CWE ID: 523
Name: Unprotected Transport of Credentials
Login-Seiten verwenden keine angemessenen Maßnahmen, um Benutzernamen und Passwörter während der Übertragung vom Client zum Server zu schützen.
Effektivität: Unknown
Beschreibung: Es ist zwingend erforderlich, die Verwendung von SSL für die Login-Seite oder jede Seite zu erzwingen, die zur Übertragung von Benutzeranmeldedaten oder anderen sensiblen Informationen verwendet wird. Selbst wenn die gesamte Website nicht SSL verwendet, MUSS sie für die Login-Funktion SSL nutzen. Um Phishing-Angriffe zusätzlich zu verhindern, stellen Sie sicher, dass SSL die Login-Seite bereitstellt. SSL ermöglicht es dem Benutzer, die Identität des Servers zu verifizieren, mit dem er eine Verbindung herstellt. Wenn SSL die Login-Seite bereitstellt, kann der Benutzer sicher sein, dass er mit dem korrekten Endsystem kommuniziert. Ein Phishing-Angriff würde typischerweise einen Benutzer auf eine Website umleiten, die kein gültiges, vertrauenswürdiges Server-Zertifikat von einem autorisierten Anbieter besitzt.
SSL (Secure Socket Layer) bietet HTTP Datenvertraulichkeit und -integrität. Durch die Verschlüsselung von HTTP-Nachrichten schützt SSL vor Angreifern, die Nachrichten abfangen oder deren Inhalt verändern möchten.
