Diskussion:Webanwendung

Eine mögliche Redundanz der Artikel Webanwendung und Webapp wurde von November 2012 bis Dezember 2012 diskutiert (zugehörige Redundanzdiskussion). Bitte beachte dies vor der Anlage einer neuen Redundanzdiskussion.

Mir ist aufgefallen, das unter der Kategorie Sicherheit die RFI(Remote File Inclusion) Lücke nicht aufgelistet ist.

Schützt SSL vor MitM-Angriffen?[Quelltext bearbeiten]

Eine IP hat folgende Zeilen im Abschnitt Webanwendung#Man-in-the-Middle-Angriff hinzugefügt:

 Ergänzung: Selbst eine SSL Verschlüsselung schützt nicht wirksam vor einer MitM-Attacke, 
 da dort nur eine einseitige Identifizierung der  Kommunikationspunkte stattfindet. 
 Tatsächlich besteht die einzige Sicherheit in einer beidseitig authentifizierten und 
 verschlüsselten Verbindung wie sie in einer IpSec über VPN Verbindung bereitgestellt wird.

Meiner Meinung nach ist das nicht ganz richtig denn:

• SSL/TLS sieht grundsätzlich auch Client-Zertifikate vor (ok, nutzt keiner, aber damit stimmt die Aussage oben schon mal nicht mehr)
• Sofern der Angreifer kein gültiges Zertifikat des Webservers hat, kann er nicht auf den Klartext zugreifen

Falls ich mich irre, bitte zunächst hier diskutieren - ich füge dann den Absatz gerne wieder ein.

Gruß Togs 15:11, 27. Jan 2006 (CET)

Die beiden Punkte sind schon richtig. Wobei dem zweiten noch hinzuzufügen ist, dass der Angreifer das vollständige Zertifikat - inkl. privatem Schlüssel - benötigt. Dennoch kann eine SSL Verschlüsselung geknackt werden: durch Durchprobieren der (synchronen) Verschlüsselungskeys - Abhängig von der Key-Länge ist dazu aber in der Regel zu viel Rechenkapazität erforderlich, zumal der verwendete SSL-Key auch regelmäßig gewechselt wird (abhängig von der Server-Konfiguration). --Kwer Wolf 15:19, 15. Mär. 2007 (CET)[Beantworten]

Das ist weder ein typischer Angriffsvektor noch ein generelles Problem von HTTPS oder TLS. Togs hat recht, der Absatz gehört hier nicht her. -- iGEL·대화·Bew 19:57, 4. Aug. 2007 (CEST)[Beantworten]

Serverseitiges Scripting[Quelltext bearbeiten]

Unter Cross-Site Scripting steht:

Unter serverseitigem XSS versteht man das Einschleusen von manipulierten Informationen in eine auf dem Webserver ausgeführte Scriptsprache,

das ist zwar nicht falsch, aber i. d. R. spricht man dann von Code-Injection. --Circe, 24. Nov. 2007

Deppenleerzeichen[Quelltext bearbeiten]

Ich will hier keine Trollkommentar scheiben, aber in einigen anderen Artikeln wird durchgehend die deutsche Schreibweise benutzt (siehe SQL Injection vs. SQL-Injection). Dies ist ein Wiki in Deutsch, dann sollte man auch die Sprache dafür benutzen. Den Ansatz wie bei SQL-Injection (engl. SQL Injection) finde ich nicht schlecht, benutzt konsequent was man in deutschen Schulen lernt, und auch wer Denglisch bevorzugt kann es verstehen ;-) --Circe, 24. Nov. 2007

Verschiebung nach »Webanwendung«[Quelltext bearbeiten]

Kann dieser Artikel bitte dauerhaft nach »Webanwendung« verschoben werden? »Internetprogramm« wird m.E. extrem selten gebraucht. Vor allem ist es missverständlich, weil Laien unter »Internetprogramm« aler Vermutung nach Anwendungsprogramme für das Internet verstehen, also z.B. Browser, E-Mail-Programme, Chat-Clients etc. -- molily 19:14, 5. Jun 2005 (CEST)

Hi! Meiner Meinung nach ist ebenfalls die Bezeichnung Webanwendung oder Web-Applikation (ob jetzt jeweils mit Bindestrich oder ohne sei mal dahingestellt) sinnvoll. Hatte schon mangels eines Eintrages unter "Web-Applikation" dort angefangen ungläubig etwas zu verfassen bis ich es hier entdeckt habe.. Sofern hier bis Ende Oktober keine Einwände kommen, werde ich den Artikel dann verschieben. Togs 19:45, 20. Okt 2005 (CEST)

Ich nochmal.. Habe den Artikel in die Kategorie "Wikipedia:Artikel zum gleichen Thema" eingeordnet, was das Thema Lemma noch mal wieder hochbringt. Mein PRO für "Web-Anwendung" oder "Web-Applikation": in allen anderen Sprachen wird eben dieser Aglizismus auch verwendet. -- Togs 10:59, 21. Okt 2005 (CEST)

So, nachdem sich keiner gerührt hat und auch Wikipedia:Artikel zum gleichen Thema auch ein gewisser Unmut über das Lemma "Internetanwendung" zum Vorschein kam, habe ich den Artikel nun nach "Web-Anwendung" verschoben. Zur Begründung für die Wahl genau dieses neuen Lemmas: Es existierten eine Reihe von Komposita, unter denen das geeignete Lemma auszuwählen war - "Serverseitige Anwendung" ist ein Oberbegriff für mehr als nur Web-Anwendungen und scheidet damit kategorisch aus. Komposition sagt: Bei Determinativkomposita in germanischen Sprachen bestimmt das Erstglied (Determinans, modifier, Bestimmungswort) das Zweitglied (Determinatum, head, Grundwort, Basiswort) näher. Der Artikel beschreibt eine bestimmte Art von Computer-Programmen, die dadurch bestimmt sind, dass sie durch einen Browser bedient werden. Als Grundwort stünde also "Anwendung", "Applikation" oder "Programm" zur Auswahl, als Bestimmungswort "Browser", "Web" oder "WWW". Die vormalig verwendeten Bestimmungswörter "Internet" und "Online" sind dagegen zu unscharf bzw. unvollständig. Unter Zuhilfenahme einer beliebten Suchmaschine ist festzustellen, dass "Web-Applikation" und "Web-Anwendung" (ohne Berücksichtigung des Bindestriches) etwa gleich gängig sind, während alle anderen Kombinationen selten bis gar nicht anzutreffen sind oder etwas anderes bezeichnen. Bei der Wahl zwischen "-Anwendung" und "-Applikation" fiel die Wahl auf ersteren Begriff, da dieser hier in der Wikipedia bereits als Synonym für "Computer-Programm" verwendet wird. Da die beiden Wörter aus denen das Kopositium gebildet wird aus zwei Sprachen kommen, erleichtert die Verwendung eines Bindestriches die Lesbarkeit insbesondere für den fachfremden Leser deutlich. Somit fällt die Wahl auf "Web-Anwendung". --Togs 19:40, 28. Okt 2005 (CEST)

Ich würde es ohne Bindestrich schreiben (vgl. Webpräsenz etc.). Der Bindestrich wirkt eher stören und erzeugt bei der Aussprache eine Art "Lücke". Den Bindestrich würde ich nur bei langen Wörtern wie "Beachvolleyball-Weltmeisterschaft" verwenden. Stern !? 15:53, 29. Okt 2005 (CEST)

(fast) komplett neugeschrieben[Quelltext bearbeiten]

Hallo, habe den Artikel komplett neu geschrieben, da der bestehende m.E. ziemlich inhaltsleer war. Mir fehlt heute die Zeit, den Text mit sinvollen Verlinkungen aufzufüllen - werde ich da hoffentlich in den nächsten Tagen mal drum kümmern. Die letzten beiden Absätze habe ich bis auf weiteres unverändert gelassen, weil ich die Aspekte generell interessant fand. Auch hier ist aber eine Überarbeitung notwendig, da teils verwirrend, teils falsch. Hat jemand eine Quelle zu den Kategorien? Togs 19:45, 20. Okt 2005 (CEST)

Kategorien (!erledigt!)[Quelltext bearbeiten]

Woher stammen diese Angaben (Kategorien von Webanwendungen)? Sind das tatsächlich Fachliche definitionen oder eifach eine Subjektive unterscheidung? Eine Quellenangabe wäre hier durchaus angebracht... --Kako 12:16, 12. Jan 2005 (CET)

(Dieser Eintrag von Kako wurde zur besseren Übersichtlichkeit von mir an das Ende der Diskussion und unter einen eigenen Hauptpunkt verschoben --Togs 19:40, 28. Okt 2005 (CEST))

Hi. Ich würde gerne den Begriff der Same Origin Policy im Abschnitt Sicherheit als potenzielle Gegenmaßnahme erwähnen, weiß aber nicht so recht, wie. Hat jemand eine kreative Idee? --j ?! 18:11, 28. Mai 2008 (CEST)[Beantworten]

Eine Webanwendung benötigt eine ständige TCP/IP-Verbindung zwischen dem Client und dem Server; eine dauerhafte Verbindung kann nur durch eine Session erreicht werden. Daraus können sich Sicherheitsprobleme ergeben (siehe unten).

IMHO stimmt das so nicht.

• Die TCP/IP Verbindung muss nicht die ganze Zeit stehen, sondern nur wenn Information fliessen muss
• Nicht jede Webanwendung benötigt Sessions
• Es sind auch nicht alle Sessionmechanismen pauschal unsicher, daher kann man schon gar nicht Webanwendungen den pauschalen Vorwurf machen, sie seien unsicher

Zur Erklärung:

HTTP wurde als zustandsloses Protokoll entworfen, d.h. an sich ist jedes Request/Response Paar unabhängig von einen anderen. Sessions sind ein logisches Konstrukt, welches darauf zielt, zwischen solchen unabhängigen Kommunikationen einen logischen Zusammenhang herzustellen, z.B. unter den vielen Tausend Anfragen die auf einen Server einprasseln zu entscheiden, dass Anfrage 7, 29 und 3487 zu einem Benutzer gehören. Dies wird erreicht, indem zusätzliche Zustandsinformation von einem HTTP Austausch zum nächsten durchgereicht wird. Es gibt halt verschiedene Wege eine solche Session über den zustandlosen HTTP Kommunikationen aufzubauen. Beispiele sind Cookies, REST oder WSS.

Die Bandbreite der Verbindung muss außerdem auf die Anforderungen der Webanwendung ausgelegt sein. Dieser Umstand schließt Webanwendungen für eine Reihe von Einsatzszenarien, wie z. B. die mobile Offline-Benutzung, per Definition aus.

Auch da tue ich mich schwer mit. Da sich die Verfügbarkeit (z.B. Mobile Datenflatrates) und die Bandbreiten des Internetzugangs laufend verbessern, ist das keine Aussage die permanent gültig ist.

--Marc van Woerkom 12:54, 28. Aug. 2008 (CEST)[Beantworten]

Nachteile

Eine Webanwendung benötigt eine ständige TCP/IP-Verbindung zwischen dem Client und dem Server; eine dauerhafte Verbindung kann nur durch eine Session erreicht werden. Daraus können sich Sicherheitsprobleme ergeben (siehe unten). Die Bandbreite der Verbindung muss außerdem auf die Anforderungen der Webanwendung ausgelegt sein. Dieser Umstand schließt Webanwendungen für eine Reihe von Einsatzszenarien, wie z. B. die mobile Offline-Benutzung, per Definition aus.

=> das scheint mir nicht korrekt zu sein, weder inhaltlich, noch jeglicher Logik folgend. Inhaltlich: Es ist durchaus möglich einen Webserver auf einem PC laufen zu lassen und auf diesen mit einem Browser vom gleichen PC aus zuzugreifen. Ergo ist eine mobile offline-Benutzung möglich. Im übrigen gibt es zahlreiche Anwendungen, die dieses System nutzen. Speziell im CRM Bereich (mobiler Außendienst). Logisch: Die Definition besagt nur, dass ein Client via Webbrowser auf einen Server zugreift. Im Extremfall kann das Netzwerk auch auf nur einem PC bestehen, da laut Definition "die räumliche Entfernung zwischen Client und Server unerheblich ist". Ein PC kann also sowohl Client als auch Server in einem sein. Die angebrachte Schlussfolgerung, dass die mobile Offline-Benutzung aus geschlossen ist, ist demnach fehlerhaft. -- 193.26.96.6 16:36, 24. Apr. 2009 (CEST)[Beantworten]

Beide Einwände sind teilweise berechtigt. „eine ständige TCP/IP-Verbindung“ meint die Möglichkeit einer Verbindung, also "online" sein. Hier sollte eine treffendere Beschreibung gefunden werden!

„die mobile Offline-Benutzung“ bezieht sich auf den Fall, dass der Server nur über das Internet erreicht werden kann. Der Fall, dass Server und Client in einem Rechner sitzen, habe ich im Bild mit "Local Loop" (Loopback) bezeichnet. Die Webanwendung ist im Artikel mit HTTP als Verbindungprotokoll gekennzeichnet. Auch ein lokaler Server wird mit HTTP abgefragt. Vielleicht könnte man eine einschränkende Anmerkung hinzuführen! Gruß Gerd Ebertplatz 00:21, 25. Apr. 2009 (CEST)[Beantworten]

Widerspruch im Artikel[Quelltext bearbeiten]

Die folgende Behauptung aus Webanwendung#Abgrenzung

 Webanwendungen lassen sich von anderen, ähnlichen Technologien gut abgrenzen, da die Interaktion
 mit dem Benutzer per Definition ausschließlich über einen Browser erfolgt.

widerspricht sich mit Webanwendung#Funktionsweise

 Webanwendungen setzen nicht zwingend die Benutzung eines Browsers voraus.
 Anfragen können auch von anderen Programmen durchgeführt werden [...].

und lässt dabei offen, was mit "ähnlichen Technologien" gemeint ist und woher die angesprochene "Definition" stammen soll.

-- 92.230.59.226 14:41, 27. Mär. 2010 (CET)[Beantworten]

Im Englischen gibt es neben dem Interwiki für diesen Artikel (Web application) noch ein weiteres Lemma, und zwar Web app. Dabei handelt es sich tatsächlich um ein gesondertes Lemma. Das Deutsche bleibt diesen Artikel schuldig, glaube ich. Oder gibt es ein deutsches Äquivalent? -- Gohnarch^░ 14:24, 1. Jul. 2011 (CEST)[Beantworten]

Die beiden genannten Artikel Web application und Web app wurden zusammengelegt, was auch für die deutschen Artikel Webapp und Webapplikation erstrebenswert ist. --Sonyx18 (Diskussion) 01:35, 31. Jul. 2012 (CEST)[Beantworten]

Im Artikel steht, eine Webanwendung müsse serverseitig sein. Ich habe allerdings schon Dinge geschrieben, die aus einer statischen HTML-Seite und einem statischen Javascript bestehen. Das wären nach der hiesigen Definition keine Webanwendungen, nach meinem Empfinden und laut der Definition der englischen Wikipedia aber schon (zweiter Satz). Ich vermute, dass das auch mit der Zusammenlegung der o.g. beiden Artikel zu tun hat. --Яedeemer 20:24, 13. Mär. 2012 (CET)[Beantworten]

Dem muss ich zustimmen. Eine Webanwendung (zu englisch Web Application) ist nicht nur serverseitig ausführbar. Gerade durch die Neuerungen die mit HTML5 einhergehen, werden Webanwendungen wohl immer häufiger auch ohne Server auskommen können.

Siehe auch http://www.w3.org/TR/offline-webapps/

Sonyx18 (Diskussion) 12:11, 29. Jun. 2012 (CEST)[Beantworten]

Zustimmung. Ich habe die Einleitung neugeschrieben. Bitte überprüfen. --Trustable (Diskussion) 18:34, 29. Jun. 2012 (CEST)[Beantworten]

Was das Serverseitige in der Einleitung angeht passt es jetzt. --Sonyx18 (Diskussion) 01:42, 31. Jul. 2012 (CEST)[Beantworten]

Mittlerweile hat sich viel getan und viele Nachteile wie Verbindung zum Webserver, keine mobile Offline-Nutzung, keine Bearbeitung von Videos (geht Offline) und die CSS Hacks (hier fälschlicherweise als Browser-Weichen bezeichnet) bei aktuellen Browsern nicht mehr vorhanden sind. Außerdem entwickelt das W3C keine Standards, sondern gibt nur Empfehlungen aus. Der Abschnitt Nachteile und dadurch zwangsläufig auch die Vorteile bedürfen einer grundlegenden Überarbeitung. Aufgrund der neuen Techniken gibt es sehr wahrscheinlich auch neue Sicherheitsrisiken und Geschichtlich hat sich dementsprechend auch einiges getan. Es wäre wie oben erwähnt eine Zusammenlegung mit dem Artikel Webapp angebracht, welcher sich mit dem gleichen Thema beschäftigt, allerdings mit dem Schwerpunkt der Clientseitigen Webapplikationen. Eventuell sollte auch ein Abschnitt für Hybride Anwendungen, wie sie zu Hauf auf Smartphones und Tablets zu finden sind, aufgenommen werden. Daher mein Frage, ob es nicht vernünftig ist, den Artikel zur Qualitätssicherung auszuschreiben. --Sonyx18 (Diskussion) 01:58, 31. Jul. 2012 (CEST)[Beantworten]

Ich habe die Zusammenlegung mit dem anderen Webapp-Artikel durchgeführt. Die Redundanzdiskussion war hier: Wikipedia:Redundanz/November_2012#Webanwendung_-_Webapp. --Villem (Diskussion) 03:04, 11. Dez. 2012 (CET)[Beantworten]

Warum sind die Sicherheitsaspekte in diesem Artikel so detailliert aufgeführt? Jede Internetseite ist diesen potenziellen Gefahren ausgesetzt. -- Nightfly | _Disk 23:40, 28. Jan. 2013 (CET)[Beantworten]

Sehe ich genau so. Ein Verweis auf Sicherheit von Webanwendungen ist ausreichend. -- Eatthis 11:41, 06. Jan. 2016 (CET)[Beantworten]

Wurde umgestellt. --Eatthis86 (Diskussion) 11:42, 16. Jan. 2016 (CET)[Beantworten]