Untersuchung zur Sicherheit von Web-Programmiersprachen
Ein Bericht von WhiteHat Security gibt einen tiefen Einblick in alle Bereiche der populärsten Programmiersprachen. Untersucht wurden 30.000 Webseiten. Eine Aussage des Berichts ist, dass es zwar keinen auffallenden Unterschied zwischen der Anzahl von Sicherheitsschwachstellen in Programmiersprachen gibt, aber dass die Reparaturzeiten doch weit auseinander klaffen.
Schwachstellen in ASP beispielsweise werden weniger schnell repariert als solche in anderen Programmiersprachen. ASP-Schwachstellen würden durchschnittlich erst nach 139 Tagen repariert, PHP nach 129,5 Tagen und Java nach 90,9 Tagen. Dabei gibt es sicherlich unterschiedliche Gründe für eine Aufschiebung von Reparaturen. Die WhiteHat-Statistik aus 2014 zur Webseiten-Sicherheit vermerkt auch, welche unterschiedlichen Schwachstellen am häufigsten in den einzelnen Programmiersprachen vorkamen. Die Top-Schwachstelle aller Sprachen, außer in .Net, war Cross-Site-Scripting (XSS).
Die Entscheidung, welche Programmiersprache verwendet werden soll, basiert oft auf folgenden Fragen: Womit kennt sich das Entwicklerteam am besten aus, was generiert am schnellsten Code oder wodurch wird die Aufgabe am besten gelöst? Man konzentriert sich in der Regel nur auf ein oder zwei Sprachen.
Wie sicher die Programmiersprache letztendlich ist, steht dann gar nicht zur Debatte, sondern erst, wenn es zu spät ist, so die Ansicht von Jeremiah Grossman, Gründer und iCEO bei WhiteHat Security. Als Branche mangelt es uns an ausreichenden Mengen von Sicherheitsdaten, auf die sich die Teams bei ihrer Entscheidungsfindung verlassen können.
Der Bericht befasst sich daher nicht so sehr mit der Anwendungssicherheit während der Produktionsphase, sondern eher mit der Leistungsfähigkeit in der Praxis. Grossmann plädiert für verstärkte Überlegungen zur Sicherheit und eine Gewichtung bei frühen Entscheidungsprozessen.
Zu den am meisten verwendeten Programmiersprachen gehören:
- .Net 28,1 %
- Java 25 %
- ASP 16 %
Altbekannte Programmiersprachen, die es schon seit Jahrzehnten gibt, sind:
- PHP 11 %
- ColdFusion 6 %
- Perl 3 %
Die Popularität und Komplexität der drei erstgenannten Programmiersprachen bedeutet gleichzeitig, dass die potenziellen Angriffsbereiche jeder dieser Sprache größer sind (.Net 31 %, Java 28 % und ASP 15 %).
Auch welche Branche welche Sprache bevorzugt wurde ermittelt. Demnach verwenden Finanzdienste meist ASP, Bank-Anwendungen Java und .Net. Die Spielebranche bevorzugt mit 83 % deutlich PHP, Produktion verwendet zu einem Drittel Perl und der Technologiesektor PHP .
Artikel von scmagazine.com, 18.04.2014: Research shows vulnerabilities go unfixed longer in ASP
Artikel in whitehatsec.com, 15.04.2014: WhiteHat Security Reveals Relative Security of Web Programming Languages in 2014 Website Security Statistics Report