrauenswürdige Sites" eintragen. Es funktioniert dann allerdings auch nicht mehr die automatische Anzeige von PDF-Dokumenten! Wen das zu sehr stört der kann ja die Option 'Aktive-X Steuerelemente und Plugins ausführen' auf bestätigen setzen (und wird sich wundern auf wie vielen Internetseiten diese unseligen Aktive-X-Sachen vorkommen; meistens völlig ohne Zwang, d.h. die Seite funktioniert auch wunderbar ohne Aktive-X).
    Zusätzlich 'Aktive Scripting' deaktivieren sowie 'Installation von Desktopobjekten' deaktivieren.
  • im gleichen Registerblatt 'Sicherheit' kann man im oben Fenster die Zone 'vertrauenswürdige Sites' anwählen. Hier können dann die Rechte anders vergeben werden (z.B. Aktive-X überall auf 'Bestätigung' setzen). Danach über den Button 'Sites' die Internetadressen eintragen, die als vertrauenswürdig angesehen werden: z.B. http://windowsupdate.microsoft.com (wichtig, da hier dringend Aktive-X gebraucht wird!), *.sap.com etc. Die Site 4ap.de muss NICHT genannt werden: ich setze keine aktiven Inhalte o.ä. ein!
  • ab jetzt wieder für die Sicherheitszone 'Internet': über 'Stufe anpassen' etwas weiter unten den Schriftartendownload deaktivieren (die Einstellungen für 'vertrauenswürdige Sites' je nach Bedarf anpassen).
  • Innerhalb des 'Stufe anpassen'-Dialoges den Radiobutton für 'Microsoft VM - Java-Einstellungen' auf benutzerdefiniert setzen und folgendes einstellen: über den Button 'Java-Einstellungen' (nur bei Benutzerdefiniert unten zu sehen) auf das Registerblatt 'Zugriffsrechte bearbeiten' wechseln. Hier für nicht signierte Inhalte 'deaktiviert' anwählen. Ebenso für signierte Inhalte. Alle Seiten, welche die geänderten Funktionen benötigen, dann unter 'vertrauenswürdige Sites' eintragen.
  • das Scripting von JAVA-Applets auf 'Eingabeaufforderung' stellen
  • 'Ziehen und Ablegen oder Kopieren und Einfügen von Dateien' deaktivieren
  • Cookies allgemein: also ich habe die gespeicherten Cookies immer deaktiviert. Aber richtig schlimm sind sie eigentlich nicht. Schwierigkeiten machen manche URLs [z.B. help.sap.com], die gespeicherte Cookies benötigt. Auch andere nette Seiten wollen einen gar nicht teilnehmen lassen ohne Cookies.Zur Not die Kekse im Benutzerprofil oder im Verzeichnis der Temporären Internetdateien von Hand löschen.
  • Cookies IE: Ab Version 6 des IE kann man über den Button 'Bearbeiten' auf dem Registerblatt 'Datenschutz' einzelnen Seiten gezielt erlauben Cookies zu setzen, ebenso das auch für einzelne Seiten gezielt ausschließen.
  • Autoausfüllen: das ist eine ziemlich linke Kiste von MS. Sobald man den Browser neu installiert o.ä. ist defaultmäßig das Speichern von Kennwörtern wieder aktiv. Hier unter "Extras - Internetoptionen" auf dem Registerblatt 'Inhalte' den Button 'AutoverVollständigen' klicken und die Checkboxes vor "Benutzernamen..." löschen.
  • Kredikartenangaben: also da ist meistens wirklich eine ganze Menge Panik mit im Spiel. Sobald es sich um einen bekannten Anbieter handelt und die Übertragung verschlüsselt ('HTTPS' bzw. Schlosssymbol) erfolgt, spricht NICHTS dagegen die Kreditkartennummer zu hinterlassen. Der Gang zum netten Italiener an der Ecke ist da wesentlich gefährlicher: der Kellner bekommt die ganze Karte in die Hand und läuft damit weg! So eine Karte ist sehr schnell kopiert! Mich persönlich wundert es sehr, dass ich am Jahresende kein Geschenk von z.B. meinem Tankwart bekomme, schließlich weiß der ja ganz genau welche Kartennummer welchen Umsatz generiert! Und ob der jetzt einmal mehr abbucht ...
  • Virenscanner: wer keine sich selber täglich updatenden Virenscanner auf seinen Firewalls/ Servern / Workstations einsetzt, dem ist nicht mehr zu helfen. Im privaten Bereich nicht sorgloser sein!
  • Browsereinstellungen: Über "Extras - Internetoptionen" sollte man dringend im Registerblatt 'Erweitert' die Checkboxen im Bereich 'Sicherheit' einer kritischen Prüfung unterziehen (z.B. 'verschlüsselte Seiten auf der Festplatte speichern' etc).
  • der Menüpunkt 'META-Refresh' im Registerblatt 'Sicherheit', Stufe 'Internet', Button 'Stufe anpassen' sollte eigentlich auf 'Deaktivieren' stehen (wegen Dialer-Schutz etc). Das ist aber im täglichen Leben sehr hinderlich, da sehr viele Seiten mit META-Refresh arbeiten. Profis schauen dann bei *leeren* Seiten halt kurz im Quelltext der Seite nach.
  • Zu Hause sollte man dringend, besonders wer Kinder hat, vom Telefonprovider die Einwahl zu allen 'frei tarifierbaren' Nummern sperren lassen (es gibt neben 0190* auch noch andere 'frei tarifierbare' Nummernkreise, z.B. 0900*, 0180*, 0191*, 0192*, 0193*, 012*, 013* und 118*. etc.). Man braucht diese Nummernkreise nicht wirklich. Das Sperren ist der EINZIG wirksame Schutz gehen Dialer etc. Den User von 0190-Diensten sei gesagt: man kann auch immer mit Kreditkarte bezahlen! ACHTUNG: nicht 019* sperren!!! Sonst funktionieren fast alle Call-by-Call-Provider für das Internet nicht (die benutzen i.d.R. 0191*).
  • Patches: regelmäßig die Option "Windows-Update" verwenden. Jeden zweiten Mitwoch kommen neue Sicherheitspatches heraus. Diese müssen installiert werden! Auf jeder Maschine!
  • Als Softwareentwickler sollte man dringend auf so unnötige Sachen wie Aktive-X, Cookies, Flash, Shockwave usw. verzichten. Zum einen funktionieren sie schlicht und einfach bei vielen Usern nicht, zum anderen machen sie auch einige "Löcher" auf, die lieber gestopft blieben. Auf alle Fälle immer eine Alternative anbieten [z.B. <NOFLASH> etc.] UND DIESE AUCH TESTEN!
  • ITS-Server / WAS-Server: wenn man es gescheit anstellt kann man so etwas zur Not auf NT installieren. Dann aber unbedingt eine Firewall verwenden und alle unnötigen Dienste (z.B. Telnet!!!) und unbenutzten Ports (auch UDP!!) abschalten. Dazu gibt es genügend Literatur im Internet und sogar bei MS.
  • Sehr viele Angriffe erfolgen über denm Windows-Nachrichtendienst. Ich kenne niemanden, der den privat benutzt, und auch die Unternehmen in denen ich arbeite schicken eher eine eMail wie eine Systembenachrichtigung. Also diesen unnützen Dienst einfach abschalten: Start -> Einstellungen -> Systemsteuerung -> Verwaltung -> Computerverwaltung -> Dienste -> Nachrichtendienst -> Eigenschaften -> Starttyp: Deaktiviert -> Übernehmen
  • Auch dringend anzuwenden: Spybot von Patrik Kolla aus Bochum [Download]. Diese Freeware entfernt alle Einträge von Werbe- und Spionageprogrammen etc.

Bitte auch den Performancetipp am Ende der Seite beachten.




Für alle, die beim Kunden ebenfalls das Internet benutzen (nein, nicht um zu surfen :-)) sondern um z.B. Mails abzuholen, Newsgroups zu lesen, den Service-Market-Place zu besuchen etc.) folgende zusätzliche Tipps und Einstellhinweise:
  • Schon beim ersten Start des Browsers, noch bevor die erste Seite angesurft wird, die Einstellungen ändern, sonst sind die unerwünschten Daten schon im Profil (meisten ist ja NT oder Windows 2000 oder XP installiert) auf dem Anmeldeserver abgelegt.
  • Falls 'zu spät': die Dateien im lokalen Verzeichnis UND auf dem Anmeldeserver (u.U. mit 'net use' erst eine Verbindung auf einen Laufwerksbustaben legen) löschen. Nicht vergessen, dass auf jedem Arbeitsplatz, an dem man sich schon mal angemeldet hatte auch ein lokales Profil abgespeichert ist. Diese lokalen Profile findet man bei NT4 (Windows NT) unter 'c:\winnt\profiles\<Anmeldename>' oder 'c:\windows\profiles\<Anmeldename>', bei Windows 2000 oder XP unter 'C:\Dokumente und Einstellungen<Anmeldename>'.
  • Internetoptionen - Allgemein: Temporäre Internetdateien - Button 'Dateien löschen' klicken, danach Button 'Verlauf leeren' klicken und Anzahl Tage auf 'Null' setzen. Danach über den Button 'Einstellungen' im Bereich *Temporäre Internetdateien* den Ordner für die temporären Internetdateien aus dem persönlichen Profil in die Root vom Laufwerk C verschieben (oder in den Ordner C:\temp\). So bleibt als Nebeneffekt auch das Profil schön klein.
  • Internetoptionen - Sicherheit: auch die Umgebung 'Lokales Intranet' anpassen
  • Internetoptionen - Erweitert: Multimedia - 'Sound in Webseiten wiedergeben' abwählen (ist peinlich, wenn es auf einmal lostönt!); Sicherheit - 'Leeren des Ordners Temporary Internet Files' anwählen, 'verschlüsselte Seiten nicht auf der Festplatte speichern' anwählen
  • TweakUI 133 [oder die XP-Version] installieren (gibt's bei Microsoft umsonst, einfach mal eine Suchmaschine bemühen) und im Register 'Paranoia' am Besten alles anwählen
  • in beiden Profilverzeichnissen (auf C und dem Anmeldeserver, siehe oben) in das Directory mit dem Anmeldenamen gehen und folgende Verzeichnisinhalte löschen:
  • 'Cookies'
  • 'Favoriten' (nur verfängliche Einträge löschen, diese besser ins Internet auslagern)
  • 'Temp' bzw. 'Lokale Einstellungen/Temp'
  • 'Temporary Internet Files' bzw. 'Lokale Einstellungen\Temporary Internet Files' sollte eigentlich bis auf die jetzt noch zu löschenden Cookies (Textdateien) leer sein, ansonsten erneut Temporäre Internetdateien löschen, siehe oben
  • 'Verlauf' bzw. 'Lokale Einstellungen\Verlauf' sollte ebenfalls leer sein, sonst erneut "Verlauf leeren", siehe oben
  • 'Recent'
  • 'Startmenü', nur die verfänglichen Einträge, diese lieber nach C:\daten\ o.ä. auslagern
  • 'c:\temp\', 'C:\Dokumente und Einstellungen\<Anmeldename>\Lokale Einstellungen\Temp\' und ähnliche Verzeichnisse bis auf heutige Dateien leeren
  • Papierkorb leeren nicht vergessen :-))
  • Wer ganz pingelig ist defragmentiert das Laufwerk C jetzt.
  • Nachdem alles gelöscht ist einmal neu booten um das Profil wieder mit dem Anmeldeserver zu synchronisieren. Danach noch mal kurz kontrollieren.
  • die mit normalen Bordmittel nicht löschbaren index.dat-Dateien können wie im ZDNET-Artikel beschrieben gelöscht werden.
  • Diese ganzen Löschereien können natürlich auch in einer Batchdatei [*.cmd] hinterlegt werden [wer DOS-Befehle noch kennt ist hier klar im Vorteil!]. Dies Datei wird dann immer vor dem Herunterfahren aufgerufen. Dazu als erste Zeile 'pause' eintragen und die Datei im Autostart-Ordner aufrufen. Dann ist diese Task bis zum Heunterfahren geöffnet und kann DANN aktiviert werden.
  • Natürlich werden so nur die lokalen Spuren gelöscht! An die Protokolle und Logdateien der Proxy-Server und der Firewall kommt man natürlich nicht heran. Aber wer Zeit hat die zu lesen, der surft auch selber zuviel im Internet :-))
  •  
  • hat nichts mit Sicherheit zu tun: aber es ist ganz angeraten folgende Einstellungen wenn man schon mal dabei ist gleich mit vorzunehmen: im Registerblatt 'Allgemein' über den Button 'Sprachen' "english (en)" mit einpflegen.







Zum Schluss noch ein kleiner Performance-Tipp: wir surfen ja mittlerweile fast alle über fette Netzwerkanbindungen oder DSL, aber auch für normale Analog-Modemanschlüsse gilt folgendes:

Die Spezifikationen von Microsoft zu HTTP 1.1 sehen vor, dass der Internet Explorer nur 2 gleichzeitige Verbindungen zu einem Server herstellt [HTTP 1.0 erlaubte noch 4 gleichzeitige Verbindungen]. Dies geschieht z. B. beim Laden einer Seite inkl. der Grafiken etc.: Bild 1 wird gleichzeitig mit Bild 2 geladen. Erst wenn Bild 1 vollständig geladen ist wird damit begonnen Bild 3 zu laden, erst wenn Bild 2 vollständig geladen ist Bild 4 usw.! Und damit wird viel Zeit verschenkt. Ebenso sind nur maximal zwei gleichzeitig arbeitende DOWNLOAD-Fenster möglich, das dritte bietet erst dann die Möglichkeit den Dateinamen anzugeben an, wenn der erste Download beendet ist! Abhilfe schafft eine Modifikation der Registry:


HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings


Hier sind die Einträge

    MaxConnectionsPerServer für HTTP 1.1
und
    MaxConnectionsPer1_0Server für HTTP 1.0


zu finden. Falls nicht, erstellt man sie als neuen Eintrag als Datentyp REG_DWORD [Maus-Rechts-Klick im rechten Fenster].
Wobei der ZU NIEDRIGE Standard für HTTP1.1 zwei Verbindungen und für HTTP1.0 vier Verbindungen ist.
Beiden Einträgen kann man jetzt einen höheren Wert zuweisen, 8 hat sich bisher überall bewährt. Bei fetten Netzwerkanbindungen auch 16. Ich habe sogar zu Hause am Analogmodem 16 eingestellt.


Diese Tipps und vieles mehr findet man übrigens bei www.winfaq.de .








Wer zusätzlich mal die interne Netzwerksicherheit oder die Sicherheit seines Browsers testen will, dem sei die Rubrik 'Browsercheck' des Heise-Verlages ans Herz gelegt. Insbesondere das Ausführen beliebiger Befehle (z.B. Format C) für den IE.
Weitere Tests bei Georgi Guninski.