Ganz spannend fand ich den Lesetipp „Test-Driven JavaScript Development“ von Christian Johansen auf Seite 10. Da ich bei meinen Web-Anwendungen immer mehr Logik in den Client auslagere, fehlen mir dort noch die Standards wie bei der PHP-Entwicklung. Der Artikel gibt einen sehr ausführlichen Einblick in den Aufbau und die Inhalte des Buches. Innerhalb der verschiedenen Kapitel lernt man das Tool JsTestDriver kennen und setzt an einem konkreten Beispiel in der Praxis an. Ich bin momentan noch am überlegen, ob ich mir das Buch zulege.
Eine interessante Technik, um ein System sicherer zu machen, sind Hardware-Token. Wie man selbst so eine Lösung in PHP implementiert, beschreibt Michael Kliewe ab Seite 59 mit seinem Artikel „Mithören ist zwecklos!“. Dabei setzt er auf die Lösung Yubikey von Yubico. Das Interessante an diesem Key ist, dass er nur zwischen 15 und 25 Dollar (je nach Bestellmenge) kostet und vollständig auf OpenSource setzt. Damit lässt sich kostengünstig ein sicherer One-Time-Password Login realisieren. Und das Beste ist, dass dieser USB-Key sich auch für andere Dienste wie dem Windows Login oder bei WordPress einsetzen lässt.
Was mich total verblüfft hat, ist die Möglichkeit, Java direkt in JavaScript auszuführen. Mario Heiderich beschreibt dieses Szenario in seinem Artikel „Angriff auf Webapplikationen und Anwender mit Java und LiveConnect“ ab Seite 73. Zum Beispiel kann in einem simplen „alert“ ein beliebiger Java-Befehl ausgeführt werden. Da Java in einem anderen Rechtekontext laufen kann und deutlich mächtigere Funktionen zur Verfügung stehen, können komplexe Angriffe durchgeführt werden. Diese Tatsachen sollten jeden animieren, die Eingaben von Usern wirklich komplett zu filtern.
In dem nächsten Artikel „Die Sache mit den Headern“ ab Seite 76 stellt Carsten Eilers ein anderes Sicherheitsproblem vor. Und zwar das Versenden von SPAM und die Manipulation von E-Mails. Dies geschieht über das Einschleusen von zusätzlichen Headern über die Empfänger E-Mail- Adresse. So kann zum Beispiel einen neuer Betreff gesetzt werden, in dem er an die eingegebene Empfänger E-Mail- Adresse gehängt wird. Interessant wird es, wenn es gelingt, bei einer Passwort-Erinnerung einen zusätzlichen BCC Header einzuschleusen. Jeder, der sich um die Sicherheit von PHP Gedanken macht, sollte sich mit diesem Artikel beschäftigen.
Und hier alle Artikel im Überblick der Ausgabe 3.2011:
News & Trends
Lesetipp Test-Driven JavaScript Development
PEAR-News von Alexander Merz
PEARcing Das PHP Extension and Application Repository von Alexander Merz
Apache Zeta Components Kolumne von Tobias Schlitt
Zend_Column Kolumne von Ralf Eggert
Development
Des Kaisers neue Kleider Template-Entwicklung für Joomla! 1.6 von Daniel Koch
Agil mit Stil Ein agiles Projekt mit dem RedSpark Framework von A bis Z von Till Kubelke
Model View Presenter und Message Bus Architekturmuster für Graphical User Interfaces von Christian Schuff und Karl-Josef Wack
Mithören ist zwecklos! Yubikey: Mit One-Time-Passwörtern gegen Keylogger und Mithörer von Michael Kliewe
Database
NoSQL mit FLOW3 Ein Blick auf das CouchDB-Backend für FLOW von Karsten Dambekalns
Security
Web Security Kolumne von Mario Heiderich
Die Sache mit den Headern Auch Zeilenumbrüche können gefährlich sein von Carsten Eilers
WebTech
YUI DataTable mit PHP DataSource Webanwendungen mit DataGrids modernisieren von Manuel Nickels
Technisch reproduzierbar Was Sie über das Urheberrecht wissen müssen von Michael Rohrlich