Tobias Scheible Cyber Security & IT-Forensik Dozent
PHP Magazin Foto

PHP Magazin Ausgabe 3.2011

Ich bin fast schon ein bisschen spät mit meinem Artikel dran, da die nächste Ausgabe schon ershciehnen ist. Aber immerhin ist noch Mai. Es gab mal wieder einige spannende PHP-Artikel und auch einige, die über den PHP-Rand hinausblicken.

Ganz spannend fand ich den Lesetipp „Test-Driven JavaScript Development“ von Christian Johansen auf Seite 10. Da ich bei meinen Web-Anwendungen immer mehr Logik in den Client auslagere, fehlen mir dort noch die Standards wie bei der PHP-Entwicklung. Der Artikel gibt einen sehr ausführlichen Einblick in den Aufbau und die Inhalte des Buches. Innerhalb der verschiedenen Kapitel lernt man das Tool JsTestDriver kennen und setzt an einem konkreten Beispiel in der Praxis an. Ich bin momentan noch am überlegen, ob ich mir das Buch zulege.

Eine interessante Technik, um ein System sicherer zu machen, sind Hardware-Token. Wie man selbst so eine Lösung in PHP implementiert, beschreibt Michael Kliewe ab Seite 59 mit seinem Artikel „Mithören ist zwecklos!“. Dabei setzt er auf die Lösung Yubikey von Yubico. Das Interessante an diesem Key ist, dass er nur zwischen 15 und 25 Dollar (je nach Bestellmenge) kostet und vollständig auf OpenSource setzt. Damit lässt sich kostengünstig ein sicherer One-Time-Password Login realisieren. Und das Beste ist, dass dieser USB-Key sich auch für andere Dienste wie dem Windows Login oder bei WordPress einsetzen lässt.

Was mich total verblüfft hat, ist die Möglichkeit, Java direkt in JavaScript auszuführen. Mario Heiderich beschreibt dieses Szenario in seinem Artikel „Angriff auf Webapplikationen und Anwender mit Java und LiveConnect“ ab Seite 73. Zum Beispiel kann in einem simplen „alert“ ein beliebiger Java-Befehl ausgeführt werden. Da Java in einem anderen Rechtekontext laufen kann und deutlich mächtigere Funktionen zur Verfügung stehen, können komplexe Angriffe durchgeführt werden. Diese Tatsachen sollten jeden animieren, die Eingaben von Usern wirklich komplett zu filtern.

In dem nächsten Artikel „Die Sache mit den Headern“ ab Seite 76 stellt Carsten Eilers ein anderes Sicherheitsproblem vor. Und zwar das Versenden von SPAM und die Manipulation von E-Mails. Dies geschieht über das Einschleusen von zusätzlichen Headern über die Empfänger E-Mail- Adresse. So kann zum Beispiel einen neuer Betreff gesetzt werden, in dem er an die eingegebene Empfänger E-Mail- Adresse gehängt wird. Interessant wird es, wenn es gelingt, bei einer Passwort-Erinnerung einen zusätzlichen BCC Header einzuschleusen. Jeder, der sich um die Sicherheit von PHP Gedanken macht, sollte sich mit diesem Artikel beschäftigen.

Und hier alle Artikel im Überblick der Ausgabe 3.2011:

News & Trends

Lesetipp Test-Driven JavaScript Development
PEAR-News von Alexander Merz
PEARcing Das PHP Extension and Application Repository von Alexander Merz
Apache Zeta Components Kolumne von Tobias Schlitt
Zend_Column Kolumne von Ralf Eggert

Development

Des Kaisers neue Kleider Template-Entwicklung für Joomla! 1.6 von Daniel Koch
Agil mit Stil Ein agiles Projekt mit dem RedSpark Framework von A bis Z von Till Kubelke
Model View Presenter und Message Bus Architekturmuster für Graphical User Interfaces von Christian Schuff und Karl-Josef Wack
Mithören ist zwecklos! Yubikey: Mit One-Time-Passwörtern gegen Keylogger und Mithörer von Michael Kliewe

Database

NoSQL mit FLOW3 Ein Blick auf das CouchDB-Backend für FLOW von Karsten Dambekalns

Security

Web Security Kolumne von Mario Heiderich
Die Sache mit den Headern Auch Zeilenumbrüche können gefährlich sein von Carsten Eilers

WebTech

YUI DataTable mit PHP DataSource Webanwendungen mit DataGrids modernisieren von Manuel Nickels
Technisch reproduzierbar Was Sie über das Urheberrecht wissen müssen von Michael Rohrlich

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.