ShapeShifter: Security-Add-on soll Web-Software sicherer machen
Stefan Keller, den 23. Januar 2014Mit einem simplen Trick will das Sicherheits-Start-up Shape Security Web-Software gegen viele gängige Attacken absichern. ShapeShifter ändert einfach die Namen von Web-Formularen automatisch bei jedem Aufruf in zufällige Zeichenketten und nimmt Bots so den Wind aus den Segeln.
Um einer Webseite zu schaden, kann man viele Angriffspunkte ausmachen. So lassen sich Passwörter mit Bruteforce erraten oder der Server lässt sich durch unzählbare Requests außer Gefecht setzen. Shape Security will mit ShapeShifter dieser Praxis einen Riegel vorsetzen. Im Quellcode einer Webseite werden hierfür relevante Bezeichnungen, die der Benutzer normalerweise nicht zu Gesicht bekommt, einfach durch zufällige Zeichenketten ersetzt. Diese werden für jeden Aufruf neu generiert und sind nur einmal gültig. Damit würde sich eine anzugreifende Seite zu einem sich bewegenden Ziel verwandeln, was die Erfolgsaussichten bei Bot-Angriffen verringert.
Hardware-Lösung
Das Unternehmen bietet seinen Dienst bislang nur als Hardware-Lösung für hinreichend kritische Web-Angebote wie Banken an. Momentan wird daran gearbeitet, aus der Idee eine Cloud-Lösung zu machen, damit die Einbindung in die eigene Webseite einfacher wird. Wie VentureBeat herausbekommen hat, soll der Einsatz von ShapeShifter nur minimale Performance-Verluste zur Folge haben.
Passwortmanager leiden
Neben ungebetenen Gästen wird durch die Methode auch „zivilen“ Werkzeugen wie Passwort-Managern à la 1Password das Leben schwer gemacht, die sich auf die Namen der Eingabefelder verlassen, um gespeicherte Login-Daten automatisch einzusetzen.