Ein Buch über Websecurity, leicht verdaulich, aber auch ohne allzu viele Nährstoffe. Dazu ein Buch, damit dem Kandidaten der Prüfungsstress finanziell nicht auf den Magen schlägt.
Im Plauderton stellt Manuel Ziegler verschiedene typische Sicherheitslücken in Webanwendungen vor, viele mit PHP-Codebeispielen. Zum Buch gibt es eine Webseite http://hackers-playground.de, auf der er einige Beispiele für Webangriffe – natürlich zu Übungszwecken – bereitgestellt hat.
Gerade solche Seiten verlocken kritische Leser seines Buches zu Experimenten: Die Registrierung dort lässt – entgegen seiner Empfehlungen im Buch – ein zum Nutzernamen identisches Passwort zu. Zudem sind Sonderzeichen wie Gänsefüßchen im Usernamen erlaubt. Der Rezensent hat sich für »”‘”insane« entschieden – und verursachte so gleich einen Fehler in der zweiten Online-Übung. Der zeigte nebenbei, dass die Seite mit dem nötigen Escaping einige Probleme hat (Screenshots dazu unter [1]).
Tiefgang fehlt
Schön an Zieglers Buch ist der schnelle Überblick über gängige Sicherheitslücken. Schade ist, dass es beim Überblick bleibt und der Tiefgang fehlt. Genauso wie beim Playground mit nur wenigen Aufgaben entsteht der Eindruck großer Ankündigungen ohne große Substanz. Dabei hat das Buch Potenzial, denn die Themen sind relevant, die Zahl der Lücken in Webanwendungen ist enorm.
Möglicherweise entsteht das Manko, weil sich der Autor seiner Zielgruppe nicht sicher ist: Schreibt er für Informatiker, erfahrene Entwickler oder blutige Anfänger? Einerseits erläutert er im Detail den Drei-Wege-TCP-Handshake und macht sich die Mühe, eine grobe Einführung in Prozessorarchitekturen und Assembler zu geben.
Andererseits ist er aber der Auffassung, dass die genaue Erklärung von Rainbow-Tables den Rahmen des Buches sprenge – obgleich er sich sonst sehr ausführlich mit dem Knacken von Passwörtern auseinandersetzt. Dabei ist die Assembler-Einführung auch nicht mehr als ein Weg zur laufzeitoptimierten Programmierung. Die sieht Manuel Ziegler als Maßnahme gegen DoS-Angriffe.
Weil Studenten den Rezensenten immer fragen, ob es zu seiner einführenden Vorlesung “Systemsicherheit”, die auch Angriffe auf Webanwendungen zum Thema hat, gute Literatur gibt, stellte sich die Frage, ob das Werk dafür geeignet ist. Obwohl es für Einsteiger schnell und leicht zu lesen ist, fehlt für eine echte Literaturempfehlung aber der Tiefgang.
Info
Manuel Ziegler:
Web Hacking, Sicherheitslücken in Webanwendungen — Lösungswege für Entwickler
Hanser Verlag, 2014
I217 Seiten, 30 Euro
ISBN: 978-3-446-44017-3
Bildungsschnäppchen
Ein Verkaufsargument für Dieter Thalmayrs Buch zur Vorbereitung auf die Prüfung zum Red Hat Certified System Administrator (RHCSA) liefert Red Hat selber: Der fünftägige Trainingskurs kostet mit Prüfung an die 3000 Euro. Wer mit einem 30 Euro teuren Buch im Selbststudium zum gleichen Ziel gelangt, macht ein gutes Geschäft.
Thalmayr behandelt dafür den gesamten prüfungsrelevanten Stoff. Das beginnt bei der Installation und setzt sich im zweiten Kapitel fort bei der Arbeit mit gängigen Kommandozeilentools (Bash, »grep« , »find« , »vi« ). Das nächste Kapitel geht auf die Verwaltung von Plattenplatz ein, es dreht sich hauptsächlich um Partitionieren und Formatieren, spart aber den Logical Volume Manager aus, dem das nächste Kapitel gewidmet ist.
Kapitel fünf beschäftigt sich mit der Benutzerverwaltung, daran schließt sich ein Kapitel an, das Rechtekonzepte und die Verwaltung der Benutzerrechte erläutert. Um die Installation von Software aus Paketen dreht sich alles im nächsten Kapitel, wogegen das übernächste die Installation von Diensten beschreibt.
Die weiteren Kapitel behandeln Themen wie Booten, Netzwerke, Prozesse und Logs, Kernelmodule sowie das Firewalling. Auch die SSH und LDAP, SE Linux und die Neuerungen in RHEL 7 werden thematisiert.
Thalmayr schreibt nüchtern und gut verständlich. Den Stoff gliedert er klar und handelt ihn für die Belange der Prüfung umfassend ab. Jedem Kapitel sind spezielle Hinweise zur Prüfungsvorbereitung nachgestellt. Wer schon Linux-Erfahrung hat, kann damit sicherlich eine selbstständige Vorbereitung wagen.
Info
Dieter Thalmayr:
RHCSA — Vorbereitung auf die Prüfung zum Red Hat Certified System Administrator
Open Source Press, 2014
68 Seiten, 30 Euro
ISBN: 978-3-95539-084-62
Infos
- Bilder zur Rezension: https://www.linux-magazin.de/Ausgaben/2014/10/plus








