HTML-Bereinigung: Vier Tools im Test
Kommentare

Security ist einer der wichtigsten Punkte für jeden Entwickler. Gerade im Web – eine Seite die prinzipiell jedem Menschen offen steht zieht früher oder später einen Schelm an, der sein „Glück“

Security ist einer der wichtigsten Punkte für jeden Entwickler. Gerade im Web – eine Seite die prinzipiell jedem Menschen offen steht zieht früher oder später einen Schelm an, der sein „Glück“ suchen und versuchen wird, eine Schwachstelle zu finden. Ein Punkt, der dabei gerne übersehen wird: HTML Sanitisation.

HTML Sanitisation has a very low profile in PHP. It’s rarely mentioned, usually not understood all that well, and examining some of the solutions in this area with more deliberate attention is worth doing.Pádraic Brady, 2010

Pádraic Brady, einer der Köpfe des Zend Framework Community Review Teams, arbeitet im Moment selbst an einer Lösung für dieses Problem, dass er in Zukunft in Version 2 des Zend Frameworks einbringen möchte. Daher hat er sich auf dem Markt der verfügbaren Tools umgesehen – und teilt die gesammelten Erfahrungen jetzt in seinem sehr ausführlichen Artikel HTML Sanitisation: The Devil’s In The Details (And The Vulnerabilities).

Nach einer Einführung, in der er auf die generelle Problematik eingeht, kümmert er sich um die vier Kandidaten, die er sich für seinen Test ausgesucht hat:

  1. PEARs HTML_Safe
  2. htmLawed
  3. WordPress Kses
  4. HTMLPurifier
The whole point of a security related solution IS security

Wie von Pádraic nicht anders zu erwarten, geht er en Detail auf alle wichtigen Punkte – darunter natürlich im Besonderen auf die Schwachstellen – der einzelnen Tools ein. Die jeweiligen Ergebnisse, die zum Teil interessante Schwachstellen aufdecken, möchten wir zwar nicht vorweg nehmen, aber das Fazit ist eindeutig: HTMLPurifier is, quite simply, the only fully functioning and fully featured HTML Sanitiser in PHP. It literally stands alone. Ein Ergebnis, das nicht wirklich überrascht; nicht einmal ihn selbst. Und das ist es, was ihn daran zum nachdenken bringt:

What is surprising, is that this isn’t surprising to me anymore. It’s par for the course in PHP and that hasn’t changed since the 90s. I love PHP to bits, but it’s a language that is tragically short on security expertise, and where a security expert can be nothing more than someone who read a book long ago and who has no incentive to move beyond the obvious or do something extraordinary – like using Google.Pádraic Brady, 2010

Es überrasche ihn immer wieder, dass Entwickler stets auf Performance beharrten und dabei so grundlegende Dinge außer Acht liessen. Sein Aufruf ist daher klar: Do yourself a favour, use HTMLPurifier. And Ambush Commander, update the fracking comparison page already!

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -