Googles Cloud Security Scanner macht sich mit einem dynamisch erzeugten Botnetz aus virtuellen Maschinen auf die Suche nach Schwachstellen in Web-Anwendungen. Dabei berücksichtige die Untersuchung etwa Anfälligkeiten für Szenarien, in denen eine sichere HTTPS-Webseite CSS oder Java-Script unsicher via HTTP nachlädt und Cross-Site-Scripting (XSS). Security Engineering Manager Rob Mann erklärt in seinem Blogeintrag, dass im Vordergrund vor allem die einfache Bedienbarkeit und Geschwindigkeit stehe.

Die VMs werden auf Googles Compute Engine ausgeführt - einem Cloud-Dienst, der skalierbare Rechnerkapazität anbietet, ähnlich Amazons EC2. Die Bezeichnung "Botnetz" verwendet übrigens Rob Mann selber in seinem Blogeintrag. Eine ferngesteuerte Instanz des Google Browsers Chrome wird auf den VMs ausgeführt, welche Web-Seiten nach Sicherheitslücken abkloppft. Im Zuge eines Scans sollen 20 Zugriffe pro Sekunde das Maximum bleiben, damit das Netzwerk nicht überlastet wird.

Google versichert, dass die Ergebnisse zu keinem Zeitpunkt für Dritte einsehbar sind, um Entwickler zu schützen. Obwohl das Unternehmen beteuert, dass der Scanner nur wenige Fehlermeldungen produzieren soll, wird darauf hingewiesen, dass Web-Anwendungen vor der Veröffentlichung idealerweise von einem Sicherheitsexperten getestet werden sollten, da sich der Scanner aktuell noch im Beta-Stadium befindet.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE