PHP-Sicherheit auf Webservern

Chris Shiflett hat bei O\'Reilly das englischsprachige Buch "Essential PHP Security" veröffentlicht. Ein Titel, der dem Band nur zu gerecht wird. Nach Abzug von Inhaltsverzeichnis, Index und Glossar verbleiben gerade mal 85 Seiten für das Thema. Nach einer Einführung in die Grundprinzipien, wie Sicherheit zu erreichen und Code zu gestalten ist, beschreibt der Autor in sieben Kapiteln die üblichen Probleme: Das Absichern von Formularen kommt dabei ebenso zur Sprache wie SQL-Injection, Session Management und Authentifizierung.

Espresso für Eilige

Auch wenn jedes Kapitel nur wenige Seiten umfasst, bleibt noch genügend Platz für Codebeispiele. Der Autor zeigt, wie Angreifer Probleme finden und ausnutzen - vor allem aber auch, wie der PHP-Programmierer die Anwendung hätte absichern müssen.

Besonders lobenswert ist, dass auch ein Kapitel zu Shared Hosting Platz gefunden hat. Es richtet sich mehr an den Administrator als an den Programmierer und zeigt die wichtigsten Probleme, wenn mehrere Kunden sich einen Webserver teilen: Session-Diebstahl, gemeinsamer Zugriff auf temporäre Dateien und ungeschützter Zugriff auf fremde Verzeichnisse kommen hier zur Sprache. Mit knappen, aber sehr präzisen Ausführungen dampft der Autor die große Stofffülle auf wenige Seiten ein und bietet einen nicht zu unterschätzenden Espresso der PHP-Security.

Das Buch richtet sich damit an Programmierer und Administratoren, die in kürzester Zeit und ohne Aufwand einen Überblick gewinnen und viele Anregungen sammeln wollen - zwei Stunden genügen, um es vollständig zu lesen. Klar ist aber auch, dass das Buch in vielen Fällen nur eine Zusammenfassung des Problems liefern kann und Vorkenntnisse verlangt. Tiefer gehende eigene Beschäftigung mit den jeweils geschilderten Problemen ist erforderlich.

Denn "ein bisschen Sicherheit" gibt es leider nicht: Für alle, die ernsthaft PHP-Applikationen sichern wollen, fehlt die Tiefe. Es handelt sich eher um einen Appetithappen als um ein zufrieden stellendes Buch zum Thema.

Info
Chris Shiflett: Essential PHP Security O\'Reilly, Sebastopol, 2005 124 Seiten 29 Euro ISBN 0-596-00656-X

Milchkaffee für Genießer

Auch Christopher Kunz und Peter Prochaska haben sich des Themas PHP-Sicherheit angenommen, und zwar gründlich: Seit längerer Zeit sind sie mit Vorträgen auf den einschlägigen Kongressen vertreten und veröffentlichen Advisories zu PHP-Bugs. Nun haben sie ihre Erkenntnisse in dem Buch "PHP-Sicherheit" veröffentlicht.

Nachvollziehbar, mit Codebeispielen versehen und bequem zu lesen: Dieser Titel bietet eine gründliche Abhandlung, die jeder gelesen haben sollte, bevor er PHP-Skripte auf öffentlichen Webservern installiert. Selbst erfahrene PHP-Programmierer finden hier noch wertvolle Hinweise und konkrete Lösungen. Das Buch bemüht sich darum, kein Problem auszulassen, und behandelt alle relevanten Probleme in der gebotenen Ausführlichkeit. Zu guter Letzt enthält es eine kompakte, aber sehr aufschlussreiche Checkliste als Anleitung zum systematischen Prüfen eigener Skripte.

Der Administrator eines Servers steht ebenfalls in der Verantwortung: Gerade beim Hosting kann er kaum beeinflussen, welche Skripte vom Kunden installiert werden. Ein guter Webserver muss also eine zweite Schutzschicht bilden. Die Autoren gehen darum in erfreulicher Breite auf die korrekte Absicherung des PHP-Interpreters ein.

Selbst für gehobene Sicherheitsansprüche haben die Autoren Lösungen parat: Als Mitglieder des Projekts Hardened PHP diskutieren sie ausführlich die Vor- und Nachteile einer gehärteten PHP-Installation sowie des Apache-Moduls »mod_security«. Das macht dieses Buch auch für Admins wertvoll, die selbst gar kein PHP programmieren. (mhu)

Info
Christopher Kunz, Peter Prochaska: PHP-Sicherheit Dpunkt, Heidelberg, 2005 277 Seiten 36 Euro ISBN 3-89864-369-7