Schweitzer Fachinformationen
Wenn es um professionelles Wissen geht, ist Schweitzer Fachinformationen wegweisend. Kunden aus Recht und Beratung sowie Unternehmen, öffentliche Verwaltungen und Bibliotheken erhalten komplette Lösungen zum Beschaffen, Verwalten und Nutzen von digitalen und gedruckten Medien.
Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher Konzepte und Techniken. Hierzu werden ebenfalls aktuelle Standards erläutert und eingebunden.
Um die Komplexität des Themas und seine Abhängigkeiten darzustellen, werden die Integration der einzelnen Bausteine sowie der Betrieb eines solchen Verbundes von IT-Komponenten sowohl aus technischer als auch administrativer Sicht und unter dem Aspekt der Integration in eine organisationsweite IT-Infrastruktur betrachtet.
Das Buch bietet technisch versierten Einsteigern und Administratoren eine umfassende Grundlage für die weitergehende Auseinandersetzung mit dem Thema IT-Sicherheit.
Jörg Eschweiler ist langjähriger IT-Berater und Trainer mit den Schwerpunkten Systems Management und Projektleitung. Er engagiert sich nebenberuflich in Organisationen zur Entwicklung und Pflege von Projektmanagement-Methoden.
Daniel E. Atencio Psille ist langjähriger IT-Berater mit den Schwerpunkten Systeme und Sicherheit. Er engagiert sich nebenberuflich für Debian GNU/Linux sowie im Rahmen einer Vereinigung von Mietserverbetreibern.
20 Interpretersprachen zur Web-Ausgabe (S. 279-280) In diesem Kapitel beschäftigen wir uns mit IT-Sicherheit im Hinblick auf (Web-)Skriptsprachen. Dabei wurde PHP (PrettyHomePage Hypertext Processor) als Beispiel gewählt, da es sich hier um eine mittlerweile recht stabile Version einer solchen Sprache handelt, sie über eine Fülle von Funktionalitäten verfügt und der Einsatz im Feld recht weit verbreitet ist. Entsprechend liegt es in der Natur der Dinge, dass statistisch gesehen PHP-basierte Websitesöfters Opfer von Angriffen werden. Skriptsprachen wie PHP werden meist eingesetzt, um dynamische Webseiten zu schaffen, wozu ebenfalls einige Features aus bekannten, aber eher klassischen Sprachen wie Perl, C oder auch Java entliehen wurden. Je kraftvoller und funktionsreicher ein solches Werkzeug ist, umso mehr Möglichkeiten für Fehlfunktionen, suboptimales Design und daraus resultierenden Problemen bietet es. Insbesondere kommt bei Web-Skriptsprachen wie PHP oftmals zum Tragen, dass die Benutzer zwar mit HTML etc. und Grundlagen der Programmierung vertraut sind, aber nicht unbedingt mit Design- und Coding-Grundsätzen aus der klassischen Programmierung. Entsprechend gilt es, einige potentielle Sicherheitsprobleme mit optimiertem Design oder auch Programmierverfahren im Keim zu ersticken, anstatt die (Er-)Lösung in weiteren Features oder Zusätzen zu suchen! Durch Beachtung einiger Regeln und Gedanken zur sicheren Programmierung kann auch beim Einsatz von Tools wie PHP das Risiko von Sicherheitslöchern oder deren Kompromittierung signifikant gesenkt werden. Auf den folgenden Seiten werden also weniger "Kernel Hacker’s Coding Hints" als vielmehr praktische Erfahrungen (beziehungsweise Lehren daraus) und Designaspekte im Vordergrund stehen. Klar, dass sich diese Aspekte auch auf andere Sprachen wie z.B. Python, regul¨are CGIs etc. übertragen lassen. 20.1 Mögliche Schwachstellen 20.1.1 Allgemeines Um die folgenden Betrachtungen aus Sicht der IT-Sicherheit, aber auch allgemeiner Systemadministration besser einschätzen zu können, sei der werten Leserschaft angeraten, Folgendes im Hinterkopf zu halten: Prinzipell bietet PHP zwei verschiedene Ausführungsmodi: einmal als CGI-Applikation und einmal als in den Webserver integriertes Modul. Unabhängig vom gewählten Modus verfügt der im System installierte und laufende PHP-Interpreter (unabhängig vom Betriebssystem) über das Potential, zur Laufzeit auf jeden Teil des Systems zugreifen zu können. Dies bedeutet, Prozesssystem, Dateisysteme, Netzwerkverbindungen etc. stehen zur Verfügung – auch beziehungsweise gerade im Falle eines Missbrauchs! Um also Risiko und Auswirkung von Attacken oder Fehlfunktionen eingrenzen zu können, sollten sich Programmierer und Administrator darüber im Klaren sein, was zur Laufzeit der Programme im Rahmen deren Ausf¨uhrung, aber auch auf Ebene der genutzten Schnittstellen passieren kann. Das ist natürlich in Anbetracht der doch mitunter recht komplexen Softwaresysteme auf PHP-Basis nicht trivial. Dies bedingt erst recht eine ordentliche konzeptionelle Grundlage, um Ursachen – sofern möglich – proaktiv eliminieren zu könen und nicht späer "nur" Symptome oder Auswirkungen eingrenzen zu müssen.
Dateiformat: PDFKopierschutz: Wasserzeichen-DRM (Digital Rights Management)
Systemvoraussetzungen:
Das Dateiformat PDF zeigt auf jeder Hardware eine Buchseite stets identisch an. Daher ist eine PDF auch für ein komplexes Layout geeignet, wie es bei Lehr- und Fachbüchern verwendet wird (Bilder, Tabellen, Spalten, Fußnoten). Bei kleinen Displays von E-Readern oder Smartphones sind PDF leider eher nervig, weil zu viel Scrollen notwendig ist. Mit Wasserzeichen-DRM wird hier ein „weicher” Kopierschutz verwendet. Daher ist technisch zwar alles möglich – sogar eine unzulässige Weitergabe. Aber an sichtbaren und unsichtbaren Stellen wird der Käufer des E-Books als Wasserzeichen hinterlegt, sodass im Falle eines Missbrauchs die Spur zurückverfolgt werden kann.
Weitere Informationen finden Sie in unserer E-Book Hilfe.
