非扫描的完整版,共324页,可放心阅读,质量上绝对值得10分。
《The Tangled Web》“破解Web乱局”是由国际知名安全专家Michal Zalewski在畅销书《Silence on the Wire》之后推出的第二本著作。
Michal Zalewski是有着多年前沿研究经验的国际知名安全专家,曾发现过数以百计的安全漏洞,同时也是多篇具有很大影响力研究论文的作者。
《The Tangled Web》是Michal在多年对浏览器安全原创研究和“浏览器安全在线手册”基础上精心打造的,是目前仅有的一本专门关注Web浏览器安全的特色书籍,细致地揭示了浏览器的内部工作机制,深入地分析了浏览器的基础安全机制与问题,并展望了正在最新研究和应用中的一些浏览器安全特性。在本书的章节设计方面,作者在引言中回顾了Web的发展历程并分析了导致Web安全乱象的根本性原因;然后在第一部分细致地讲解了现代浏览器如何工作的基本技术机理,包括协议、文档格式、脚本语言等等,掌握这些细节性的概念与技术原理是理解分析目前浏览器安全问题与特性的前提基础;第二部分作者真正进入到浏览器的安全特性中,为读者们详细介绍了目前处于“第二次浏览器战争”的各种现代浏览器(Firefox、Chrome、IE等)所引入的包括同源策略、文档类型识别、恶意脚本处置、站点权限控制等重点安全机制,并分析了它们从设计角度即存在的一些安全问题,同时为Web程序开发者与用户提供了如何避免由于安全缺陷导致攻击和隐私信息泄露的应对措施。与其他一些书籍仅仅是对于漏洞提供简单对策不同的是,Michal利用了他在Web安全领域,特别是近年来在浏览器安全技术方向上的丰富研究经验,能够对整个浏览器安全模型进行全面剖析,来揭示出其中的薄弱环节并为提升Web应用的安全性提供出“金玉良言”;最后,作者展望和介绍了目前正在研究、标准化以及采纳过程中的一些最新的浏览器安全机制,充分了解和利用这些最新的安全机制将帮助Web应用开发者和用户防御Web威胁。为了快速索引,作者还在每章最后给出了安全工程“cheatsheet”为读者最可能遇到的浏览器安全问题提供解决方案。从总体上分析,本书还是一本极具特色,由具有丰富经验的专业技术专家出品的好书,但美中不足的是,本书第二部分对浏览器安全机制的讲解与分析内容过于精要(7章100页左右,只占三分之一左右),同时并没有结合实际攻击案例与方法来进行分析,对读者技术水平具有一定要求。
2021-09-17 00:27:27
3.4MB
Web安全
1