Review: "Java Web Security" von Dominik Schadow

Neuigkeiten von der Insel  –  0 Kommentare

Die Themen Java und Security sind meine Steckenpferde. Immer wieder habe ich in Projekten damit zu tun oder halte selber Vorträge darüber. Ich freue mich über jedes Stück Aufmerksamkeit, das Java und Sicherheit sowie sicheres Programmieren motiviert. Umso schöner, dass es neue Literatur gibt.

Java-Web-Security Titel (Bild: dpunkt.verlag)

Java-Web-Security – Sichere Webanwendungen mit Java entwickeln

dpunkt.verlag, Februar 2014
Sprache: Deutsch
Broschiert: 250 Seiten [24 x 16,6 x 1,6 cm]
ISBN-10: 3864901464
ISBN-13: 978-3864901461

Dominik Schadow arbeitet als Senior Consultant beim IT-Beratungsunternehmen bridgingIT und unterstützt Kunden in unterschiedlichen Projekten, u.a. bei der Entwicklung sicherer Java- Webanwendungen. Er ist Sprecher auf Konferenzen wie der JavaOne, JFS, DOAG, EclipseCon rund um die Themen Java und sichere Softwareentwicklung. In seiner Freizeit leitet er das Open-Source-Projekt JCrypTool, mit dem Anwender für die Kryptografie begeistert werden sollen und gleichzeitig ihre eigenen Krypto-Plug-ins entwickeln können. Er bloggt und ist @dschadow auf Twitter.

Das Buch geht detailliert auf drei verschiedene Angriffsformen ein und erklärt, wie sie funktionieren und was man dagegen tun kann. Injections, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) werden auch mit Checklisten und Beispielprojekten konkret beschrieben, und der Leser bekommt einen guten Gesamtüberblick und lernt auch Variationen kennen. Garniert werden die drei konkreten Bereiche von Grundlagen-Wissen über Session Management in Java-Webanwendungen, Sicherheitsgrundlagen und Frameworks sowie Werkzeugempfehlungen. In Summe ein guter Schnitt durch Theorie und Praxis, der vor allem Einsteigern in das Thema helfen dürfte. Der Quelltext zum Buch findet sich im eigenen Github Repository und erlaubt die schnelle Verwendung der Beispiele in eigenen Projekten.

Qualitativ hochwertig und durchweg gut geschrieben. Der Text ließt sich flüssig, und auch die Quelltexte und Bilder fügen sich gut ein. Ich persönlich hätte auf die abgedruckten Checklisten verzichten können. Die sind sowieso für jedes Projekt neu zu bewerten. Hier wären kleine Vorlagen in einem Repository sicherlich hilfreicher gewesen.

Ein solider Einstieg für Anfänger im Bereich "sichere Java-Webprogrammierung – mit einigen konkreten Beispielen und Hinweisen, die durchaus solide sind. Vergleicht man die drei hauptsächlich behandelten Themen jedoch mit der Top 10 Liste der OWASP, dann wird schnell klar, dass es eben nur ein beispielhafter Ausschnitt ist. Die Erwartung zu haben, es handele sich um ein Komplettwerk oder Standard-Kompendium wäre falsch. Das zeigt schon allein die Seitenzahl. Aber es macht Lust auf mehr, und ich hab es gerne gelesen.

Wer noch mehr erfahren möchte, kann sich auch die 30-Minuten-Aufnahme von meinem "Developer Security Awareness" Vortrags bei der vJUG anschauen.