6. Testen und Sicherheit von Webanwendungen

Web-Applikationen bestehen aus HTML-Seiten, CSS-Stylesheets und JavaScript-Dateien. Diese Komponenten sind stark voneinander abhängig und müssen harmonisch zusammenarbeiten, um Fehler zu vermeiden und ein optimales Benutzererlebnis zu gewährleisten.

Ein Release bezeichnet den spezifischen Stand einer Software, der an die Nutzer weitergegeben wird. Dies geschieht oft nach einer kontinuierlichen Weiterentwicklung, wobei nur bestimmte Stände der Software freigegeben werden.

Automatisiertes Testen ist wichtig, um die Stabilität der Web-Applikationen trotz der häufigen Releases und kontinuierlichen Änderungen zu gewährleisten. Es ermöglicht das effiziente Testen einer großen Anzahl von Releases, die manuell nicht alle überprüft werden könnten.

1. Funktionstest: Überprüft, ob die Anwendung gemäß den Anforderungen funktioniert.

2. Regressionstest: Testet, ob neue Fehler nach Änderungen oder Bugfixes entstanden sind.

3. Usability-Test: Bewertet die Benutzerfreundlichkeit durch Beobachtung von Nutzern.

4. Kompatibilitätstest: Prüft die Funktionalität auf verschiedenen Endgeräten.

5. Performance-Test: Testet die Leistung und Stabilität der Applikation lokal.

6. Last-Test: Bewertet die Performance unter großer Server-Belastung.

7. Unterbrechungsprüfung: Überprüft, wie die App auf Unterbrechungen reagiert.

8. User-Interface-Test: Stellt sicher, dass die Benutzeroberfläche nahtlos funktioniert.

9. Lokalisationstest: Prüft die Genauigkeit von Übersetzungen.

10. Sicherheitstest: Bewertet den Schutz vor Sicherheitsbedrohungen.

    
    

Unit-Tests sind Tests der kleinsten funktionalen Einheiten (Units) einer Anwendung. Sie sind wichtig, um die Rückwärtskompatibilität und Stabilität der Web-Applikation zu gewährleisten, insbesondere nach Änderungen am Code.

„Mocking“ wird verwendet, um Schnittstellen, die noch nicht verfügbar sind oder für Tests ungeeignet sind, zu simulieren. Dies ermöglicht das Testen der Anwendung gemäß den Anforderungen, ohne auf die tatsächliche Implementierung der Schnittstellen angewiesen zu sein.

1. Mocha: Marktführer im Testbereich für JavaScript.

2. JEST: Von Facebook entwickelt, beliebt für seine einfache Konfiguration.

3. Jasmine: Speziell für das Frontend, ermöglicht „Behavior Driven Development“.

4. Selenium: Fernsteuerung für Browser, ideal für das Testen von Frontends durch Simulation von User-Eingaben.

Testgetriebene Entwicklung (TDD) ist ein Paradigma, bei dem die Tests zuerst erstellt werden, bevor der eigentliche Programmcode entwickelt wird. Vorteile sind die Vermeidung unnötiger Code-Entwicklung, die Möglichkeit, den Fortschritt anhand der Testergebnisse zu messen, und eine bessere Code-Qualität durch kontinuierliches Refactoring.

1. TDD (Test-Driven Development): Tests werden vor dem Code geschrieben, um die Funktionalität zu gewährleisten.

2. BDD (Behavior-Driven Development): Anwendungsfälle werden in einer verständlichen, aber formalen Sprache definiert, die für alle Beteiligten verständlich ist, und dann in automatisierte Tests umgesetzt.

2020 betrug der wirtschaftliche Schaden durch Cyberangriffe in Deutschland 223 Milliarden Euro (Holthusen, 2021).

Das Open Web Application Security Project (OWASP) überprüft regelmäßig Websites und Web-Apps auf Sicherheitslücken und veröffentlicht Berichte sowie Empfehlungen, um die Web-Sicherheit zu verbessern.

1. Defekte Zugangskontrolle: Ressourcen dürfen nicht für alle Benutzer zugänglich sein; es muss überprüft werden, welche Benutzer Zugriff auf welche Ressourcen haben.

2. Kryptografische Fehler: Zu viele Informationen über die Website oder unzureichende Verschlüsselung können Angreifern nützliche Informationen liefern.

3. Code-Injektion: Manipulierte Eingaben können dazu führen, dass unerwünschter Code auf der Website ausgeführt wird, wie bei Cross-Site-Scripting (XSS).

Eine häufige Sicherheitslücke im Design ist ein unsicheres Design, bei dem Sicherheitsaspekte nicht ausreichend berücksichtigt werden, z. B. indem interne und externe Datenverarbeitung nicht ausreichend getrennt wird.

Anfällige und veraltete Komponenten können Sicherheitslücken enthalten, die ausgenutzt werden können. Regelmäßige Updates sind notwendig, um diese Sicherheitsrisiken zu minimieren.

Cross-Site-Scripting (XSS) ist eine Sicherheitslücke, bei der Angreifer eigenen Code (z.B. JavaScript) in eine Webseite injizieren können. Verhindert werden kann dies durch die sichere Verarbeitung und Ausgabe von Benutzereingaben, z.B. durch Quoting-Funktionen oder durch die Verwendung von innerText statt innerHTML.

1. Korrekte Konfiguration des Webservers: Sicherstellen, dass der Webserver richtig konfiguriert ist.

2. Nutzung einer Web Application Firewall: Einsatz einer speziellen Firewall, um viele Standard-Attacken abzuwehren.

3. HTTPS statt HTTP: Verwendung von HTTPS, um die Übertragung von Daten, einschließlich Passwörtern, zu verschlüsseln.

4. DNS absichern: Schutz des Domain Name Systems (DNS) durch Mechanismen wie DNSSEC, um Umleitungen und Angriffe zu verhindern.