|
|
Das Anbieten eines Service über Intranet- bzw. Internetdienste
birgt die Gefahr des unberechtigten Zugriffes oder Eindringens
ins System. Desweiteren besteht die potentielle Gefahr, daß
Daten während des Transports zum Empfänger verfälscht werden.
Deshalb sind Sicherheitsvorkehrungen zu ergreifen, die diese
Gefahren beseitigen oder auf ein Minimum reduzieren. Ziel der
Sicherheitsvorkehrungen ist, daß
|
- |
registrierte Teilnehmer der öffentlichen Einsichtnahme nur die erlaubten Dienste benutzen können. |
|
- |
Unberechtigten der Zugang zum System gänzlich verwehrt wird |
|
- |
Daten fälschungssicher zum Empfänger transportiert werden |
Um diese Ziele zu erreichen, ist eine Kombination mehrerer
Techniken erforderlich, die in den folgenden Abschnitten kurz
erläutert werden sollen. Folgende Sicherheitsvorkehrungen
werden integriert:
|
- |
Richtigkeit der übermittelten Daten:
Die Richtigkeit der Daten von der Datenbank wird anhand der
RSA- Signatur vom WWW-Server geprüft. Durch eine digitale Signatur wird sichergestellt,
daß die Daten nicht unbemerkt inhaltlich verändert werden.
Die Richtigkeit und Unverfälschtheit der Daten beim Anwender wird durch
Verwendung einer SSL3-Technologie (Verschlüsselung) bei der Übermittlung verwendet.
| Anmerkung:
Im Webbrowser kann überprüft werden, ob eine Verbindung im gesicherten Modus aufgebaut wurde.
|
| Netscape Navigator: |
Das Vorhängeschloß in der linken Ecke der Statuszeile muß geschlossen
auf gelben Hintergrund abgebildet sein. Durch Klick auf das Symbol können weitere Sicherheitsinformationen
(Gültigkeitsdauer des Zertifikats) abgerufen werden.
|
| Internet Explorer: |
Im rechten Teil der Statusleiste muß ein geschlossenes gelbes Vorhängeschloß sichtbar werden.
Durch Doppelklick auf das Schloß werden hier die Sicherheitsinformationen ausgegeben.
|
|
|
- |
Abhörsicherheit der Verbindung:
Obwohl die Registerdaten nicht geheim sind, muß die Verbindung, allein wegen der Übermittlung des Kennwortes,
abhörsicher sein. Dies wird ebenfalls über die SSL3-Technologie erreicht. (Ausspionieren von Paßwörtern)
|
|
- |
Zugriff auf den Zentralserver:
Zu keiner Zeit hat ein
WWW-Anwender Zugriff auf den Zentralserver. Die Abfragen
werden von einem speziell gesicherten Zugriffsmodul des
WWW-Servers abgearbeitet. Zusätzlich erhält der WWW-Server
mittels eines geheimen Roboterpaßwortes nur lesenden Zugriff
auf den Datenbestand der Datenbank. (Eindringversuche) |
|
- |
Benutzerkennung und -kennwort:
Die Benutzerkennung und
das Kennwort werden bei erfolgreicher Anmeldung als Session-Variable gespeichert. Nur mit einer gültigen
Session-Variable ist das Navigieren im Beauskunftssystem möglich. So kann ausgeschlossen werden, daß eine
Auskunftsseite direkt via Hyperlink aufgerufen wird.
Allerdings ist es für diese Technik notwendig, daß für den Browser die Verarbeitung von Cookies
freigegeben wurde. Weiterführende Informationen finden Sie
hier. |
|
|
|