.
E-Mail sendenHandyversionDruckenFreunden empfehlen        »Startseite Geld zurück dank Webgutachten »Die beliebtesten Programmierfehler«


Top 10 der beliebtesten Webprogrammierfehler, die Script-Kiddies, die Spamindustrie und Wirtschaftsspionageabteilungen der Mitkonkurrenz hoch erfreuen:

Webdesigner, die selber nicht programmieren können, integrieren oft frei verfügbare aber fehlerhafte CGI-Skripte in ein E-Mail-Versendeformular, ohne zu analysieren, welchen Schaden dieses Skript anrichten kann.

Aber auch Webprogrammierer programmieren Webapplikationen bzw. CGI-Skripte, ohne zu überdenken, ob Sicherheitslücken bestehen, die Crackern, Skript-Kiddies und organisierten Computerkriminellen, die zu Wirtschaftsspionagezwecken angeheuert werden, für ihre verwerflichen Zwecke mißbrauchen können.

Hier nun die Top 10 der beliebtesten Programmierfehler bei Webapplikationen:

Platz 1: Sichtbare E-Mail-Adresse im E-Mail-Versendeformular

Die E-Mail-Adresse Ihrer Anwaltskanzlei erscheint im HTML-Quelltext des E-Mail-Versendeformulares. Die Webschnüffler der Spamindustrie lieben solche Webformulare. Ihre Anwaltskanzlei kann sich dann über viele internationale "Fanpost" aus aller Welt erfreuen. Diese Spammer haben meistens keinen Firmensitz in Deutschland und sind daher nicht abmahnbar.

Platz 2: CGI-Skript versendet leere E-Mail-Formulare:

Ein weiterer sehr beliebter Programmierfehler bei den kostenlosen E-Mail-Skripten ist, dass das E-Mail-CGI-Skript überhaupt nicht prüft, ob der Benutzer irgendwelche Daten eingegeben hat. Die E-Mail wird immer zu Ihrer Kanzlei versandt, egal ob das E-Mail-Versendeformular leer oder ausgefüllt ist. Die Mitarbeiter Ihrer Anwaltskanzlei freien sich dann über neue aber leere Mandate.

Die Spamindustrie ist auch sehr glücklich über diesen E-Mail-CGI-Fehler, da über Ihr E-Mail-Skript und mit Ihrer Kanzlei-E-Mail-Adresse weltweit Kaufanreize für ...vergrößernde Pillen etc. kostenfrei verschickt werden können. Gegenüber dem E-Mail-Empfänger haben Sie dann auch als redegewandteste Rechtanwältin oder als eloquentester Rechtsanwalt gewisse Erklärungsengpässe. Wenn die Beschwerde gar aus den U.S.A. kommt, droht Millionenprozeß-Säbelrasseln.

Platz 3: CGI-Skript unterläßt quantitative Überprüfung der Benutzereingaben:

Das CGI-Skript, das z.B. für Datenbankbankabfragen oder den Versand der E-Mail verantwortlich ist, prüft nicht, wieviele Daten der Benutzer in die Formularfelder eingibt. Dies ist sehr gefährlich.

Wenn den einzugebenden Daten in jedem Formularfeld keine Obergrenze gesetzt wird, können Computerkriminelle (Cracker) mit einem Pufferüberlauf den Webserver zum Absturz bringen und Zugriff zu geschützten Bereichen erlangen. Auf diese Weise werden sensible Kundendaten, Kreditkartennummern oder andere geschützte Daten frei zugänglich. Der Imageschaden für Ihre Anwaltskanzlei wäre immens. Wenn Ihr Webprogrammierer auf Rechnung arbeitet, haben Sie wenigstens einen haftbaren Verantwortlichen und das Arbeitsamt wird auch keine nervigen Fragen stellen.

Platz 4: Keine qualitative Überprüfung der eingebenen Benutzerdaten:

Das CGI-Skript, das die E-Mail zu Ihnen befördern soll oder eine Datenbankabfrage durchführt, prüft nicht, welche Art von Daten der Benutzer in die Formularfelder eingibt. Wünschenswert wäre, dass tatsächlich nur Buchstaben, Zahlen und ein paar Sonderzeichen wie @... eingegeben werden.

Richter, Staatsanwälte, Mandanten und Surfer tun nicht immer, was wir von Ihnen erwarten. Wenn die Benutzerdaten nicht dahingehend überprüft und herausgefiltert werden, ob es auch tatsächlich nur Worte, Zahlen und erlaubte Sonderzeichen sind, können versierte Computerkriminelle mit Hilfe des fehlerhaften CGI-Skriptes andere Webapplikationen auf dem Webserver starten und so beispielsweise Zugriff zu geschützten Bereichen erlangen.

Auf diese Weise entsteht ein Tag der öffenen Tür für hochsensible geschützte Daten. Die Reputation Ihrer Anwaltskanzlei wird hierdurch nicht verbessert. Gehört Ihr Webprogrammierer der Schattenwirtschaft an, ist die zivilrechtliche Haftbarkeit des schwarzen Webprogrammierer zwar möglich, aber Ihre Kanzlei muß sich dann störende Fragen vom Arbeitsamt gefallen lassen. Ganz zu schweigen davon, dass die steuerliche Absetzbarkeit des Websiteprogrammierauftrages nebst Rechtsverfolgungskosten, gut bedacht werden soll.

Platz 5: Datenbankabfrage mit ROOT-Rechten:

Über ein Webformular können oft irgendwelche Gerichtsurteile in einer Datenbank abgefragt werden. Der Surfer gibt dann die Suchbegriffe, Aktenzeichen usw. in die Formularfelder ein. Wenn bei der Programmierung dieser Urteilsdatenbank geschludert wurde, laufen alle Datenbankabfragen als Superuser oder Root.

Root ist der Eigentümer der Datenbank, der so gut wie alles darf. Als Datenbankchef darf er alle Datenbanktabellen auch die der Kunden lesen, ändern und löschen. Der Root darf neue Datenbankuser erstellen. Der Root darf auch neue Datensätze erstellen und selbstverständlich auch bestehende Daten z.B. Kundendaten, Kreditkartennummern etc. lesen, verändern und löschen.

Da es keine 100% sichere webbasierte Applikation gibt, können bekannte Sicherheitsrisiken insbesondere bei Microsoft-Datenbanken reduziert werden, indem die SQL-Datenbankabfragen nicht mit Root-Rechten sondern mit Dummy-Rechten ausgeführt werden.

Hierfür muß schon bei der Websitedatenbankprogrammierung für Datenbankanfragen von außen so ein Gurken-Dummy-User angelegt werden, der nur Leserechte hat, also keine Daten verändern kann und auch nicht alle Datenbanktabellen z.B. nicht die der Kunden und Kreditkarten lesen kann.

Platz 6: Benutzereingaben nur mit JavaScript überprüfen:

Die Benutzereingaben werden mit JavaScript im Browser des Webseitenbesuchers überprüft. An sich eine gute Idee, da die Kapazitäten des Webservers so entlastet werden.

Die 30 % der Surfer, die JavaScript im Browser deaktiviert haben, können so Ihre Webapplikationen nicht nutzen.

Darüberhinaus kann das CGI-Skript auch ohne JavaScript ausgeführt und für nicht wünschenswerte Zwecke mißbraucht werden. Es ist daher eminent wichtig, dass die Benutzereingaben nicht nur mit JavaScript überprüft und gegebenenfalls korrigiert werden, sondern auch mit einem CGI-Skript, das böse Benutzereingaben filtert und verhindert.

Plätze 7 bis 10: N.N.

Wenn Sie wissen möchten, wie sicher Ihr Webserver als solcher und die CGI-Skripte Ihrer Webapplikationen sind, können wir mit Ihrem schriftlichen Einverständnis und dem Ihres Webserverbetreibers Ihren Webauftritt auf fehlerhafte CGI-Skripte scannen und Ihnen Bericht erstatten. Auf diese Weise erfahren Sie, was Ihr Webhost, Ihr/E Webdesigner/IN und Webprogrammierer taugen.

Was Sie vielleicht auch interessiert:

Überarbeitet am: 04.02.2014

Verwandte Themen

Webdesign-Vertrag vom Anwalt bestellen

Existenzgründung im Internet

Gutachten wegen schlechter Website

Vertrag mit Webdesigner Teil 1

Vertrag mit Webdesigner Teil 2

Kundenfreundlicher Vertrag zur Suchmaschinenoptimierung Teil 2

Suchmaschinenoptimierung selber lernen und teuren Vertrag wegen Suchmaschinenoptimierung nicht unterschreiben

Wie erstelle ich eine profitable Website?


Zurück von dieser Seite zu "Mit Gutachten Programmierfehler bei HTML, CSS, PHP und SEO aufdecken | Holen Sie Ihr Geld zurück"

Zurück vom "Webtechnologie Murks: Die beliebtesten Programmierfehler beim Webdesign und bei der Webprogrammierung" zum Index unserer Anwaltshomepage

Nach oben zum Inhaltsverzeichnis

Diese Seite bei Facebook, Twitter, Google Plus oder LinkedIN weiterempfehlen:

Artikel bei Facebook weiterempfehlen Artikel bei Twitter weiterempfehlen Artikel bei  Google Plus weiterempfehlen Artikel bei LinkedIN weiterempfehlen

Thema dieser Seite: "Webtechnologie Murks: Die beliebtesten Programmierfehler beim Webdesign und bei der Webprogrammierung"

Rechtsanwalt Rainer Wiesehahn

Duisburger Straße 478
45478 Mülheim an der Ruhr
Telefon: 49157 / 871 01 382 @: E-Mail senden
Termine nach Vereinbarung
rarw.de
|Inhalt|Risikohinweise|Datenschutz|Impressum|

Bitte nicht ausfüllen: