…zumindest wenn man Eric Kachel und seinem Blog glaubt. In für meinen Geschmack leicht marktschreierischer Weise macht Eric auf die am häufigsten auftretenden Sicherheitsprobleme beim Erstellen von PHP-Skripten aufmerksam und nennt aus seiner ganz eigenen Sicht die Gründe dafür. Dabei macht er in einem Abwasch PHP-Foren, Bücher über PHP und Sicherheitsexperten zur Achse des Bösen 
Wie gut, dass er selbst ein Security-Framework namens SSEQ-Lib geschrieben hat, dass die häufigsten Sicherheitsprobleme abfedern soll.
Da ich SSEQ-Lib nicht ausprobiert habe, kann und will ich nichts zur Qualität dieser Bibliothek sagen. Mir gefällt nur diese Eigenwerbung mit kombinierter Panikmache nicht. Ich gönne Eric wirklich seinen Erfolg, nur sträuben sich mir die Nackenhaare, wenn er unbedarfte PHP-Noobs Glauben machen will, dass nach Einsatz eines Security-Frameworks die bösen Hacker nicht mehr angreifen können. Aus meiner ganz persönlichen Sicht ist ein Security-Framework allenfalls ein Hilfsmittel, keinesfalls aber ein Heilmittel. Es verhindert weder Fehler im PHP-Kern noch unbewusst eingebaute offene Scheunentore beim Aufsetzen des Servers. Und noch wichtiger: Es ersetzt auf keinen Fall gut geschriebenen und sicheren PHP-Code.
Damit aber mein Artikel nicht zu einem “Eric-Kachel-Bashing” wird habe ich nachfolgend ein paar wirklich gut gemachte Tutorials zum Thema PHP-Security zusammengestellt, die nicht nur für Anfänger lohnenswerte Lektüre darstellen:
bis sich die jeweiligen Programmierer über eine saubere Umsetzung informiert haben.
Es gibt auch fundierte deutsche Lektüre zum Thema:
http://www.dpunkt.de/buecher/2905.html
Keine Sorge
Es wäre doch schön, wenn grad einige Tutorials in deutscher Sprache erscheinen würden, die es auch nem Einsteiger ermöglichen, halbwegs sichere Scripte zu schreiben. Englisch können zwar viele, aber es gibt viele Wörter in dem Zusammenhang die erst einen Übersetzer auf den Plan rufen müssen und die mühe scheuen natürlich viele. Ein Tutorial über SQL-Injections, Cross-Site-Scripting usw mit Anwendertauglichen Beispielen würde sicher schon eine ganze Menge bewegen.
Gruss aus Berlin
ways
Sorry, ist leider in Akismet gerutscht und ich habe es nicht gesehen. Vielen Dank für die Links!
Hallo Thorsten,
wenn aus Deiner Sicht nichts dagegen spricht, könnte mein Kommentar vom 16.11 doch endlich frei gegeben werden, oder?
Hallo Thorsten,
die Grundlage waren Analysen, die ich bereits unter einer Creative Commons-Lizenz zur freien Verfügung gestellt habe.
http://www.erich-kachel.de/?tag=creative-commons
http://www.erich-kachel.de/wp-content/uploads/2008/08/sicherheitsschwachstellen_phpmysql_analyse_2408_01.pdf
Sie wurden allerdings für eine wissenschaftliche Arbeit verfasst, könnten also vermutlich etwas Auflockerung vertragen. Wie gesagt, es sind erst die Analysen. Die Lösungsmöglichkeiten bereite ich noch für die Veröffentlichung vor und sie münden speziell in Umsetzungen, die in die Sicherheitsbibliothek eingeflossen sind. Dort könnte man etwas mehr Diversität einbringen.
Es steht Dir und anderen frei diese Texte zu erweitern und sie in Tutorials zu verwandeln. Ich habe irgendwann mal eingesehen, dass ich das nicht für alle gut verständlich erklären kann.
Hallo Erich,
erst einmal vielen Dank für Dein Feedback und zum zweiten SORRY, dass ich Dich in meinem Beitrag versehentlich Eric nenne.
Ich stimme Dir voll und ganz zu, dass Security in PHP-Skripten ein völlig vernachlässigtes Thema ist. Ja, nicht nur bei PHP-Script-Kiddies wird über Security geflissentlich hinweggesehen, sondern auch Unternehmen vergessen ab und an die einfachsten Sicherheitsmassnahmen zu ergreifen
Woran liegt das aus meiner Sicht? Vielleicht daran, dass einfach noch nicht genug passiert ist. Vielleicht einfach daran, dass Security audits ein teuerer Spass werden können und bei vielen kleinen und mittleren Unternehmen das Geld nicht ganz so locker sitzt. Vielleicht liegt es auch daran, dass es in deutscher Sprache kaum “allgemeinverständliche” Tutorials zum Thema Security gibt. Und an diesem Punkt möchte ich meinen Beitrag fortführen:
Es würde mich sehr freuen, wenn Du Dein Wissen langfristig einsetzen würdest
Aus meiner Sicht erzeugt Marktschreierei nur eine kurze Aufmerksamkeitsspanne. Bei einem Thema wie Sicherheit ist aber eine lange Aufmerksamkeitsspanne wichtig! Wie findest Du die Idee, wenn Du Dein Wissen über Sicherheit derart teilst, dass Du WIRKLICH anfängerfreundliche Tutorials in kleinen Häppchen produzierst, die auch ein Anzugträger-und-nicht-Techie versteht. Ich persönlich würde mich freuen so etwas im deutschen Web zu sehen! Falls Du dabei Rat/Unterstützung haben möchtest bin ich gerne mit dabei!
Ich bin schon gespannt auf Dein Feedback
@Zukno: was könnte aus Deiner Sicht verbessert werden? Oder war es das im deutschen Web so übliche Trollen?
Also ich habe kurz mal nen Blick reingeworfen in den Source und den Deckel gleich wieder zu gemacht. Hätte ruhig ein Bashing Artikel werden können
Hi Thorsten, ich habe absichtlich auf diese marktscheierische Weise geschrieben, um zu sensibilisieren. Im Rahmen einer Arbeit zur Websicherheit ist mir der Ausmaß an Schwachstellen bewusst geworden, die im Umlauf sind. Die Sicherheitsbibliothek ist kein Allheilmittel und die Art und Weise wie darin z.B. die “Web-Firewall”-Komponente arbeitet ersetzt mit Sicherheit nicht ein sauber programmiertes Skript. Was mir jedoch viel zu oft über den Weg gelaufen ist, sind Webanwendungen mit 0 (in Worten: null) Sicherheitsvorkehrungen oder fehlerhaften Umsetzungen. Was meine Sicherheitsbibliothek da leisten kann ist ein Tropfen auf dem heißen Stein, und ich sehe sie als eine Zwischenlösung, bis sich die jeweiligen Programmierer über eine saubere Umsetzung informiert haben. Im Moment sind die Anfänger und die uninformierten Profis eher mit einem Haufen guter und weniger guten Literatur allein gelassen und gezwungen, sich daraus selber was sicheres zusammen zu basteln. Bis sie eben in den Bugtracking-Listen auftauchen oder ihre Skripte Malware verteilen. Ich möchte dem damit wenigstens ein wenig entgegen wirken.