Read more
Moderne Web-Anwendungen entspringen oft einem Wirrwarr von Technologien. Jede für sich blickt auf eine lange Entwicklungsgeschichte zurück, die zu oft zufälligen Kombinationen mit anderen Techniken führte. Daher verbirgt jeder Web Application Stack, vom HTTP-Request bis zum browserbasierten Script, versteckte Sicherheitsfallen. Um die Anwender davor zu schützen, gehört es zu den wichtigsten Aufgaben eines Webentwicklers, in diesem Umfeld nicht die Orientierung zu verlieren. In seinem Buch Tangled Web führt Michal Zalewski durch den Webwirrwarr. Zalewski fesselt den Leser mit der genauen Beschreibung der Arbeitsweise von Browsern und warum sie grundlegend unsicher sind. Das Buch gibt entscheidende Informationen, wie Webanwendungen besser geschützt werden können. Tangled Web beleuchtet die Herausforderungen, denen Administratoren, Entwickler und Anwender sich heute im Internet stellen müssen.
About the author
Michal Zalewski ist ein international anerkannter Experte für Informationssicherheit und Verfasser zahlreicher wegbereitender Forschungsarbeiten im Bereich der IT-Security. Er hat Hunderte bedeutende Sicherheitslücken entdeckt, und sein Name taucht regelmäßig auf den Listen der einflussreichsten Sicherheitsexperten auf. Er veröffentlichte zahlreiche wichtige Forschungsarbeiten.
Mario Heiderich ist Diplom-Ingenieur für Medieninformatik. Er forscht als Post-Doc für die Ruhr-Universität in Bochum und beschäftigt sich intensiv mit HTML5-, SVG- sowie Browser-Sicherheit. Als Gründer der Beraterfirma Cure53 arbeitet er zudem für diverse internationale Firmen und Organisationen und findet Lücken in deren Applikationen und Webauftritten. Für Microsoft überprüft er den Internet Explorer 10 und andere Tools in puncto Sicherheit.
Summary
Moderne Webanwendungen sind auf einem Wirrwarr von Technologien aufgebaut, die sich über lange Zeit hinweg entwickelt haben und oft zufällig zusammenwirken. Alle diese Technologien – von HTTP über HTML und CSS bis hin zu JavaScript – haben ihre eigenen, oft subtilen Besonderheiten in puncto Sicherheit. Um Nutzer vor Schaden zu bewahren, ist es daher extrem wichtig, dass sich Entwickler in dieser Sicherheitslandschaft gut auskennen.
Michał Zalewski, einer der bekanntesten Browser- Security-Experten weltweit, beschreibt in »Tangled Web« anschaulich, wie Browser funktionieren und warum sie prinzipiell unsicher sind. Dazu untersucht er das komplette Browser-Sicherheitsmodell, zeigt dessen Schwachstellen auf und erklärt, wie Webentwickler ihre Applikationen
besser schützen können.
Dabei vermittelt er Ihnen u.a., wie Sie:
- typische, aber überraschend komplexe Auf- gaben wie URL-Parsing und HTML-Filterung korrekt durchführen,
- moderne Sicherheitsfeatures wie Strict Transport Security (STS), Content Security Policy (CSP) und Cross-Origin Resource Sharing (CORS) sinnvoll verwenden,
- die vielen Varianten der Same-Origin Policy wirkungsvoll einsetzen,
- Mashups zusammenstellen und Gadgets einbetten, ohne sich Probleme durch die Frame-Navigation-Policy einzuhandeln,
- Nutzer-generierte Inhalte anbieten, ohne in die Content-Sniffing-Falle zu tappen.
Zum schnellen Nachschlagen bietet das Buch »Spickzettel«, die Ihnen helfen, sichere und robuste Webanwendungen zu entwickeln. Sie enthalten direkt umsetzbare Lösungen für Probleme, die Ihnen in der täglichen Praxis immer wieder begegnen.
