Google lässt Sicherheitslücken praktisch erkunden

Damit Webentwickler beim Programmieren typische Sicherheitslücken gar nicht erst entstehen lassen, hat Google jetzt eine Mini-Blog-Anwendung namens Jarlsberg veröffentlicht, die zahlreiche Schwachstellen aufweist. Jarlsberg ist eigentlich ein norwegischer Käse - eine Anspielung darauf, dass die Anwendung viele "Löcher" aufweist. Neben dem kleinen Programm hat Google auch eine Dokumentation zur Verfügung gestellt, wie man die Sicherheitslücken finden, ausnutzen und schließen kann.

So gibt es Lektionen in Sachen Cross-Site-Scripting, Path-Traversal, Code-Ausführung und Denial of Service (DoS). Google ermutigt die Webentwickler, die Lücken mit Hilfe kleiner Hinweise selbst zu finden. Wer nicht selbst darauf kommt, findet am Ende die jeweilige Auflösung. Zudem wird vorgeschlagen, wie sich die Sicherheitslücke schließen lässt.

Wer den in Python geschriebenen Jarlsberg-Server in einer eigenen Umgebung testen will, kann ihn auch herunterladen. Aus Sicherheitsgründen kann man aber nur via localhost auf ihn zugreifen. Laut Google ist es nicht notwendig, den Quellcode zu analysieren, um die Sicherheitslücken zu finden. Allerdings lassen sich nicht alle Probleme nur mit dem Browser ausnutzen.