編寫安全的代碼

內(nèi)容概要

對于“是否有這個必要”的疑問，在書中（第1章）作者是如此回答的：首先，時代在變，從“World Wide Web”（萬維網(wǎng)）到“Wild Wild Web”（混亂無序的網(wǎng)）絕非文字游戲。在如今這個充滿了敵意的網(wǎng)絡(luò)環(huán)境里面，編寫的代碼必須經(jīng)得起考驗(yàn)，而再用舊的思維模式去思考新的問題是非常危險的。其次，安全的產(chǎn)品同時也是高質(zhì)量的產(chǎn)品，安全是高質(zhì)量產(chǎn)品的一個子集。再次，媒體和競爭對手都喜歡在安全問題上大做文章，這些都是能上頭條新聞的信息，屢屢成為犧牲品的公司不厭其煩，微軟即是一個典型的例子。最后一點(diǎn)就是，修補(bǔ)安全漏洞的代價是十分高昂的。除了直接的人力和誤工等損失之外，還包括改善公共關(guān)系和客戶信任度的降低的損失，我把它稱之為“商譽(yù)”上的損失。這四點(diǎn)從企業(yè)的角度對此做出了回答。
對于個人而言，也有著種種的不解（附錄D）：①沒有人會做那事?、谖覀儚膩頉]有受到過攻擊。③我們使用了密碼、ACL和防火墻，所以安全。④檢查過代碼，沒有安全bug。對這些問題，作者顯然有著豐富的實(shí)踐經(jīng)驗(yàn)：
①當(dāng)苦口婆心地告訴某個開發(fā)小組一定要做緩沖溢出測試時，大家顯然不相信。于是作者現(xiàn)場編寫了一個Perl的小腳本，它神奇地生成了一個偽造的包，發(fā)送給產(chǎn)品打開的Socket后，輕易地就擊潰了他們的服務(wù)器。②作者與一個產(chǎn)品開發(fā)組工作之時，對方信誓旦旦地說他們從來沒有受到過攻擊，沒有問題。然而就在他們被第一次攻擊之時，突然就涌現(xiàn)了另外的數(shù)個安全漏洞。黑客的嗜好就是發(fā)現(xiàn)漏洞，然后廣而告之，然后繼續(xù)探查你的其他漏洞，問題迅速擴(kuò)大化。③作者告誡大家要避免以下錯誤：自創(chuàng)“加密”算法；不安全地存儲密碼；使用“任何人”的ACL。防火墻只是安全體系的一環(huán)，并非全部。例如，很多攻擊都是通過HTTP，也就是一個通常開放的端口來進(jìn)行的。④如果不知道安全bug是什么樣子，當(dāng)然就沒有那個問題了。
正如書中前言所提到的那樣，《編寫安全的代碼》一書“教你以安全的方式設(shè)計(jì)、編寫和測試應(yīng)用程序是本書惟一的目的”，始終圍繞著應(yīng)用程序安全的話題進(jìn)行討論，從實(shí)踐的角度對代碼安全進(jìn)行了全程的指導(dǎo)。同時，這也是“第一本指導(dǎo)程序員從內(nèi)部加強(qiáng)軟件安全的書籍”，是一本主要面向程序員，涉及各種攻擊漏洞的安全分析，并指導(dǎo)人們從開發(fā)階段即開始加強(qiáng)軟件安全的書。在此，我把它推薦給所有關(guān)心代碼安全的朋友們閱讀。

作者簡介

Michael Howard：
    《Design Secure Web-Based Applications for Microsoft Windows 2000》一書的主要作者。從1992年就開始從事Windows NT安全方面的研究。現(xiàn)在在微軟的Windows XP小組中負(fù)責(zé)安全方面的設(shè)計(jì)、編程和測試。他每年都要幫助全球上百家公司以保證他們的應(yīng)用的

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    編寫安全的代碼 PDF格式下載

---