Protokoll 24.10.2018

1. XSS ueber alten Browser, der CSP nicht respektiert: wie sieht das aus, ist das eine Threat?
2. Wir struggeln zurzeit mit dem DFD, da wir denken, dass ein zu detailliertes dazu fuehrt, dass das DFD nicht mehr wertvoll ist (zu viele Datenfluesse etc), aber wenn wir es rein auf unsere Architektur beschraenken, sieht es zu nutzlos aus. Sollten wir sowas wie Play als Prozess einbauen, da Play beispielsweise als Depatcher fuer alle Requests fungiert?
3. Sieht er sowas wie Pagination als Problem an? Siehe: https://github.com/Geend/HshHelper/issues/34 - Stichwort DOS durch Resourcenverschwendung?
4. Captcha - hast du bereits geklaert
5. Fuer die Policies: Wir waren der Meinung, dass sowas wie unsere bereits definierte Berechtigungsmatrix mit ggf. ein wenig Erklaerungstext sowie Ergaenzungen durch Text ausreichen wuerde. Sehen wir das falsch?
6. Sieht er es aehnlich wie wir, dass wir es als Confidentiality Breach betrachten, wenn jeder Nutzer sehen koennte, welche Nutzer es im System gibt? Stichwort: View "All" Group.
7. Wir denken, dass ein User effektiv aus der Applikation geschlossen werden koennte, wenn man ihn mit Gruppen zuspammt. Sieht er das als Security Problem? Mitigation: User bestaetigen lassen, dass er Invite zu Gruppe annimmt (ggf. Invites einer Gruppe ignorieren)

---

1. Antwort: es ist ok browser von 2013 auszuschließen, und als assumption zu wählen dass csp vor xss schützt. es würden genug neuralgische punkte offen bleiben.
2. Antwort: er sagte das dfd soll schon die realität abbilden, versteht aber unseren punkt. er hatte vorgeschlagen, dass wir einen * dahin machen und grundsätzlich regeln, dass die daten durch die session-komponente fließen und von dieser die identity validiert wird.
3. Antwort: pagination bzw. eine riesen liste von gruppen stellt kein problem dar
4. Antwort: ja, ist ok
5. Antwort: die matrix mit ein wenig text ist ausreichend
6. Antwort: ist kein confidentiality breach
7. Antwort: ist kein denial-of-service