Zwei englischsprachige Bücher stehen diesmal auf der Liste: Ein Sammelband diskutiert Probleme und Lösungen im Spannungsfeld zwischen Sicherheit und Benutzerfreundlichkeit. Das zweite Buch führt Python-Entwickler in die Netzwerkprogrammierung mit dem Twisted-Framework ein.
Nach landläufiger Meinung sind Sicherheit und Benutzerfreundlichkeit zwei Prinzipien, die sich widersprechen. Der Sammelband "Security and Usability" versucht mit diesem Vorurteil aufzuräumen. Hierzu haben die Herausgeber Lorrie Cranor und Simson Garfinkel (bekannt durch "Practical Unix and Internet Security") zahlreiche Autoren eingeladen, die verschiedenen Facetten der Sicherheit zu beleuchten.
Im ersten Teil führen fünf Kapitel in das Thema ein, erläutern die Problematik und stellen verschiedene Lösungsverfahren vor. Die weiteren Beiträge betrachten sichere, aber einfache Authentifizierungsverfahren, sichere Systeme sowie Privatsphäre und Anonymität. Aufgrund der unterschiedlichen Sichtweise der Autoren erschließen sich das Thema oder einzelne Aspekte dem Leser bei jedem Artikel auf neue Weise.
Manche Artikel beziehen sich auf einzelne Softwareprodukte, ihr Stil ist oft akademisch. Sie bieten dennoch wertvolle Informationen: Vor allem die Anwenderstudien zeigen, dass sich die Benutzer in vielen Fällen anders verhalten, als es der Produktdesigner vorhergesehen hat. Im fünften Teil kommen mehrere Hersteller und ihre Produkte zur Sprache, unter anderem Zonealarm, Firefox, Microsoft sowie Lotus/Notes.
| Info |
|---|
|
Lorrie Faith Cranor, Simson Garfinkel (Hrsg.): Security and Usability O\'Reilly, Sebastopol, 2005 738 Seiten, 43 Euro ISBN 0-596-00827-9 |
Hier ist der Beitrag "Users and Trust: A Microsoft Case Study" besonders bemerkenswert. Er beleuchtet, wie kleine Änderungen in den Dialogen einen großen Beitrag zur Sicherheit des Systems leisten können. Was Chris Nodder hier anspricht, ließe sich sofort in vielen Produkten und Open-Source-Programmen umsetzen. Das Sahnehäubchen in diesem Buch ist aber der Teil 6, insbesondere der Beitrag "Why Johnny Can\'t Encrypt", in dem die Autoren die Anwendung von PGP 5.0 betrachten.
Dieses Buch sollten alle lesen, die sich mit Design oder Programmierung von sicherheitsrelevanter Software befassen: Wenn auch viele Problemfelder und Lösungsansätze bereits seit einiger Zeit bekannt sind, ist es hilfreich, sie in einem Buch zusammengefasst und mit wissenschaftlichen Studien untermauert zu finden. Leider sind einige der Beiträge aber auch schon in die Jahre gekommen - die besprochene PGP-Version 5.0 stammt aus dem Jahr 1997.
Das Framework Twisted erleichtert Python-Programmierern das Erstellen von netzwerkfähigen Anwendungen. "Twisted Network Programming Essentials" von Abe Fettig ist die erste gedruckte Einführung zum Thema. Der Autor erklärt zunächst grundlegende Konzepte von Twisted. Dazu gehört das zentrale »reactor«-Objekt, das den Event-Loop für die Netzwerkereignisse bereitstellt.
Darauf folgen bereits die ersten lauffähigen Programme, die einfache TCP-Clients und Server umsetzen. Den Hauptteil bilden Kapitel, die sich einzelnen Netzwerkdiensten widmen: Webserver und -clients, die Umsetzung der Mailprotokolle POP, SMTP und IMAP sowie Webservices mit XML-RPC und SOAP.
Kernstück der Kapitel bilden dabei immer praxisnahe Beispielprogramme, an denen Fettig den Einsatz der Twisted-Module erläutert. Das originellste Beispielprogramm nimmt Stichwörter für eine Google-Suche per SMTP entgegen und versendet die zuerst gefundene Webseite als Mail-Attachment. Die Programm-Listings erstrecken sich häufig über mehrere Seiten - leider ohne Zeilennummern.
Das Taschenbuch mit rund 200 Seiten kommt rasch zur Sache und ist damit empfehlenswert für Python-Entwickler, die sich in Twisted einarbeiten möchten. Für jeden wichtigen Netzwerkdienst findet sich ein Programm-Prototyp, NNTP und Secure Shell eingeschlossen. Wer allerdings neben einem laufenden SSH-Server auch eine Twisted-Implementierung einsetzt, wird unter Umständen auf die Client-Warnung »Remote host identification has changed« stoßen. Der Vorschlag in diesem Buch, einfach die betreffende Zeile in der Datei »known_hosts« zu löschen, lässt wenig Security-Verständnis vermuten.
| Info |
|---|
|
Abe Fettig: Twisted Network Programming Essentials O\'Reilly, Sebastopol, 2005 236 Seiten, 29 Euro ISBN 0-596-10032-9 |
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
