Web Hacking: Sicherheitslücken in Webanwendungen – Lösungswege für Entwickler. Mit Playground im Internet. Manuel Ziegler. Eine Buchrezension

Das Buch hinterlässt einen gemischten Eindruck. Einerseits werden die Inhalte gut überblicksmäßig abgehandelt, andererseits geht der Autor an manchen Stellen etwas sehr in die Tiefe. Es erschließt sich aus der Lektüre nicht, für welche Leserschaft dieses Buch geschrieben wurde. Laut Einband richtet es sich an Entwickler von Webanwendungen („Lösungswege für Entwickler“).

Das Werk gibt einen Überblick über Gruppen von IT-Sicherheitslücken und Sicherheitsthemen. Dem Kapitel über Brechen von Passworten wird der meiste Raum von allen Kapiteln gewidmet (38 Seiten). Weiter sind Eigenschaften von Authentifikationssysteme notiert, SQL-Injection wird gut erklärt, danach XSS, DoS und Phishing. Ein Überblick über Kryptographie rundet das Buch ab. Im Anhang finden sich Exkurse zu Bäumen, Listen und Graphen, einige Seiten Beispiele für Netzwerkprogrammierung, der Rasteralgorithmus und eine Erklärung, wie eine CPU funktioniert.

Immer wieder sind Code-Schnippel eingefügt, die meisten in Pseudocode oder PHP. Das Buch kann für Personen, die einen Überblick in die Materie IT-Sicherheit in Webanwendungen suchen, gute Dienste bieten. IT-Sicherheitsexperten werden hier wenig Neues finden.

So gibt sich der Autor z.B. vier Seiten dem verteilten Knacken von Passwörtern und der Entwicklung von Formeln hin, um eine Abschätzung von verteiltem Passwortbrechen zu ermöglichen. Mit dem Ergebnis, dass die paar wenigen Zeilen Zusammenfassung nichts Überraschendes bringen.

Immer wieder werden sehr theoretische Überlegungen angestellt. Z.B. geht es auf Seite 23 darum, für ein verteiltes Passwort-Knacken auf unterschiedlichen CPUs bzw. Systemen häufige Benutzer-Passwort-Kombinationen zu gruppieren und zu reihen. Nur stellt sich vermutlich der Leser die Frage, woher er die häufigsten Benutzer-Passwort-Kombinationen, die von Benutzern verwendet werden, kennen soll? Wo sind Statistiken darüber erhältlich? Gibt es diese überhaupt? Hier wird der suchende Leser alleine gelassen.

Es stellt sich die Frage nach dem Zweck des Buches. Wofür seitenlange Entwicklungen? Wofür detaillierter Pseudocode über die Kommunikation einer verteilten Wörterbuchattacke bei verteilten Anwendungen? Wer benötigt diese Erkenntnisse?

Ein IT-Sicherheitsconsultant auf der Suche nach Informationen zu Sicherheit von Webanwendungen findet hier wenig Lösungen. Auch würden Software-Entwickler von der Lektüre von Dokumenten des freien Open Web Application Security Project (OWASP) mehr profitieren. In dessen Dokumenten sind die Anforderungen und die Hinweise viel praktischer und schneller erfassbar niedergeschrieben.

Einerseits wurden die Arten von Sicherheitslücken gut erklärt und nachvollziehbar. Andererseits ist die Gruppe der potentiellen Leserschaft, die daraus Nutzen zieht, sehr eng gefasst.

Titel: Web-Hacking – Sicherheitslücken in Webanwendungen – Lösungswege für Entwickler. Mit Playground im Internet.
Autor: Manuel Ziegler
Verlag: Carl Hanser Verlag GmbH & Co. KG
Erscheinungsdatum: Juni 2014