Jeder, der sich mit Websecurity auskennt, dürfte Michal Zalewski kennen. Er befasst sich vor allem mit der Sicherheit von Webbrowsern und damit in zweiter Linie mit der damit untrennbar verbundenen Sicherheit der Clientseite der Webanwendungen. Von ihm stammen zum Beispiel der Schwachstellenscanner skipfish [1] und das Browser Security Handbook [2], in dem die sicherheitsrelevanten Besonderheiten der Webbrowser beschrieben werden. Das Browser Security Handbook ist inzwischen nicht mehr ganz aktuell, und um seinen Nachfolger geht es in dieser Rezension. Zumindest teilweise, denn „Tangled Web“ geht weit über den Umfang des Browser Security Handbooks hinaus.
Die deutsche „Übersetzung“ weist eine Besonderheit auf, weshalb ich das Wort auch in Anführungszeichen gesetzt habe. Denn es ist keine reine 1:1-Übersetzung des 2011 erschienenen Originals, sondern wurde an weit über 100 Stellen aktualisiert. Denn manches, was im Bereich der IT-Sicherheit beim Schreiben eines Buchs aktuell ist, ist bei seiner Drucklegung bereits überholt oder kurz nach der Veröffentlichung vielleicht sogar falsch. In der deutschen Übersetzung wurden mit der Zustimmung von Michal Zalewski Korrekturen und Erklärungen eingefügt und neu bekannt gewordene Probleme erläutert. Fachberater der deutschen Ausgabe ist Mario Heidrich, ebenfalls kein Unbekannter im Bereich der Websecurity. Von ihm stammt zum Beispiel das HTML5 Security Cheatsheet [3], außerdem war er einer der Initiatoren des Intrusion Detection Systems PHPIDS [4] für PHP.
Aber kommen wir zum Buch und betrachten dazu ein zufällig herausgesuchtes Beispiel. Gelandet bin ich in Kapitel 9: „Inhalte isolieren“. Das ist das erste Kapitel des zweiten Teils des Buchs, „Sicherheitsfeatures von Browsern“. Los geht es in diesem Kapitel mit der Beschreibung des grundlegenden Konzepts der Browsersicherheit, der Same-Origin Policy. Wenn Sie nicht wissen, was das ist, finden Sie etliche Beschreibungen im Web. Sie können aber auch dieses Buch lesen, dann wissen Sie hinterher nicht nur, was die Same-Origin Policy ist, sondern noch sehr viel mehr. Denn die Beschreibung ist sehr ausführlich und zeichnet sich, wie alle anderen Kapitel des Buchs ebenfalls, durch einige Besonderheiten aus: Im Text werden die Grundkonzepte beschrieben, in diesem Fall eben, was die Same-Origin Policy ist und wie sie funktioniert. Besonderheiten werden in den Fußnoten erklärt, hier erfahren Sie zum Beispiel, dass die Same-Origin Policy und die meisten anderen Schutzmaßnahmen...