Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 9/11/2004
En firewall skal opfylde en række faste krav, hvis den skal kunne siges at fungere på applikationsniveau. Det mener fire mindre leverandører, der udfordrer de store i sikkerhedsbranchen til at lade deres produkter teste.Applikations-firewalls forsøger at beskytte mod angreb, der foregår på applikationsniveau. Det kan for eksempel være angreb, der sker gennem et indtastningsfelt på en webside. Hvis en angriber indtaster kommandoer i feltet, kan han få adgang til data, han ikke burde kunne se.
Firmaerne F5 Networks, Imperva, Netcontinuum og Teros har dannet Applications Security Consortium. Konsortiet har opstillet fem kriterier, som et produkt skal leve op til, hvis det efter deres mening kan kaldes en applikations-firewall:
- Opdage indtastninger, der indeholder udførbar kode.
- Forhindre forsøg på at indtaste datatyper, der ikke er tilladt.
- Forhindre forsøg på at fuske med cookies med henblik på at ændre i information om en applikations status.
- Forhindre forsøg på at ændre felter i formularer.
- Forhindre forsøg på at ændre parametre i URL'er.
Samtidig har konsortiet udsendt en invitation til firmaerne Symantec, McAfee, Cisco Systems, Juniper Networks og Check Point Software. Formålet er at få dem til at lade deres produkter teste og certificere. Konsortiets medlemmer mener nemlig, at flere af dem pynter sig med lånte fjer, når de siger, at deres produkter beskytter på applikationsniveau.
"Vores mål er at bane vej for nogle minimumskrav, der kan sikre både forbrugere, virksomheder og det offentlige på web," hedder det i en udtalelse fra konsortiet.