[Blockierte Grafik: http://cover.galileo-press.de/9783836211949.gif]
Bildverlinkung geniest die freundliche Genehmigung des Galileo Press Verlag.
- Authoren: Mario Heiderich, Christian Matthies, Johannes Dahse, fukami
- Verlag: Galileo Computing
- Ausgabe: Erstausgabe
- Sprache: deutsch
- Umfang: 644 Seiten
- ISBN: 978-3-8362-1194-9
„Sichere Webanwendungen -
Das Praxisbuch“rezensiert von
Torsten Hinze
Vorwort
Ich möchte ausnahmsweise mal den Buchtext als Vorwort verwenden, da er mir sehr treffend erscheint und ich Probleme hätte die Fülle der Themen in einen rel. kurzen Text zu packen."Wenn Sie Webanwendungen konzipieren, erstellen oder pflegen, sollten Sie dieses Buch unbedingt lesen. Unsere Autoren sind Experten in Sachen Webapplikations-Sicherheit. Sie geben Ihnen einen umfassenden Überblick über die wichtigsten Angriffsszenarien, zeigen praxisnah, wo Sie aufpassen müssen und wie Sie Sicherheitslücken vermeiden können. Nicht nur Session-IDs, Formulardaten oder Anmeldeinformationen lassen sich ausspionieren und vielfältig missbräuchlich einsetzen. Lernen Sie, was sich hinter XSS und CSFR verbirgt, wie Sie sich vor SQL Injections, URI-Attacken oder z. B. Directory Traversals schützen können, Flash-Anwendungen absichern und Sicherheits-Tools nutzen können."
Eine Leseprobe gibt es hier: PDF (2.8MB)
zum Inhalt
Der Inhalt des Buches deckt die folgenden Punkte ab.Kapitel:
- 1 ... Einleitung
- 2 ... Rechtslage
- 3 ... Vergangene Angriffe und Hacks
- 4 ... Sicherheit Web 2.0
- 5 ... Webentwicklung mit Adobe Flash
- 6 ... Sichere Webapplikationen bauen
- 7 ... Testphase
- 8 ... Pflege- und Erweiterungsphase
- 9 ... XSS
- 10 ... Cross Site Request Forgeries
- 11 ... SQL Injection
- 12 ... Directory Traversal
- 13 ... RCE und LFI
- 14 ... URI-Attacken
- 15 ... Projekte und Tools
[Das komplette Inhaltsverzeichnis hängt als PDF an]
Unter Sicherheit im Netz versteht man landläufig das Bemühen eigene Daten, wie z.B. beim Banking, vor dem Zugriff Dritter zu schützen. Hat man sich die Kapitel 3 und 4 durchgelesen, erscheint dies eindeutig untertrieben zu sein. Die Fülle an Angriffsvektoren ist sehr hoch und durch die Erläuterungen zu geschehenen Hacks kann man auch erkennen, dass es niemals absolut sichere Anwendungen geben wird. Die erklärenden Texte sind dabei stets gut verständlich gehalten, auch wenn viele Fachbegriffe verwendet werden. Wenn nötig holt der Autor kurz aus, um diese eingehender zu erläutern.
Besonders die Kapitel 3 +4 sind sehr aufschlußreich und geben dem Entwickler wichtige Denkanstöße, um seine eigenen Apps auf solche Sicherheitsaspekte zu hinterfragen.
Das Kapitel 5 zu Adobe Flash hat bei mir eher den Eindruck hinterlassen, dass es als willkommener Füllstoff herhalten durfte. Hier gibts sehr sehr viele Detailinfos zu Flash, von der Einbindung in die Seiten, über die Parametereinbindung bis hin zu Angriffsszenarien durch Flash. Letzteres ist dann wieder interessant, jedoch liest sich der erste Teil wie ein "How to code in Flash" Tutorial.
Aber schon im nächsten Abschnitt gehts wieder richtig zur Sache und diesmal bis ins Detail. Hier werden die Techniken erläutert und bis ins Letzte beschrieben, um die es ja eigentlich geht: um die Sicherheitsmechanismen. Sessions, Captchas, Includes usw. werden unter Berücksichtigung technischer und konzeptioneller Sicherheitslücken ausführlich betrachtet. Und hier merkt man den Autoren auch ihr hohes Praxiswissen an. Der Stoff wird zwar dadurch deutlich schwerer lesbar, aber dafür bekommt man als Coder super wichtige Informationen an die Hand.
Nach den etwas lockeren Kapiteln 7 + 8 gehts dann wieder in komplexere Konstellationen, die auch beim Lesen höhere Denkleistungen erfordern. Am Ende des gesamten Buches ist man um so viele Infos zum Thema App-Sicherheit reicher, dass man keinem Programm mehr traut.
Oder besser: man hat die Kompetenz erlangt speziell die Webdienste mit kritischeren Augen zu sehen.
Fazit
Sensationell – dieses Buch ist wie die rote Pille in Matrix. Danach ist nichts mehr wie es vorher war. Die hübschen (speziell die Web2.0) Fassenden werden nun anders wahrgenommen.
Für die eigene Arbeit ist jedoch wichtig, dass man hier aus einem sehr großen Informationspool schöpfen kann, der es einem ermöglicht die eigenen Webprogramme zu verbessern.Mein Prädikat: absolut empfehlenswert.
Torty