a11r - rant machine?

openBC ist immer wieder eine Fundgrube interessanter Informationen (und damit meine ich jetzt nicht "Wo ist XY denn gelandet???").
Heute morgen wurde ich im Forum auf folgendes aufmerksam:

'ONR 17700 "Informationsverarbeitung - Sicherheitstechnische Anforderungen an Webapplikationen"', eine Norm aus Österreich, die gemäss http://www.on-norm.at/publish/2104.html eine zertifizierbare(!) Grundlage und Checkliste zu sicherheitstechnischen Anforderungen an Webapplikationen darstellt.
Insbesondere die Möglichkeit der Zertifizierung hebt die ONR 17700 vom OWASP ab, Kristian hat dazu auch mal was geschrieben.

Als weltweit erstes Dokument legt sie sicherheitstechnische Anforderungen fest. Sie behandelt die Themenbereiche Architektur der Webapplikation, Konfigurationsmanagement, Authentisierung und Sitzungsmanagement, Formulare und andere Benutzereingaben, Einbinden von Dateien, Ausführung externer Programme, File Uploads und Downloads, Datenbanken, Fehlermeldungen und Kryptographie. Zu allen zur Zeit bekannten Angriffsmethoden wird erläutert, wie man sie effektiv verhindert. Die übersichtliche Aufstellung ist wie eine Checkliste zu verwenden, damit nichts vergessen wird. Gegebenenfalls dient sie Sicherheitsverantwortlichen auch als Argumentationshilfe, um bestimmte Maßnahmen im Betrieb durchzusetzen.

Zertifizierung gibt Sicherheit
Hat ein Unternehmen alle Anforderungen der ONR 17700 an eine Webapplikation erfüllt, kann es sich zertifizieren lassen. Um eine unabhängige und objektive Evaluierung der Anwendung zu garantieren, müssen der Quelltext sowie ein Testsystem einer Auditorganisation zur Verfügung gestellt werden. Ein Vorteil des Auditverfahrens: möglicherweise übersehene Schwachstellen werden beanstandet und können bereinigt werden. Und ebenso wie bei Webapplikationen, bei denen es um enorme Geldtransfers geht, wie zB im Bankenbereich, gewährleistet eine Zertifizierung jedem Unternehmen Rechtssicherheit.
Quelle: http://www.on-norm.at/publish/2104.html