1. web/Zalewski本
The Tangled Web: A Guide to Securing Modern Web Applications [ペーパーバック] Michal Zalewski (著)
Modern web applications are built on a tangle of technologies that have been developed over time and then haphazardly pieced together.
http://lcamtuf.coredump.cx/tangled/ http://nostarch.com/tangledweb
http://shop.oreilly.com/product/9781593273880.do?code=DEAL
/contents 「Zalewski 本」と呼ぶことにする。/推薦文
/review http://packetstormsecurity.org/news/view/20578/Book-Review-The-Tangled-Web-By-Michal-Zalewski.html
翻訳: めんどうくさいWebセキュリティ
/まえがきと/第一章を読むだけで、買ってよかったと思える本だ。(できるだけ、原著で)
徳丸本を読んでの違和感が解消されそう。-- ToshinoriMaeno 2012-08-09 03:41:53
- web security に対する立ち位置がはっきりしているのが、期待できる理由だ。
amazonで見かけた書評にも:
The book provides systematic coverage of browser security. The first 6 pages of chapter 1 provide brilliant insight into why formal security models, risk management and taxonomies fail to deliver promised security improvements to organizations that embrace them. I used to explain the same with a lot of hand weaving, Zalewski's approach and insight are far superior.
めんどうくさいWebセキュリティ [単行本(ソフトカバー)] Michal Zalewski (著), 上野 宣 (監修), 新丈 径 (翻訳)
出版社: 翔泳社 (2012/6/19)
- ISBN-10: 4798128090 ISBN-13: 978-4798128092
訳本正誤表 :http://www.shoeisha.co.jp/book/errata/14478/list
翻訳は推奨出来ない。(目次だけ見ても分かりそう)
「Webブラウザの最も大きな特徴はユーザにスキルがないこと」だと述べた後、
Webに特有のもうひとつの特徴は、関連性のないアプリケーションとそれらが処理するデータの分離が 驚くほどに行われていないことです。 .... すべてのサイトで、グローバルなJavaScript環境が共有されるからです。 また、さまざまの種類のサイト間通信は、暗黙のうちに許可され、 これらを調整するブラウザレベルのセキュリティフレームワークはほとんど存在しないか、あっても、 その制約はゆるいものです。
なんでも許されている機械語の世界に相当するらしい。
長谷川明生 @aki0816
「めんどうくさいWebセキュリティ」を読んでる。 走りながら考えるというのが、走りだして使われるようになると変えられなくなり、 どうしようもなくボロボロになって手に負えなくなったものをなんとかするという何かに共通するorz
Google 検索から
https://plus.google.com/107256233060017052549/posts/iLuZH5LGncE
2. 余談
もしもDNSSECが広く使われるようになったら、"The Tangled DNS(SEC)" という本が書かれるだろう。
- 安全なWebは幻想 @beyondDNS
"The Tangled Web" は Prefaceと第一章を読むだけでも、買って損はなさそう。web の闇が覗ける。(解消は無理)