Tobias Zander (2014). Security im E-Commerce, Absicherung von Shopsystemen wie Magento, Shopware und OXID

Eines ist bei diesem in der „schnell+kompakt“-Reihe des Verlags entwickler.press. erschienenen Buchs sichergestellt: Der Leser hat die 140 Inhaltsseiten schnell gelesen, wenn ihm die Materie nicht ganz fremd ist. IT-Sicherheit von Webanwendungen in 140 Seiten abgehandelt? Ist das überhaupt möglich? Oder handelt es sich um einen „quick & dirty“-Titel?

Ein Blick in das Inhaltsverzeichnis bringt bereits etwas Licht in diese Fragen. Nach 10 Seiten Bedrohungen und Schilderung der Gefahren nimmt Cross-Site-Scripting gut 28 Seiten in Anspruch. Es werden verschiedene Typen erklärt und Abhilfen aufgezeigt. Eingabevalidierung (sämtliche Injections, Plausibilitätsprüfungen, Cross-Site-Request Forgery und File Uploads) belegt 34 Seiten, die Verarbeitung der Daten 30 Seiten (Access Level Control, Broken Authentication, Broken-Session-Management, Password Storage, Objektreferenzen und Security Misconfiguration). Die Sicherheitsthemen bei der Ausgabe von Daten werden auf 10 Seiten behandelt (Sensitive Data Exposure, Error Handling, Clickjacking und Pixel Perfect Timing).

Darauf folgt jetzt nun – zumindest laut Titel – der eigentliche Inhalt des Buchs, nämlichen die speziellen Eigenheiten der drei E-Commerce-Plattformen Magento, Shopware und OXID. Der Umfang ist mit 12 Seiten recht knapp bemessen. So ist über OXID überhaupt nur eine Seite zu lesen. Ein Kapitel über interessante Tools für die Entwickler (oder auch für Penetrationstests) rundet mit 14 Seiten das Buch ab.

Nach der Lektüre des Inhaltsverzeichnisses wird dem potentiellen Leser schnell klar, dass der Titel vielleicht nicht ganz passend gewählt wurde. Aber weiter zum Inhalt. Die Kapitel sind in einer lockeren und leicht verständlichen Sprache geschrieben. Kurze Beispiele von Angriffen oder verwundbarem Code sind abgedruckt. Meist kommt PHP als Entwicklersprache zum Zuge, auch ein wenig JavaScript ist zu finden. Es werden wichtige Sicherheitslücken an Hand von PHP kurz beschrieben und Lösungen aufgezeigt. Aufgrund der Knappheit des Buches ist klar, dass das Thema nicht allzu umfassend behandelt werden kann.

Die Überschriften sind manchmal nicht ganz passend gewählt. So werden unter „Error Handling“ die Login- und die Passwortwiederherstellen-Funktionalität abgehandelt – und das recht knapp auf einer Seite.

Teilweise sind die Lösungen etwas oberflächlich. Dazu zwei Beispiele:

• „Prepared Statements“ werden als Lösungen für SQL-Injections empfohlen. Dabei handelt es sich jedoch nur um einen Aspekt. Generell ist es sogar möglich, über ein „Prepared Statement“ eine SQL-Injection einzuschleusen, und zwar dann, wenn der Entwickler nur die Funktion mit Parametern aufruft. Nachzulesen z.B. in The Web Application Hackers’s Handbook von Stuttard/Pinto auf Seite 339. Die Anfrage muss „parametrisiert“ werden (in PHP: prepare, bind und execute). Ein Hinweis darauf wäre wünschenswert.
• „Rainbow Tables“ werden etwas ungenau beschrieben. Es geht nicht hervor, wozu diese überhaupt notwendig sind. Hier dürfte wohl der Zwang zur Kürze maßgebend gewesen sein. Ein Neuling ist hier auf weitere Literatur angewiesen.

Allgemeine Sicherheitseinstellungen wie bei Webservern in der php.ini werden nur angerissen. So bekommt die Apache-Konfiguration gerade mal eine halbe Seite.

Quick und dirty? Nein. Das Buch gibt einen guten Einblick in die Thematik der IT-Sicherheit von Webapplikationen, besonders von PHP-Anwendungen. Der Leser kann sich schnell einen Überblick verschaffen. Wenn auch gut aufbereitet – bei einem Überblick bleibt es auch.

Zielgruppe sind eindeutig PHP-Entwickler, die sich der Materie nähern wollen. Penetrationstester werden hier wenig Brauchbares finden. Ob eine Absicherung von E-Commerce-Systemen allein mit dem Buchinhalt möglich ist, darf bezweifelt werden.

Als zu empfehlendes und weiterführendes Buch für IT-Sicherheit von Webanwendungen sei der hier bereits angeführte Titel „The Web Application Hacker’s Handbook“ von Stuttard/Pinto erwähnt.