(Datenbanken/Sicherheit) Suchen Erfahrenen im Bereich Serverkommunikation

  • Hallo zusammen,


    unser aktuelles Hobby-Projekt ist eine Android App, bei der auf dem Server User-Angaben wie z.B. genaue Adresse oder auch Handynummer gespeichert werden sollen.


    Wir möchten diese intimen persönlichen Daten natürlich nicht ohne Weiteres auf unserem Server lagern, da schließlich jeder (wenn er Ahnung hat) diese auslesen könnte.


    Nun haben wir uns schon mit dieser Angelegenheit auseinandergesetzt... kommen aber nicht wirklich zu einer brauchbaren Lösung.


    Daher möchten wir hier nach jemanden netten suchen, der sich etwas mit der Thematik von der Kommunikation zwischen Android und einem Datenbankserver auskennt...
    und uns dabei auf die Sprünge hilft, wie gängige Sicherheitsstandards auf der Serverseite anzuwenden sind... und wie dies dann entsprechend auch für die Clientseite realisiert werden muss.


    Wenn du uns beraten beziehungsweise helfen möchtest, schreibe uns bitte gerne eine private Nachricht. :)


    Besten Dank und freundliche Grüße von Dadrueben

  • Also zunächst mal halte ich mich nicht für ausreichend qualifiziert, als 'Datensicherheitsfredi' aktiv zu werden. Deshalb gibt es nur ein paar allgemeine Tipps und Hinweise und im Anschluss zwei Vorträge zum Thema 'Apps' und 'Sicherheit' einer Mac–/iOS Entwicklerkonferenz im letzten Jahr.


    Du möchtest auf jeden Fall diese intimen persönlichen Daten auf Deinem Server lagern. Wolltest Du dies nicht, würdest Du sie nicht erheben.
    Insofern musst Du das Auslesen um jeden Preis verhindern.


    Dazu gehört:

    • Übertragung nur über eine gesicherte Verbindung
      Du musst Deiner App garantieren, dass sie mit dem richtigen Server spricht. Hier sind Zertifikate immer eine gute Sache. Allerdings stellt das einen gewissen Mehraufwand dar, da Zertifikate oftmals bezahlt aber immer gepflegt/erneuert werden müssen.
    • Ansteuerung der Datenbank nur über eine fest definierte API
      Direkter Zugriff auf Datenbankservern ist so ziemlich das Bequemste, das man einem Angreifer anbieten kann. Entsprechende beispielsweise in PHP mit Symfony2 realisierte API Skripte reduzieren das Risiko wahllos Daten ausspähen zu können enorm.
    • Bei API Zugriffen ständig auch Berechtigungen des Anfragenden prüfen
      Statt einfach drauf los auszuliefern sicherstellen, dass bei der Anzeige persönlicher Daten einer Person auch wirklich diese Person die Daten einsehen möchte.
    • Code Injections vermeiden
      Das API muss natürlich dämliche Eingaben wie 'name=jo"); SELECT * FROM user; echo("Ha' abfangen.
    • API Funktionen an entsprechend eingeschränkte Datenbanknutzer knüpfen
      Funktionen, die nur lesend auf die Datenbank zu greifen, sollte man über einen Datenbanknutzer ausführen zu lassen, der ausschließlich Leserechte in diesen Tabellen hat. Hier kann man schon viel Sicherheit schaffen, wenn es beispielsweise für die personenbezogenen Daten einen eigenen Datenbanknutzer gibt, der nur dort lesen kann und auch der Einzige ist, der dort lesen kann.


    Natürlich muss man immer sicherstellen, dass der Schutz, den man zugestehen will, der Nutzbarkeit der App nicht entgegensteht.
    Beispielsweise könnte man Copy'n'Paste für die Adressdaten unterbinden. Dient die App aber zur Vernetzung der Anwender, wäre ein Export ins Adressbuch ein wünschenswertes Feature und alles Andere würde zu sehr blockieren.


    Vorträge (spezialisiert auf iOS)
    Applied Crypto Hardening mit TLS

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.


    Sicher ganz einfach

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    Je mehr Käse, desto mehr Löcher.
    Je mehr Löcher, desto weniger Käse.
    Daraus folgt: je mehr Käse, desto weniger Käse.


    »Dies ist ein Forum. Schreibt Eure Fragen in das Forum, nicht per PN!«

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!