Innocent Code
a security wake-up call for web programmers
Sverre H. Huseby
Ein anschauliches Buch, das grundlegende Fehler vermeiden hilft und vor großem Schaden schützen kann – absolut lesenswert!
Sicherheitsmängel eher die Regel als die Ausnahme
Sverre H. Huseby tritt mit seinem Buch „Innocent Code“ an, um alle Webentwickler in bezug auf Sicherheitsfragen wachzurütteln. Seiner Meinung nach weisen zahlreiche Internet-Anwendungen gravierende Sicherheitsmängel auf, so dass mit minimalem Aufwand und einfachsten Mitteln schon großer Schaden angerichtet werden kann. In insgesamt acht Kapiteln schildert er die einzelnen Problembereiche und schließt mit einer Zusammenfassung von Regeln und Richtlinien für die sichere Entwicklung.
Kein Bereich ist von Schwächen verschont
Nach einer Einführung in die Grundlagenaspekte wie HTTP und Cookies betrachtet Huseby die Bereiche Datenweitergabe, Nutzereingaben, Datenausgabe, Web-Trojaner und Passwörter. Jeder dieser Bereiche bietet Potential für zahlreiche Angriffe, Schwachstellen und unentdeckte Risiken. Alle diese Sicherheitsmängel sind mit Beispielen illustriert, die einfach gehalten und deswegen gut verständlich sind. Es zeigt sich, dass man sich mit einfachen Eingaben ohne Passwort an Systeme anmelden kann, oder wie man sich Zugang zu Konten anderer Nutzer verschafft. Die Beispiele treffen den Kern der Sache und verhelfen dem Leser immer wieder zu einem Aha-Effekt. Sie zeigen, dass große Anwendungen genauso betroffen sind wie kleine und auch renommierte Firmen vor diesen Fehlern nicht gefeit sind.
Textstruktur, Kennzeichnung und Grafiken
Weitergehende und mehr technische Informationen sind als solche gekennzeichnet und lassen sich so leicht überspringen, wenn man nur an den wesentlichen Gesichtspunkten interessiert ist. Die Lehren, die es aus den geschilderten Problemen zu ziehen gilt, sind prägnant in Form von Regeln bzw. Richtlinien in den Text eingestreut. Sie bilden die Quintessenz aus den vorherigen Ausführungen und sind zusätzlich zum einfachen Nachschlagen am Ende noch einmal zusammengefasst. An dieser Stelle sind sie auch noch mit jeweils einer kurzen Erklärung garniert. Vereinzelt veranschaulichen Bilder oder Grafiken die Zusammenhänge. Man vermisst aber sonst auch keine, denn das Verständnis ist durch die erwähnten zahlreichen Codebeispiele gesichert.
Theorie und Praxisnähe
Insgesamt handelt es sich bei Innocent Code um ein anschauliches und leicht verständliches Buch, das aber nichtsdestotrotz sehr gehaltvoll ist. Es vermittelt das nötige Hintergrundwissen in genau dem richtigen Maße und findet den passenden Mix aus nötiger Theorie und Praxisnähe. Mit einfachen Mitteln gelingt es Huseby, die Sensibilität und Tragweite des Themas deutlich werden zu lassen. Insbesondere die Schilderung von realen Fällen lässt es den Leser in den Fingern jucken, den Online-Auftritt seiner eigenen Hausbank einmal auf Schwächen abzuklopfen.
Wertvolle Online Ressourcen
Mit diesem Inhalt und dieser Struktur wird Innocent Code sowohl zu einem Studien- als auch zu einem Nachschlagewerk, das sich bei Bedarf konsultieren lässt. Insbesondere die umfangreiche Referenzliste mit Online Ressourcen ist in diesem Zusammenhang einer wertvoller Quell an Informationen. Nicht zwingend, aber für den weniger erfahrenen Leser hilfreich ist das Abkürzungsverzeichnis, mit dessen Hilfe man sich im Computerchinesisch zurechtfindet. Mit einem Preis von knapp 40 Euro ist es zwar nicht billig, jedoch kann diese Investition vor nicht absehbaren – und wahrscheinlich wesentlich teureren – Folgen schützen helfen.
 |
|||
| Redakteur: | Tobias Lütticke | ||
|
|||
| Autor: | Sverre H. Huseby | ||
| Titel: | Innocent Code | ||
| Untertitel: | a security wake-up call for web programmers | ||
| ISBN: | 0470857447 | ||
| Erschienen: | 2004 | ||
| Verlag: | Wiley | ||
| Preis: | 39.90 € | ||
|
|
||
| © Copyright Buchtest.com | Impressum | Kontakt  |
