Sicherheitsaspekte für BSP 
Bei der Erstellung von Web-Applikationen anhand des BSP-Programmiermodells ist es wichtig, Sicherheitsaspekte zu berücksichtigen. Sowohl für die Erstellung von BSP-Applikationen als auch für den laufenden Betrieb dieser Anwendungen stehen Sicherheitsfunktionen zur Verfügung.
Sicherheit beim AS-ABAP
Die grundlegenden Informationen über Sicherheitsaspekte in einem AS-ABAP-System, in dem Sie Ihre BSP-Applikation erstellen, finden Sie in den Sicherheitsleitfäden unter
Netzwerkinfrastruktur und
Sicherheit beim AS-ABAP.
Hinweis
Beachten Sie hierbei besonders die Konfiguration für die SSL-Unterstützung. Des Weiteren wird eine Funktion für die Performance-Steigerung bei Mehrfachanmeldungen bereitgestellt, der
Von SAP werden bestimmte Viren-Scan-Profile standardmäßig ausgeliefert. Beim HTTP Upload ist ein Viren-Scan möglich (Sie finden weitere Informationen zum Stichwort Viren-Scan-Schnittstelle in den Sicherheitsleitfäden).
Der Internet Communication Manager (ICM) nimmt HTTP-Requests aus dem Internet entgegen und schickt eine Antwort zurück.
Anmelden an BSP-Applikationen
Der AS-ABAP nutzt für den Zugriff auf eine BSP-Applikation das HTTP-Framework des Internet Communication Manager (ICF), der seinerseits Funktionen für die Anmeldung am AS-ABAP bietet.
Achtung
Beachten Sie hierbei das Aktivieren und Deaktivieren von Services. Aus Sicherheitsgründen sollten nur genau diejenigen Services im HTTP-Service-Baum aktiv sein, die Sie wirklich benötigen. Wenn Sie dagegen Knoten auf einer höheren Ebene aktivieren, bedeutet dies, dass der gesamte darunter liegende Teil des Service-Baums ebenfalls aktiv ist und damit z.B. bei Hinterlegung des anonymen Benutzers für Zugriffe völlig offen und damit ungesichert ist.
Sie finden eine Liste der Services, die je nach Einsatzszenario aktiviert sein müssen, im Dokument Business Server Pages Administration.
Für die Erstellung von Anmeldeprozeduren für Ihre BSP-Anwendung gibt es ein einfaches Verfahren für die Entwicklung und Konfiguration der Systemanmeldung, bei dem Sicherheitsaspekte integriert sind. Lesen Sie weiter unter Systemanmeldung.
Zugriff auf eine BSP-Applikation
Ein Browser greift auf Ihre BSP-Applikationen über HTTP oder HTTPS zu. Die wichtigsten Aspekte hierbei sind unter Zugriff auf eine BSP-Applikation zusammengefasst.
Sie können außerdem festlegen, dass auf Ihre BSP immer über HTTPS zugegriffen werden soll. Weitere Informationen über diese Festlegung der Übertragungsoptionen finden Sie bei der Beschreibung der Eigenschaften einer BSP-Applikation.
Für die Browser-Kommunikation mit Ihrer BSP-Applikation müssen Sie Secure Sockets Layer (SSL) konfigurieren. Stellen Sie sicher, dass Ihre BSP-Applikation HTTP-POST-Requests unterstützt. Weitere Informationen finden Sie in SAP Hinweis 904249.
Sicherheitsrisiko-Liste
Eine White-List Infrastruktur im HTTP-Framework ermöglicht das Abwehren von XSS-Angriffen: Sicherheitsrisiko-Liste
URL-Generierung
Hinweise
Hinweisnummer |
Titel |
Einrichten von SSL auf dem Web Application Server |
|
Anmelden an BSP-Applikationen |
|
DNS-Konfiguration für BSP-Apps unter Windows 2000 |
|
Logon Ticket Cache |
|
HTTP WhiteList Check (Sicherheit) |
|
BSP auch mit POST-Request starten |
|
BSP-XSRF-Framework als Transportdateien (nur für zustandsbehaftete Anwendungen) |
|
XSRF-Schutz für Stateless-BSP (auch für zustandsfreie Anwendungen) |