Open Source im professionellen Einsatz
Linux-Magazin 05/2006

PHP-Sicherheit auf Webservern

Tux liest

Fehler in PHP-Applikationen öffnen eine Angriffsfläche für den gesamten Webserver: Neben Datenklau und Datenmanipulation droht sogar die Ausführung von Shellkommandos. Das Linux-Magazin stellt zwei Bücher vor, die sich mit PHP-Sicherheit beschäftigen.

596

Chris Shiflett hat bei O\'Reilly das englischsprachige Buch "Essential PHP Security" veröffentlicht. Ein Titel, der dem Band nur zu gerecht wird. Nach Abzug von Inhaltsverzeichnis, Index und Glossar verbleiben gerade mal 85 Seiten für das Thema. Nach einer Einführung in die Grundprinzipien, wie Sicherheit zu erreichen und Code zu gestalten ist, beschreibt der Autor in sieben Kapiteln die üblichen Probleme: Das Absichern von Formularen kommt dabei ebenso zur Sprache wie SQL-Injection, Session Management und Authentifizierung.

Espresso für Eilige

Auch wenn jedes Kapitel nur wenige Seiten umfasst, bleibt noch genügend Platz für Codebeispiele. Der Autor zeigt, wie Angreifer Probleme finden und ausnutzen - vor allem aber auch, wie der PHP-Programmierer die Anwendung hätte absichern müssen.

Besonders lobenswert ist, dass auch ein Kapitel zu Shared Hosting Platz gefunden hat. Es richtet sich mehr an den Administrator als an den Programmierer und zeigt die wichtigsten Probleme, wenn mehrere Kunden sich einen Webserver teilen: Session-Diebstahl, gemeinsamer Zugriff auf temporäre Dateien und ungeschützter Zugriff auf fremde Verzeichnisse kommen hier zur Sprache. Mit knappen, aber sehr präzisen Ausführungen dampft der Autor die große Stofffülle auf wenige Seiten ein und bietet einen nicht zu unterschätzenden Espresso der PHP-Security.

Das Buch richtet sich damit an Programmierer und Administratoren, die in kürzester Zeit und ohne Aufwand einen Überblick gewinnen und viele Anregungen sammeln wollen - zwei Stunden genügen, um es vollständig zu lesen. Klar ist aber auch, dass das Buch in vielen Fällen nur eine Zusammenfassung des Problems liefern kann und Vorkenntnisse verlangt. Tiefer gehende eigene Beschäftigung mit den jeweils geschilderten Problemen ist erforderlich.

Denn "ein bisschen Sicherheit" gibt es leider nicht: Für alle, die ernsthaft PHP-Applikationen sichern wollen, fehlt die Tiefe. Es handelt sich eher um einen Appetithappen als um ein zufrieden stellendes Buch zum Thema.

Info


Chris Shiflett:

Essential PHP Security

O\'Reilly, Sebastopol, 2005

124 Seiten

29 Euro

ISBN 0-596-00656-X

Milchkaffee für Genießer

Auch Christopher Kunz und Peter Prochaska haben sich des Themas PHP-Sicherheit angenommen, und zwar gründlich: Seit längerer Zeit sind sie mit Vorträgen auf den einschlägigen Kongressen vertreten und veröffentlichen Advisories zu PHP-Bugs. Nun haben sie ihre Erkenntnisse in dem Buch "PHP-Sicherheit" veröffentlicht.

Nachvollziehbar, mit Codebeispielen versehen und bequem zu lesen: Dieser Titel bietet eine gründliche Abhandlung, die jeder gelesen haben sollte, bevor er PHP-Skripte auf öffentlichen Webservern installiert. Selbst erfahrene PHP-Programmierer finden hier noch wertvolle Hinweise und konkrete Lösungen. Das Buch bemüht sich darum, kein Problem auszulassen, und behandelt alle relevanten Probleme in der gebotenen Ausführlichkeit. Zu guter Letzt enthält es eine kompakte, aber sehr aufschlussreiche Checkliste als Anleitung zum systematischen Prüfen eigener Skripte.

Der Administrator eines Servers steht ebenfalls in der Verantwortung: Gerade beim Hosting kann er kaum beeinflussen, welche Skripte vom Kunden installiert werden. Ein guter Webserver muss also eine zweite Schutzschicht bilden. Die Autoren gehen darum in erfreulicher Breite auf die korrekte Absicherung des PHP-Interpreters ein.

Selbst für gehobene Sicherheitsansprüche haben die Autoren Lösungen parat: Als Mitglieder des Projekts Hardened PHP diskutieren sie ausführlich die Vor- und Nachteile einer gehärteten PHP-Installation sowie des Apache-Moduls »mod_security«. Das macht dieses Buch auch für Admins wertvoll, die selbst gar kein PHP programmieren. (mhu)

Info


Christopher Kunz, Peter Prochaska:

PHP-Sicherheit

Dpunkt, Heidelberg, 2005

277 Seiten

36 Euro

ISBN 3-89864-369-7

Der Autor

Peer Heinlein ist Spezialist für Mailserver und Netzwerksicherheit. Sein Team [http://www.heinlein-support.de] bietet Consulting und Schulungen für professionelle Linux-Administratoren.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Tux liest

    Viele, zu viele PHP-Anwendungen sind schlampig geschrieben. Das Linux-Magazin hat sich einen Band angesehen, der den Finger auf häufige Sicherheitslücken in Webanwendungen legt. Das zweite Buch zeigt, wie mit freier Software und offenen Daten aussagekräftige Karten entstehen.

  • Airbag für den Webserver

    Wenn Benutzer beliebige PHP-Skripte installieren, gefährden sie die Sicherheit des Webservers. Kleine Fehler genügen, um Angreifern Zugang zum Dateisystem oder zur Shell zu geben. Doch dem Admin bleibt ein Schutzschild: Nutzt er die Optionen von PHP konsequent, ist das Risiko erträglich.

  • In eigener Sache: Kostenloses Lesefutter aus dem Linux-Magazin

    Mit Erscheinen des Linux-Magazin 08/2009 mit dem Titelthema "Alles parat? - E-Mails und wichtige Dokumente revisionssicher archivieren" sind die Artikel der Linux-Magazin-Ausgabe 09/2008 in den frei zugänglichen Bereich von Linux-Magazin Online gerückt.

  • Tux liest

    Deutschsprachige Bücher zu den Prüfungen des Linux Professional Institute (LPI) waren bisher selten. Zwei neue Titel möchten die Kandidaten bei der Vorbereitung auf die Level-1-Prüfungen unterstützen. Dabei verfolgen sie völlig unterschiedliche Ansätze.

  • Bücher

    Das Linux-Magazin bespricht das erste Buch, das sich dem IMAP-Server Dovecot widmet. Außerdem gibt es eine Einführung in moderne Technologien für Webseiten wie HTML 5 und CSS 3.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.