-
The Copenhagen Book
- The Copenhagen Book ist ein kostenloses Open-Source-Projekt, das allgemeine Leitlinien für die Implementierung von Authentifizierung in Webanwendungen bereitstellt
- Es wird von der Community gepflegt und kann gelegentlich subjektiv oder unvollständig sein, zielt jedoch darauf ab, eine Lücke in den Online-Ressourcen zu schließen
- Die Nutzung zusammen mit der OWASP Cheat Sheet Series wird empfohlen
-
Serverseitige Tokens
- Es wird erläutert, wie sich die Sicherheit durch die Verwaltung von Tokens auf der Serverseite verbessern lässt
-
Sitzungen
- Es wird beschrieben, wie durch die Verwaltung von Benutzersitzungen ein fortlaufender Authentifizierungsstatus aufrechterhalten wird
-
Passwort-Authentifizierung
- Es werden Leitlinien für sichere Methoden der Passwort-Authentifizierung bereitgestellt
-
E-Mail-Authentifizierung
- Es wird das Verfahren der Benutzerauthentifizierung per E-Mail beschrieben
-
Passwort zurücksetzen
- Es wird erläutert, wie sich eine Funktion zum Zurücksetzen von Passwörtern implementieren lässt
-
Erzeugung von Zufallswerten
- Es wird beschrieben, wie sich für die Sicherheit erforderliche Zufallswerte erzeugen lassen
-
OAuth
- Es wird erläutert, wie sich Authentifizierung mit dem OAuth-Protokoll implementieren lässt
-
Multi-Faktor-Authentifizierung (MFA)
- Es wird beschrieben, wie sich die Sicherheit durch MFA verbessern lässt
-
WebAuthn
- Es wird erläutert, wie sich Web-Authentifizierung mit WebAuthn implementieren lässt
-
Cross-Site Request Forgery (CSRF)
- Es wird beschrieben, wie sich CSRF-Angriffe verhindern lassen
-
Open Redirects
- Es wird erläutert, wie sich Open-Redirect-Schwachstellen verhindern lassen
-
Kryptografie
- Es wird beschrieben, wie sich Daten mithilfe kryptografischer Techniken schützen lassen
-
ECDSA
- Es wird erläutert, wie sich digitale Signaturen mit dem ECDSA-Algorithmus implementieren lassen
-
Links
- Es werden ein GitHub-Repository, Twitter, die OWASP Cheat Sheet Series und ein Spendenlink bereitgestellt
Zusammenfassung von GN⁺
- The Copenhagen Book ist eine nützliche Ressource für Entwickler, da es umfassende Leitlinien zur Implementierung von Authentifizierung in Webanwendungen bietet
- Es behandelt verschiedene Authentifizierungsmethoden und Techniken zur Härtung der Sicherheit und hilft so, das Verständnis für Sicherheit zu vertiefen
- In Kombination mit der OWASP Cheat Sheet Series ist es noch wirkungsvoller und kann dazu beitragen, Sicherheitslücken zu vermeiden
- Ähnliche Projekte sind unter anderem verschiedene Leitlinien von OWASP sowie die Sicherheitsempfehlungen des NIST
1 Kommentare
Hacker-News-Kommentare
Der Autor der Lucia-Bibliothek ist zu dem Schluss gekommen, dass Lucia sich nicht mehr für die Implementierung von Authentifizierung eignet, und hat deshalb eine Reihe von Leitfäden als Ersatz veröffentlicht
90 % der Sicherheitsressourcen sind für Nichtfachleute schwer verständlich, aber dieser Leitfaden ist klar, prägnant und umsetzbar
Viel Sicherheitsberatung wirkt obskur und manchmal geradezu absurd, aber dieser Leitfaden bietet erfrischende und leicht verständliche Ratschläge
Es wäre gut, wenn klarer gemacht würde, ob mit "auth" Authentifizierung (authn) oder Autorisierung (authz) gemeint ist
Eindrucksvoll war der Hinweis, dass UUIDv4 zwar viel Entropie hat, aber möglicherweise nicht kryptografisch sicher ist
Passwörter sollten mindestens 8 Zeichen lang sein, und schwache Passwörter sollten mit einer Bibliothek wie zxcvbn erkannt werden
Weiß jemand, warum es "Copenhagen Book" heißt?
Wenn man Authentifizierung einmal implementiert, kann man sie überall verwenden
Ich fände es gut, wenn Websites eine Option anbieten würden, damit die Sitzung "bis zum Ausloggen nicht abläuft"
Großartiger Leitfaden, danke