Aus Linux-Magazin 09/2008

PHP-Sicherheit sowie Kartographie mit Open Source

Viele, zu viele PHP-Anwendungen sind schlampig geschrieben. Das Linux-Magazin hat sich einen Band angesehen, der den Finger auf häufige Sicherheitslücken in Webanwendungen legt. Das zweite Buch zeigt, wie mit freier Software und offenen Daten aussagekräftige Karten entstehen.

Ob Fotoalben, Blogs oder ganze Groupware-Suiten: Webanwendungen sind beliebter denn je. Wer solche Software in PHP entwickelt, sollte das Buch “PHP-Sicherheit” aus dem Dpunkt-Verlag griffbereit halten, das nun in der überarbeiteten dritten Auflage vorliegt.

Solides Grundwissen

Info


Christopher Kunz, Stefan Esser:

PHP-Sicherheit, 3., überarbeitete Auflage

Dpunkt-Verlag, Heidelberg, 2008

350 Seiten, 36 Euro

ISBN 978-3-89864-535-5

Aus dem bewährten Autorenteam der ersten Ausgaben ist Peter Prochaska ausgeschieden, nun steht neben Christopher Kunz der Webspezialist Stefan Esser auf dem Titel. Er ist durch seine PHP-Sicherheitserweiterung Suhosin bekannt. Die solide Basis des Buchs ist geblieben. Neben Eigenheiten der Sprache PHP und den Macken ihres Interpreters vermittelt der Band vor allem Grundwissen zur Sicherheit von Webanwendungen.

Dazu gehören SQL- und Kommando-Injektion und Parametermanipulation ebenso wie das Kapern von Benutzersitzungen (Session Hijacking) und Cross Site Scripting (XSS). Dem in der Web-2.0-Gegenwart besonders relevanten Angriffstyp Cross Site Request Forgery (CSRF), bei dem eine Website zur Attacke auf eine andere dient, haben die Autoren zu Recht mehr Platz eingeräumt.

Neben neuen Details an einigen Stellen ist auch ein ganzes Kapitel dazugekommen, das die Arbeit mit den Variablenfiltern des PHP-Moduls »ext/filter« beschreibt. Das lohnt sich: Die Bibliothek bietet einerseits nützliche Filter zum Reinigen und Validieren von IP-Adressen, URLs und E-Mail-Adressen, andererseits ist die zur Konfiguration verwendete Syntax sehr erklärungsbedürftig.

In den Kapiteln zur Absicherung einer PHP-Installation schließlich trägt Esser seine Expertise bei und ergänzt die eingesetzten Techniken und Utilities um Suhosin, das neben dem Schutz vor Pufferüberläufen und Format-String-Exploits den PHP-Interpreter mit vielen weiteren sicherheitsrelevanten Vorteilen bereichert. Schön, dass dieses lehrreiche und notwendige Buch nach der vergriffenen zweiten Auflage wieder erhältlich ist – wenn auch mit wenig Neuem.

Mit offenen Karten

Info


T. Mitchell, A. Emde, A. Christl:

Web Mapping mit Open Source GIS Tools

O\’Reilly, Köln, 2008

480 Seiten, 50 Euro

ISBN 978-3-89721-723-2

UMN, OGC, GDAL und WMS: Wem diese Abkürzungen etwas sagen, der ist bei O\’Reillys Buch “Web Mapping mit Open Source GIS Tools” richtig aufgehoben. Nach einer kurzen Einführungsrunde durch die Grundlagen von Karten und Kartendaten geht es im dritten Kapitel zur Sache: In der Regel muss der Admin die Geodaten erst umwandeln, bevor seine Anwendung sie versteht. Dafür stehen die Geodata Abstraction Library oder die Open GIS Simple Features Reference Implementation (OGR) mit ihren Formatbibliotheken bereit.

Ab Kapitel 9 verfolgt das Buch eine einheitlichere Linie, hier kann der Leser anhand konkreter Arbeitsanweisungen einzelne Schritte nachvollziehen, den Erfolg in Programmen wie Quantum GIS betrachten, Mapserver konfigurieren, programmieren und externe Datenquellen, zum Beispiel aus Webdiensten des Open Geospatial Consortium (OGC), über das Web-Map-Service-Protokoll (WMS) einbinden. Auch Openlayers, PostgreSQL, Postgis und das Mapserver-API für Skripte, Mapscript, erklären die Autoren ausführlich.

Nur die Kapitelabfolge erscheint etwas rätselhaft. Warum beschreiben die Autoren die Installation von Mapserver schon in Kapitel 4, wenn der Leser erst in Kapitel 10 und 11 weiter damit arbeitet? Das Kapitel wäre weiter hinten im Buch sicher besser aufgehoben als zwischen den eng verbundenen Abschnitten “Daten konvertieren und betrachten” und “Bezugsquellen für Geodaten”. Der Verständlichkeit des Werkes tut das allerdings keinen Abbruch. Sinnvoll umgestellt ergäben sich zwei große Blöcke: “Grundlagen geographischer Informationssysteme am Beispiel freier Software” und “Praxisworkshop Open-Source-GIS”.

Erfreulich ist die beiliegende CD mit Linux-Livesystem inklusive zahlreicher GIS-Anwendungen. Das Team des Geoportals Rheinland-Pfalz [http://www.geoportal.rlp.de] hat zahlreiche Tools auf den Datenträger gebannt und mit Beispieldaten versehen – ideal, um beim Chef eindrucksvoll für Open-Source-GIS-Software Werbung zu machen.

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben