Mozilla entwickelt Sicherheitstest-Framework "Minion"

Die Mozilla Foundation entwickelt derzeit ein Open Source Sicherheitstest-Framework namens Minion, dessen Beta-Version im ersten Quartal 2013 veröffentlicht werden soll. Mit Minion sollen Entwickler einen Sicherheitscheck ihrer Web-Applikationen anstoßen können. Dadurch werden dann etablierte Pentest-Tools wie OWASPs Zed Attack Proxy (ZAP), Skipfish und NMAP auf die Applikationen angesetzt. Weitere Tools soll man einfach als Plug-in ergänzen können.

Wie Yvan Boily, Sicherheitsentwickler von Mozilla, in seinem persönlichen Blog schreibt, soll Minion – auch von den Entwicklern bei Mozilla – dazu genutzt werden "schreckliche Dinge mit den Applikationen und Services zu tun, die sie schreiben." Mit der ausgereiften Version von Minion soll das dann so einfach wie ein Knopfdruck funktionieren. Einen ersten Einblick liefert ein Vortragsmitschnitt, in dem Boily das Framework demonstriert.

Die Daten, die bei den Tests anfallen, sollen gesammelt und evaluiert werden. Dementsprechend weist Mozilla im Projekt-Wiki darauf hin, dass Minion "sehr sicher" konzipiert werden muss, da es "mit sehr vertraulichen Daten umgehen wird" - beispielsweise mit Informationen zu den am weitesten verbreiteten Sicherheitsproblemen. Beteiligte des Minion-Projektes streiten in diesem Zusammenhang nicht ab, dass auch Kriminelle das Framework nutzen könnten, um Schwachstellen in Webseiten zu finden. Allerdings soll der Dienst vor dem Angriff auf eine Webseite prüfen, ob tatsächlich die Webseitenbetreiber die Anfrage nach einem Test gestellt haben. (kbe)