Webanwendung: Unterschied zwischen den Versionen
Petra (Diskussion | Beiträge) |
|||
| Zeile 1: | Zeile 1: | ||
| − | + | === Webanwendung === | |
| − | + | Eine Webanwendung ist ein Anwendungsprogramm, welches '''online''' nach dem Client-Server-Modell ausgeführt wird. Andere Bezeichnungen sind Online-Anwendung oder Webapplikation (Web-App). '''Die Anwendung wird nicht lokal auf dem Computer des Benutzers installiert und ausgeführt''', sondern die Datenverarbeitung und -auswertung findet auf dem entfernten Webserver statt. Das Ergebnis der Datenverarbeitung wird auf den lokalen Client-Computer des Benutzers übertragen und dort über den Browser angezeigt. Das kann sowohl ein Desktop-PC als auch ein Handy oder Tablet sein. Der Browser übernimmt über das [[HTTP|HTTP-Protokoll]] die Kommunikation mit dem Webserver und stellt die Benutzeroberfläche der Webanwendung bereit. Ein gutes Beispiel für eine Webanwendung sind sog. [[Content-Management-Systeme]]. | |
| + | |||
| + | Vorteile zu herkömmlichen Destopanwendungen sind, dass kein spezielles Betriebssystem Voraussetzung ist und das gleichzeitig mehrere Benutzer daran arbeiten können. Nötig können bestimmte Laufzeitumgebungen wie [[JavaScript]] oder Flash sein. Nachteilig wirkt sich die Tatsache aus, dass eine Online-Verbindung zum Webserver bestehen muss, was eine Offline-Bearbeitung unmöglich macht. | ||
| + | |||
| + | |||
| + | === Sicherheit von Webanwendungen === | ||
| + | |||
| + | Leider gibt es eine Menge von Möglichkeiten, Webanwendungen anzugreifen, wir führen hier nur einige wichtige Beispiele auf: | ||
| + | |||
| + | * [[Cross-Site Scripting]] (XSS) – Einbinden von fremden Skripten zu Manipulation des Webauftritts | ||
| + | * [[Injection|SQL-Injection]] - Anfrageparameter mit SQL-Steuerzeichen versehen | ||
| + | * [[Injection|E-Mail-Injection]] - Versand von eigenen E-Mails über Kontaktformulare | ||
| + | * [[Cross-Site Request Forgery]] – Webclient auf andere URLs lenken | ||
| + | * [https://de.wikipedia.org/wiki/Session_Hijacking Session Hijacking] – Übernehmen einer Benutzersitzung | ||
| + | * [https://de.wikipedia.org/wiki/Directory_Traversal Directory Traversal] – Manipulation von Pfadangaben, um auf beliebige serverseitige Ressource zuzugreifen | ||
| + | * [[Man-in-the-middle|Man-In-The-Middle-Angriff]] – Mithören während der Client-Server-Kommunikation | ||
| + | * [[DDoS|Denial of Service]] – Dienst des Webservers durch Überlastung abstürzen lassen | ||
| + | * [[Phishing]] – Indentitätsdiebstahl, Kundendaten über gefälschte E-Mails oder Webauftritte stehlen | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | [[Category:Glossar]] | ||
Aktuelle Version vom 27. Juni 2018, 12:23 Uhr
Webanwendung
Eine Webanwendung ist ein Anwendungsprogramm, welches online nach dem Client-Server-Modell ausgeführt wird. Andere Bezeichnungen sind Online-Anwendung oder Webapplikation (Web-App). Die Anwendung wird nicht lokal auf dem Computer des Benutzers installiert und ausgeführt, sondern die Datenverarbeitung und -auswertung findet auf dem entfernten Webserver statt. Das Ergebnis der Datenverarbeitung wird auf den lokalen Client-Computer des Benutzers übertragen und dort über den Browser angezeigt. Das kann sowohl ein Desktop-PC als auch ein Handy oder Tablet sein. Der Browser übernimmt über das HTTP-Protokoll die Kommunikation mit dem Webserver und stellt die Benutzeroberfläche der Webanwendung bereit. Ein gutes Beispiel für eine Webanwendung sind sog. Content-Management-Systeme.
Vorteile zu herkömmlichen Destopanwendungen sind, dass kein spezielles Betriebssystem Voraussetzung ist und das gleichzeitig mehrere Benutzer daran arbeiten können. Nötig können bestimmte Laufzeitumgebungen wie JavaScript oder Flash sein. Nachteilig wirkt sich die Tatsache aus, dass eine Online-Verbindung zum Webserver bestehen muss, was eine Offline-Bearbeitung unmöglich macht.
Sicherheit von Webanwendungen
Leider gibt es eine Menge von Möglichkeiten, Webanwendungen anzugreifen, wir führen hier nur einige wichtige Beispiele auf:
- Cross-Site Scripting (XSS) – Einbinden von fremden Skripten zu Manipulation des Webauftritts
- SQL-Injection - Anfrageparameter mit SQL-Steuerzeichen versehen
- E-Mail-Injection - Versand von eigenen E-Mails über Kontaktformulare
- Cross-Site Request Forgery – Webclient auf andere URLs lenken
- Session Hijacking – Übernehmen einer Benutzersitzung
- Directory Traversal – Manipulation von Pfadangaben, um auf beliebige serverseitige Ressource zuzugreifen
- Man-In-The-Middle-Angriff – Mithören während der Client-Server-Kommunikation
- Denial of Service – Dienst des Webservers durch Überlastung abstürzen lassen
- Phishing – Indentitätsdiebstahl, Kundendaten über gefälschte E-Mails oder Webauftritte stehlen
