Weitere Funktionen für mehr Sicherheit

Owned by Dirk Münker
Last updated: März 13, 2024 by Sebastian Schulz
1 min read

Environments

Eine Umgebungsspezifische Konfiguration sorgt dafür, dass Live-Daten nicht in lokalen, oder Test-Systemen genutzt werden können. Das bringt in etlichen Szenarien ein erhöhtes Schutzniveau, vor allem wenn Ich einen Datenbank-Dump mit Live-Daten beziehe und in einer anderen Instanz damit weiter arbeite. Bspw.:

  • Ist es nun ausgeschlossen, dass ich auf personenbezogene Daten außerhalb das Live-System zugreife und Aktionen auslöse, welche diese Daten kompromittieren würden  (Newsletter versenden, Bestellung bestätigen, uvm.)

  • In Konfigurationstabellen sind häufig Zugänge zu Schnittstellen (ERP, CRM, SMTP-Server, usw.) hinterlegt. So wäre es bspw. fatal mit dem lokalen Test-System eine Synchronisierung zum Live-ERP zu triggern. 

Download

  • Dateinamen können jetzt schematisch freigegeben werden.

Header

  • Freigaben für Content-Security-Policy können konfiguriert werden

  • Berücksichtigung der eingestellten Sperrdauer bei Intrusion Detection

  • CSP-Meldungen wurden reduziert

Routing

  • Die Engines (Main Controller) werden sparsamer eingesetzt.

  • Es ist nun möglich weitere Main Controller anzulegen. Diese liegen ebenfalls im Root des Packages und enthalten Methoden, die nicht über das Routing erreichbar sein dürfen und damit vom Rechte-Handling ausgeschlossen sind.

Weitere Funktionen

  • Bestätigungslinks in E-Mails müssen abgesichert werden

  • Die Ablaufzeit von Passwörtern lässt sich nun nach Typ unterscheiden (für Administratoren)