Es geht um den Schutz von sensiblen Informationen. Beispiel: Es gebe 5 Aktionen mit Text-Daten. Die Aktionen werden nacheinander ausgeführt. Zur den Aktionen A[i] gehören die Sicherheitsgrade S[i]. Die Gesamtsicherheit hängt stark von der ungünstigsten Einzelaktion ab. Beispiel:
———————|—————|—————|—————|—————|—————| i = | 1 | 2 | 3 | 4 | 5 | ———————|—————|—————|—————|—————|—————| S[i] = | 99% | 99% | 73% | 99% | 99% | ———————|—————|—————|—————|—————|—————| Gesamtsicherheit = 0.99·0.99·0.73·0.99·0.99 = 0.70 = 70 %
Volksmund: Eine Kette ist so stark wie das schwächste Glied.
Informationssicherheit ist mehr als nur SSL, HTTPS, Übertragungsverschlüsselung. Gefühlte Verläßlichkeit ist etwas "Ganzes und Gesamtes" und bezieht sich auf administrative, physische, technische Sicherheiten, auf das Personal, auf Sicherheiten bei Serverzugängen, auf gesetzte Datei-Rechte und Verzeichnisschutz, auf Client-/Server-seitige System- und Software-Schwachstellen und mehr ... Bei sensiblen Daten sind Datenschutz und Informationssicherheit wesentlich: z.B Vermeidung von wirtschaftlichen Schäden; Datensicherheit bei Gefahren und Bedrohungen; Recht auf informationelle Selbstbestimmung und Privatspäre, "gläserne Menschen", "Überwachungsstaaten", zusichern von Vertraulichkeit, Verfügbarkeit, Integrität, usw.
Aufgabe: Wie kann mit technisch-einfachen Möglichkeiten ein hinreichender Zugriffsschutz auf Web-Ressourcen erreicht werden? Wie kann im öffentlichen http-Web ein vollständiger Zugriffsschutz über alle Glieder gewährleistet werden? Wie können Formulardaten und Formular-Kontext-Daten, deren Übertragung und weltweite Speicherungen vor "unbefugten Einsichten in das Verborgene" technisch gewährleistet werden? Wie kann dies integrativ gehen
Bei weltweiten Datenströmen und verteilten Datenspeicherungen gibt es propritäre-nationale Zuständigkeiten und Abhängigkeiten und undurchaubare/unklare/unwirksame/fehlende Rechtsicherheiten. Im Zeitalter geostationärer Sateliten scheinen "Multinationale Cloud-Securities" ungreifbar, unlokalisierbar und verweisen irgendwie in ein weltweites, undurchschaubar-pfadiges Internet, mit "fleißigen Informationssammlern, unerkannten Wegelageren und selbstlosen W3C-Evangelisten".
H. Stanley Judd: The ultimate security is your understanding of reality.
Diese Aufgabe besteht darin, ein Tool mit dem Namen Kryptografisch geschützte Seite zu entwickeln. Ist der body-Quelltext einer HTML-Seite gegeben, so soll das Tool den gesamten Quelltext einer geschützten Seite erstellen, in der der body-Quelltext verschlüsselt ist. Die so verschlüsselt Seite kann wie eine normale HTML-Seite auf dem Server gespeichert und im Netz übertragen werden. Die Seite enthält kein Passwaort. Ein Nutzer braucht ein gültiges Passwort, damit er die Seite brauwserintern entschlüsseln kann, indem der cerschlüsselte-body-Text brauwserintern im Arbeitsspeicher entschlüsselt wird und der entschlüsselte brauwserinterne DOM-Baum die lesbare Seite rendert. Hierbei bleibt der Seitenquelltext der kryptografisch geschützte HTML-Seite ungeändert.
Wird als Ausgangsstring z.B. der HTML-body-Quelltext (ohne das body-Tag, aber z.B. mit a-Tags ) verwendet, so kann ein Toolchen die Verschlüsselung mit einem Erstellungspasswort durchführen und die HTML-Seite mit dem Header (einschließlich der Funktionen zum entschlüsseln) erzeugen (siehe z.B. erstelle eine kryptografisch geschützte HTML-Seite ). Plagiate sind "out". Auf Cookies wird verzichtet.
Viel Freude bei der Ausarbeitung!
Letzter Abgabetermine So 12.00 Uhr