Open Source im professionellen Einsatz
Linux-Magazin 10/2014

Ein Buch über Sicherheit im Web und eins zur Prüfungsvorbereitung

Tux liest

,

Ein Buch über Websecurity, leicht verdaulich, aber auch ohne allzu viele Nährstoffe. Dazu ein Buch, damit dem Kandidaten der Prüfungsstress finanziell nicht auf den Magen schlägt.

653

Im Plauderton stellt Manuel Ziegler verschiedene typische Sicherheitslücken in Webanwendungen vor, viele mit PHP-Codebeispielen. Zum Buch gibt es eine Webseite http://hackers-playground.de, auf der er einige Beispiele für Webangriffe – natürlich zu Übungszwecken – bereitgestellt hat.

Gerade solche Seiten verlocken kritische Leser seines Buches zu Experimenten: Die Registrierung dort lässt – entgegen seiner Empfehlungen im Buch – ein zum Nutzernamen identisches Passwort zu. Zudem sind Sonderzeichen wie Gänsefüßchen im Usernamen erlaubt. Der Rezensent hat sich für »"'"insane« entschieden – und verursachte so gleich einen Fehler in der zweiten Online-Übung. Der zeigte nebenbei, dass die Seite mit dem nötigen Escaping einige Probleme hat (Screenshots dazu unter [1]).

Tiefgang fehlt

Schön an Zieglers Buch ist der schnelle Überblick über gängige Sicherheitslücken. Schade ist, dass es beim Überblick bleibt und der Tiefgang fehlt. Genauso wie beim Playground mit nur wenigen Aufgaben entsteht der Eindruck großer Ankündigungen ohne große Substanz. Dabei hat das Buch Potenzial, denn die Themen sind relevant, die Zahl der Lücken in Webanwendungen ist enorm.

Möglicherweise entsteht das Manko, weil sich der Autor seiner Zielgruppe nicht sicher ist: Schreibt er für Informatiker, erfahrene Entwickler oder blutige Anfänger? Einerseits erläutert er im Detail den Drei-Wege-TCP-Handshake und macht sich die Mühe, eine grobe Einführung in Prozessorarchitekturen und Assembler zu geben.

Andererseits ist er aber der Auffassung, dass die genaue Erklärung von Rainbow-Tables den Rahmen des Buches sprenge – obgleich er sich sonst sehr ausführlich mit dem Knacken von Passwörtern auseinandersetzt. Dabei ist die Assembler-Einführung auch nicht mehr als ein Weg zur laufzeitoptimierten Programmierung. Die sieht Manuel Ziegler als Maßnahme gegen DoS-Angriffe.

Weil Studenten den Rezensenten immer fragen, ob es zu seiner einführenden Vorlesung "Systemsicherheit", die auch Angriffe auf Webanwendungen zum Thema hat, gute Literatur gibt, stellte sich die Frage, ob das Werk dafür geeignet ist. Obwohl es für Einsteiger schnell und leicht zu lesen ist, fehlt für eine echte Literaturempfehlung aber der Tiefgang.

Info

Manuel Ziegler:

Web Hacking, Sicherheitslücken in Webanwendungen -- Lösungswege für Entwickler

Hanser Verlag, 2014

I217 Seiten, 30 Euro

ISBN: 978-3-446-44017-3

Bildungsschnäppchen

Ein Verkaufsargument für Dieter Thalmayrs Buch zur Vorbereitung auf die Prüfung zum Red Hat Certified System Administrator (RHCSA) liefert Red Hat selber: Der fünftägige Trainingskurs kostet mit Prüfung an die 3000 Euro. Wer mit einem 30 Euro teuren Buch im Selbststudium zum gleichen Ziel gelangt, macht ein gutes Geschäft.

Thalmayr behandelt dafür den gesamten prüfungsrelevanten Stoff. Das beginnt bei der Installation und setzt sich im zweiten Kapitel fort bei der Arbeit mit gängigen Kommandozeilentools (Bash, »grep« , »find« , »vi« ). Das nächste Kapitel geht auf die Verwaltung von Plattenplatz ein, es dreht sich hauptsächlich um Partitionieren und Formatieren, spart aber den Logical Volume Manager aus, dem das nächste Kapitel gewidmet ist.

Kapitel fünf beschäftigt sich mit der Benutzerverwaltung, daran schließt sich ein Kapitel an, das Rechtekonzepte und die Verwaltung der Benutzerrechte erläutert. Um die Installation von Software aus Paketen dreht sich alles im nächsten Kapitel, wogegen das übernächste die Installation von Diensten beschreibt.

Die weiteren Kapitel behandeln Themen wie Booten, Netzwerke, Prozesse und Logs, Kernelmodule sowie das Firewalling. Auch die SSH und LDAP, SE Linux und die Neuerungen in RHEL 7 werden thematisiert.

Thalmayr schreibt nüchtern und gut verständlich. Den Stoff gliedert er klar und handelt ihn für die Belange der Prüfung umfassend ab. Jedem Kapitel sind spezielle Hinweise zur Prüfungsvorbereitung nachgestellt. Wer schon Linux-Erfahrung hat, kann damit sicherlich eine selbstständige Vorbereitung wagen.

Info

Dieter Thalmayr:

RHCSA -- Vorbereitung auf die Prüfung zum Red Hat Certified System Administrator

Open Source Press, 2014

68 Seiten, 30 Euro

ISBN: 978-3-95539-084-62

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Tux liest

    Deutschsprachige Bücher zu den Prüfungen des Linux Professional Institute (LPI) waren bisher selten. Zwei neue Titel möchten die Kandidaten bei der Vorbereitung auf die Level-1-Prüfungen unterstützen. Dabei verfolgen sie völlig unterschiedliche Ansätze.

  • Bücher

    Nach der Einstiegsstufe LPIC-1 fragen die LPI-Prüfungen auf Level 2 jene Kenntnisse ab, die Linux-Admins für ihre tägliche Arbeit benötigen. Zwei Bücher fassen das gefragte Wissen zusammen.

  • Bücher

    Was der Fortgeschrittene für LPIC-2 wissen muss, fasst ein Buch verständlich zusammen. Ein zweites vermittelt nichts weniger als die Faszination der Mathematik.

  • Bücher

    Performanceprobleme bei einer Webanwendung können sich an vielen Stellen verstecken. Ein Buch aus dem Dpunkt-Verlag klopft sie alle gründlich ab und schlägt Lösungen vor. Daneben ist Michael Koflers dickes Linux-Handbuch erstmals bei Galileo Computing erschienen.

  • Tux liest

    Das Linux-Magazin hat sich zwei englischsprachige Bücher aus dem O'Reilly-Verlag angesehen. Das eine behandelt ein Trendthema und programmiert die Web-Surf-Anwendungen der Zukunft auf Firefox-Basis. Das andere hilft dabei, bewährtes Linux-Grundwissen für die LPI-Prüfungen zu pauken.

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.