對於“是否有這個必要”的疑問,在書中(第1章)作者是如此迴答的:首先,時代在變,從“World Wide Web”(萬維網)到“Wild Wild Web”(混亂無序的網)絕非文字遊戲。在如今這個充滿瞭敵意的網絡環境裏麵,編寫的代碼必須經得起考驗,而再用舊的思維模式去思考新的問題是非常危險的。其次,安全的産品同時也是高質量的産品,安全是高質量産品的一個子集。再次,媒體和競爭對手都喜歡在安全問題上大做文章,這些都是能上頭條新聞的信息,屢屢成為犧牲品的公司不厭其煩,微軟即是一個典型的例子。最後一點就是,修補安全漏洞的代價是十分高昂的。除瞭直接的人力和誤工等損失之外,還包括改善公共關係和客戶信任度的降低的損失,我把它稱之為“商譽”上的損失。這四點從企業的角度對此做齣瞭迴答。
對於個人而言,也有著種種的不解(附錄D):①沒有人會做那事!②我們從來沒有受到過攻擊。③我們使用瞭密碼、ACL和防火牆,所以安全。④檢查過代碼,沒有安全bug。對這些問題,作者顯然有著豐富的實踐經驗:
①當苦口婆心地告訴某個開發小組一定要做緩衝溢齣測試時,大傢顯然不相信。於是作者現場編寫瞭一個Perl的小腳本,它神奇地生成瞭一個僞造的包,發送給産品打開的Socket後,輕易地就擊潰瞭他們的服務器。②作者與一個産品開發組工作之時,對方信誓旦旦地說他們從來沒有受到過攻擊,沒有問題。然而就在他們被第一次攻擊之時,突然就湧現瞭另外的數個安全漏洞。黑客的嗜好就是發現漏洞,然後廣而告之,然後繼續探查你的其他漏洞,問題迅速擴大化。③作者告誡大傢要避免以下錯誤:自創“加密”算法;不安全地存儲密碼;使用“任何人”的ACL。防火牆隻是安全體係的一環,並非全部。例如,很多攻擊都是通過HTTP,也就是一個通常開放的端口來進行的。④如果不知道安全bug是什麼樣子,當然就沒有那個問題瞭。
正如書中前言所提到的那樣,《編寫安全的代碼》一書“教你以安全的方式設計、編寫和測試應用程序是本書惟一的目的”,始終圍繞著應用程序安全的話題進行討論,從實踐的角度對代碼安全進行瞭全程的指導。同時,這也是“第一本指導程序員從內部加強軟件安全的書籍”,是一本主要麵嚮程序員,涉及各種攻擊漏洞的安全分析,並指導人們從開發階段即開始加強軟件安全的書。在此,我把它推薦給所有關心代碼安全的朋友們閱讀。
發表於2024-12-25
編寫安全的代碼 2024 pdf epub mobi 電子書 下載
圖書標籤: 安全 計算機 Security 編程 Programming M$
關注微軟産品安全的人不能不讀的書
評分關注微軟産品安全的人不能不讀的書
評分關注微軟産品安全的人不能不讀的書
評分關注微軟産品安全的人不能不讀的書
評分關注微軟産品安全的人不能不讀的書
編寫安全的代碼 2024 pdf epub mobi 電子書 下載