BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

QSecurity4月安全评论:期待黑客精神的回归

| 作者 殷钧钧 关注 0 他的粉丝 发布于 2012年5月8日. 估计阅读时间: 3 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

QSecurity4月安全评论:期待黑客精神的回归

又到了每月一次的QSecurity当月安全阅读及评论的时间了,但是本期QSecurity月度安全评论的出炉,多少有点难产的味道。难产的原因之一自然是作者的拖延症,但是更为重要的是,本期安全文章推荐备选列表中,已经很难找到一篇中文文章。

从几年前开始,中国黑客社区在经历了长达十余年的启蒙时代和黄金时代之后,走向了沉沦的黑暗时代。功利性越来越强,坚持下来的黑客社区和安全研究人员,由于互相之间信任的缺失,已经不再具有开放和分享的精神。黑客精神所代表的Open、Free、Share,已经不复存在了(以上文字荣耀归于刺总)。在这个大背景下,鼓励和支持国内的安全研究人员公开发表和分享安全技术知识,就显得尤为重要。QSecurity作为InfoQ中文站的安全专栏,希望能向研发团队的团队领导者、架构师、项目经理、工程总监和高级软件开发人员们介绍更多来自中国安全工作者原创的安全文章。

本期的第一篇推荐是一本来自于中国白帽子原创的安全著作:《白帽子讲Web安全 》。作者吴翰清是阿里安全专家。这本书的出版,为国内安全工作者的知识分享和传播,开了个好头。各大网店均有销售,我就不把软广告做得太过分明显了。

接下来就全是英文文章了,某些文章可能需要翻墙才能访问,替方校长向大家表示抱歉。

67% of ASP.NET websites have serious configuration related security vulnerabilities
Troy Hunt在4月3日发表了一篇文章,称67%的asp.net网站都存在由于配置问题导致的严重安全漏洞,并提供了一系列分析和经验总结。对.net web开发者,这应该是一篇很好的安全配置指南。

HTML5 Security
Robert McArdle在这篇blog里提供了一份报告,详细阐述了HTML5可能面临的各种安全威胁。除了大家可能已经熟知的WebSockets方面的问题之外,针对HTML5引入的新标签的XSS、利用Autocomplete盗取敏感信息等内容,对web开发者都是非常实用的安全指南。

Understanding Ajax vulnerabilities
Ajax安全威胁。IBM developer works风格的技术文章,可以看一看。可以结合这篇文章一起读。 

Secure Coding And Application Security
Dinis在最近这篇博客中提出了一个很激进的观点:“应用安全应该对开发者透明”。换言之,应该从系统架构、Platform选型、配置等方面做到默认安全,使得开发者不可能写出含有致命漏洞的代码。最好的一个例子就是现代编程语言对缓冲区溢出漏洞的处理方式。当然对于web开发来说,这个观点仁者见仁智者见智。不过我同意:很多安全问题本质上是架构问题。

XSS (Cross Site Scripting)
OWASP官方防止XSS的葵花宝典,有更新。

希望下个月,我们能有一些高质量的中文文章推荐给大家,下月见。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT