Open Source im professionellen Einsatz
Linux-Magazin 09/2008

PHP-Sicherheit sowie Kartographie mit Open Source

Tux liest

,

Viele, zu viele PHP-Anwendungen sind schlampig geschrieben. Das Linux-Magazin hat sich einen Band angesehen, der den Finger auf häufige Sicherheitslücken in Webanwendungen legt. Das zweite Buch zeigt, wie mit freier Software und offenen Daten aussagekräftige Karten entstehen.

594

Ob Fotoalben, Blogs oder ganze Groupware-Suiten: Webanwendungen sind beliebter denn je. Wer solche Software in PHP entwickelt, sollte das Buch "PHP-Sicherheit" aus dem Dpunkt-Verlag griffbereit halten, das nun in der überarbeiteten dritten Auflage vorliegt.

Solides Grundwissen

Info


Christopher Kunz, Stefan Esser:

PHP-Sicherheit, 3., überarbeitete Auflage

Dpunkt-Verlag, Heidelberg, 2008

350 Seiten, 36 Euro

ISBN 978-3-89864-535-5

Aus dem bewährten Autorenteam der ersten Ausgaben ist Peter Prochaska ausgeschieden, nun steht neben Christopher Kunz der Webspezialist Stefan Esser auf dem Titel. Er ist durch seine PHP-Sicherheitserweiterung Suhosin bekannt. Die solide Basis des Buchs ist geblieben. Neben Eigenheiten der Sprache PHP und den Macken ihres Interpreters vermittelt der Band vor allem Grundwissen zur Sicherheit von Webanwendungen.

Dazu gehören SQL- und Kommando-Injektion und Parametermanipulation ebenso wie das Kapern von Benutzersitzungen (Session Hijacking) und Cross Site Scripting (XSS). Dem in der Web-2.0-Gegenwart besonders relevanten Angriffstyp Cross Site Request Forgery (CSRF), bei dem eine Website zur Attacke auf eine andere dient, haben die Autoren zu Recht mehr Platz eingeräumt.

Neben neuen Details an einigen Stellen ist auch ein ganzes Kapitel dazugekommen, das die Arbeit mit den Variablenfiltern des PHP-Moduls »ext/filter« beschreibt. Das lohnt sich: Die Bibliothek bietet einerseits nützliche Filter zum Reinigen und Validieren von IP-Adressen, URLs und E-Mail-Adressen, andererseits ist die zur Konfiguration verwendete Syntax sehr erklärungsbedürftig.

In den Kapiteln zur Absicherung einer PHP-Installation schließlich trägt Esser seine Expertise bei und ergänzt die eingesetzten Techniken und Utilities um Suhosin, das neben dem Schutz vor Pufferüberläufen und Format-String-Exploits den PHP-Interpreter mit vielen weiteren sicherheitsrelevanten Vorteilen bereichert. Schön, dass dieses lehrreiche und notwendige Buch nach der vergriffenen zweiten Auflage wieder erhältlich ist - wenn auch mit wenig Neuem.

Mit offenen Karten

Info


T. Mitchell, A. Emde, A. Christl:

Web Mapping mit Open Source GIS Tools

O\'Reilly, Köln, 2008

480 Seiten, 50 Euro

ISBN 978-3-89721-723-2

UMN, OGC, GDAL und WMS: Wem diese Abkürzungen etwas sagen, der ist bei O\'Reillys Buch "Web Mapping mit Open Source GIS Tools" richtig aufgehoben. Nach einer kurzen Einführungsrunde durch die Grundlagen von Karten und Kartendaten geht es im dritten Kapitel zur Sache: In der Regel muss der Admin die Geodaten erst umwandeln, bevor seine Anwendung sie versteht. Dafür stehen die Geodata Abstraction Library oder die Open GIS Simple Features Reference Implementation (OGR) mit ihren Formatbibliotheken bereit.

Ab Kapitel 9 verfolgt das Buch eine einheitlichere Linie, hier kann der Leser anhand konkreter Arbeitsanweisungen einzelne Schritte nachvollziehen, den Erfolg in Programmen wie Quantum GIS betrachten, Mapserver konfigurieren, programmieren und externe Datenquellen, zum Beispiel aus Webdiensten des Open Geospatial Consortium (OGC), über das Web-Map-Service-Protokoll (WMS) einbinden. Auch Openlayers, PostgreSQL, Postgis und das Mapserver-API für Skripte, Mapscript, erklären die Autoren ausführlich.

Nur die Kapitelabfolge erscheint etwas rätselhaft. Warum beschreiben die Autoren die Installation von Mapserver schon in Kapitel 4, wenn der Leser erst in Kapitel 10 und 11 weiter damit arbeitet? Das Kapitel wäre weiter hinten im Buch sicher besser aufgehoben als zwischen den eng verbundenen Abschnitten "Daten konvertieren und betrachten" und "Bezugsquellen für Geodaten". Der Verständlichkeit des Werkes tut das allerdings keinen Abbruch. Sinnvoll umgestellt ergäben sich zwei große Blöcke: "Grundlagen geographischer Informationssysteme am Beispiel freier Software" und "Praxisworkshop Open-Source-GIS".

Erfreulich ist die beiliegende CD mit Linux-Livesystem inklusive zahlreicher GIS-Anwendungen. Das Team des Geoportals Rheinland-Pfalz [http://www.geoportal.rlp.de] hat zahlreiche Tools auf den Datenträger gebannt und mit Beispieldaten versehen - ideal, um beim Chef eindrucksvoll für Open-Source-GIS-Software Werbung zu machen.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Tux liest

    Fehler in PHP-Applikationen öffnen eine Angriffsfläche für den gesamten Webserver: Neben Datenklau und Datenmanipulation droht sogar die Ausführung von Shellkommandos. Das Linux-Magazin stellt zwei Bücher vor, die sich mit PHP-Sicherheit beschäftigen.

  • In eigener Sache: Kostenloses Lesefutter aus dem Linux-Magazin

    Mit Erscheinen des Linux-Magazin 08/2009 mit dem Titelthema "Alles parat? - E-Mails und wichtige Dokumente revisionssicher archivieren" sind die Artikel der Linux-Magazin-Ausgabe 09/2008 in den frei zugänglichen Bereich von Linux-Magazin Online gerückt.

  • Tux liest

    Das Linux-Magazin stellt Bücher zu Mailman und Gentoo Linux vor. Sie richten sich sowohl an Einsteiger als auch an erfahrene Admins, die den funktionsreichen Mailinglisten-Manager oder die ungewöhnliche Linux-Distribution näher kennenlernen möchten.

  • Bücher

    Ein Buch über Websecurity, leicht verdaulich, aber auch ohne allzu viele Nährstoffe. Dazu ein Buch, damit dem Kandidaten der Prüfungsstress finanziell nicht auf den Magen schlägt.

  • Tux liest

    Ohne das Internet geht nichts mehr. Umso mehr ist die Sicherheit von Diensten und Protokollen ein wichtiges Thema, dem sich "Firewalls und Sicherheit im Internet" widmet. Das Buch "Debian GNU/Linux" richtet sich vor allem an Windows-Umsteiger und führt in die Grundlagen von Linux ein. Ingo Jürgensmann, Steffen Möller, Max Werner

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.