• CWE-311: Missing Encryption of Sensitive Data

Das Produkt verschlüsselt sensible oder kritische Informationen weder vor der Speicherung noch vor der Übertragung.

CWE-311: Missing Encryption of Sensitive Data

CWE ID: 311
Name: Missing Encryption of Sensitive Data

Beschreibung

Das Produkt verschlüsselt sensible oder kritische Informationen weder vor der Speicherung noch vor der Übertragung.

Risikominderungsmaßnahmen

Maßnahme (Requirements)

Effektivität: Unknown
Beschreibung: Definieren Sie klar, welche Daten oder Ressourcen einen Schutz durch Verschlüsselung erfordern. Es ist erforderlich, dass jede Übertragung oder Speicherung dieser Daten/Ressourcen etablierte und geprüfte Encryption Algorithms verwendet.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Bei der Anwendung von branchenüblichen Techniken ist sicherzustellen, dass diese korrekt implementiert werden. Abkürzungen, beispielsweise durch das Überspringen von ressourcenintensiven Schritten (CWE-325), sind zu vermeiden. Diese Schritte sind oft essentiell, um gängige Angriffe zu verhindern.

Maßnahme (Implementation)

Effektivität: Defense in Depth
Beschreibung: Verwenden Sie Namenskonventionen und starke Datentypen, um die Erkennung der Verwendung sensibler Daten zu erleichtern. Bei der Erstellung von Strukturen, Objekten oder anderen komplexen Entitäten sollte die Trennung sensibler und nicht-sensibler Daten so weit wie möglich erfolgen. Notizen: Dies erleichtert die Identifizierung von Stellen im Code, an denen Daten ohne Encryption verwendet werden.