Tangled Web
Kommentare

Jeder, der sich mit Websecurity auskennt, dürfte Michal Zalewski kennen. Er befasst sich vor allem mit der Sicherheit von Webbrowsern und damit in zweiter Linie mit der damit

Jeder, der sich mit Websecurity auskennt, dürfte Michal Zalewski kennen. Er befasst sich vor allem mit der Sicherheit von Webbrowsern und damit in zweiter Linie mit der damit untrennbar verbundenen Sicherheit der Client-Seite der Webanwendungen. Von ihm stammen zum Beispiel der Schwachstellenscanner skipfish und das Browser Security Handbook, in dem die sicherheitsrelevanten Besonderheiten der Webbrowser beschrieben werden. Das Browser Security Handbook ist inzwischen nicht mehr ganz aktuell, und um seinen Nachfolger geht es in dieser Rezension. Zumindest teilweise, denn „Tangled Web“ geht weit über den Umfang des Browser Security Handbooks hinaus.

Die deutsche „Übersetzung“ weist eine Besonderheit auf, weshalb ich das Wort auch in Anführungszeichen gesetzt habe. Denn es ist keine reine 1:1-Übersetzung des 2011 erschienenen Originals, sondern wurde an weit über 100 Stellen aktualisiert. Denn manches, was im Bereich der IT-Sicherheit beim Schreiben eines Buchs aktuell ist, ist bei seiner Drucklegung bereits überholt oder kurz nach der Veröffentlichung vielleicht sogar falsch. In der deutschen Übersetzung wurden mit der Zustimmung von Michal Zalewski Korrekturen und Erklärungen eingefügt und neu bekannt gewordene Probleme erläutert. Fachberater der deutschen Ausgabe ist Mario Heidrich, ebenfalls kein Unbekannter im Bereich der Websecurity. Von ihm stammt zum Beispiel das HTML5 Security Cheatsheet, außerdem war er einer der Initiatoren des Intrusion Detection Systems PHPIDS für PHP.

Aber kommen wir zum Buch und betrachten dazu ein zufällig herausgesuchtes Beispiel. Gelandet bin ich in Kapitel 9: „Inhalte isolieren“. Das ist das erste Kapitel des zweiten Teils des Buchs, „Sicherheitsfeatures von Browsern“. Los geht es in diesem Kapitel mit der Beschreibung des Grundlegenden Konzepts der Browser-Sicherheit, der Same-Origin Policy. Wenn Sie nicht wissen, was das ist, finden Sie etliche Beschreibungen im Web. Sie können aber auch dieses Buch lesen, dann wissen Sie hinterher nicht nur, was die Same-Origin Policy ist, sondern noch sehr viel mehr. Denn die Beschreibung ist sehr ausführlich und zeichnet sich, wie alle anderen Kapitel des Buchs ebenfalls, durch einige Besonderheiten aus: Im Text werden die Grundkonzepte beschrieben, in diesem Fall eben was die Same-Origin-Policy ist und wie sie funktioniert. Besonderheiten werden in den Fußnoten erklärt, hier erfahren Sie zum Beispiel dass die Same-Origin Policy und die meisten anderen Schutzmaßnahmen der Browser auf DNS-Labels und nicht auf IP-Adressen basieren und welche Folgen das hat. In grau abgesetzten Kästen gibt es weiterführende Hinweise, zum Beispiel auf den Grund für die Einführung der Same-Origin Policy (die Einführung von Frames und die sich daraus ergebenden Sicherheitsprobleme) und ihren Geltungsbereich. Abgeschlossen wird jedes Kapitel mit einem „Spickzettel für Webentwickler“, in dem die wichtigsten zu beachtenden Punkte zusammengefasst werden. Insgesamt also eine sehr runde Sache. Das Buch ist sehr gut als Einführung lesbar, erfüllt aber auch als Nachschlagewerk seinen Zweck.

Kommen wir noch kurz zu dem, was nicht im Buch steht: Thema des Buchs ist nicht die Sicherheit der Webanwendung als Ganzes, sondern ausschließlich die des clientseitigen Codes im Webbrowser. Wenn Sie also Informationen über serverseitige Schwachstellen wie zum Beispiel SQL Injection, Directory Traversal und ähnlichem suchen, sind Sie hier falsch. Wenn Sie aber den immer umfangreicher werdenden Client-Teil Ihrer Webanwendung sichern wollen, sind Sie hier genau richtig. Für die Server-Seite gibt es bereits genug Literatur, der Client wurde bisher weitgehend vernachlässigt. Das ist nun vorbei.

Falls man also mit Gewalt etwas zum Kritisieren suchen wollte, wäre der Untertitel der einzige Anlass dazu: „Der Security-Leitfaden für Webentwickler“ klingt nach mehr, als im Buch wirklich behandelt wird. Aber das sollte jedem Webentwickler sofort auffallen, denn es gibt viele deutlich dickere Bücher zur Websecurity, die auch nicht wirklich alle Themen abdecken. Oft kommt zum Beispiel der Client zu kurz, aber das ist nun ja egal, diese Lücke wird von „Tangled Web“ geschlossen, und das sehr gründlich!

Mein Fazit: Jeder Webentwickler, der etwas mit der Entwicklung des Client-seitigen Codes zu tun hat, sollte dieses Buch lesen und beherzigen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -