OWASP Global AppSec: Webseiten gekonnt schützen

Eine der drei diesjährigen Global-AppSec-Veranstaltungen fand vom 26. bis 30. Mai in Tel Aviv statt. Bereits im letzten Jahr hätte die AppSec Europe zunächst in Tel Aviv stattfinden sollen. Aufgrund von Problemen in der Planung wurde sie jedoch Anfang des Jahres nach London verlegt. Veranstalter ist die OWASP Foundation, die der IT-Sicherheitscommunity hauptsächlich durch die Sicherheitsrisikenliste OWASP Top 10 bekannt ist. Die Orga­nisation ist in vielen Ländern durch jeweilige „Chapters“ vertreten, so auch in Israel. Die bei der AppSec sonst ­übliche strikte Trennung der Tracks zwischen „Breakers, Builders and Defenders“ fiel in diesem Jahr weniger auf als sonst. Israel ist als Standort vieler Hersteller innovativer Sicherheitsprodukte bekannt. Entsprechend zahlreich waren sie auf der Konferenz in Tel Aviv präsent.

Auch große, internatio­nale Unternehmen wie Google, Micro­­soft und Netflix waren durch Vorträge vertreten. Krzysz­tof Kotowicz, Mike ­Samuel und Lukas Weichselbaum von Google präsentierten eine Auswahl neuer Browsermechanismen, die vor einer Vielzahl von Angriffen schützen sollen. So lassen sich Übergriffe zwischen Webseiten verschiedenen Ursprungs durch den Einsatz des Cross-Origin Opener Policy Headers verhindern. Dieser weist moderne Browser an, die Webseite von anderen offenen Webseiten zu isolieren. Bisher war es in Spezialfällen erlaubt, unter anderem auf den Titel der Seite zuzugreifen. Dadurch lässt sich in manchen Fällen erkennen, ob der aktuelle Benutzer auf der Zielseite eingeloggt ist.