Artykuł

paź 21 2012
0

Recenzja Splątanej Sieci Michała Zalewskiego

Z pewnością większość programistów oraz webmasterów kojarzy cykl życia oprogramowania. W jednej z ogólniejszych form, składa się on z 6 postępujących za sobą faz:

  1. Analiza
  2. Projektowanie
  3. Programowanie
  4. Testowanie
  5. Wdrażanie
  6. Utrzymanie

Realizacja tego programu w praktyce wypada różnie, ponieważ wdrażanie projektów IT często wiąże się z ogólnym brakiem funduszy, zasobów oraz czasu. Z reguły osoby odpowiedzialne za projekty próbują znaleźć złoty środek, który w ich odczuciu polega na usunięciu zbędnej fazy (jest to błąd - żadne faza nie jest tutaj zbędna) jaką najczęściej dla nich jest testowanie. Skutki takiej decyzji z reguły są opłakane, ponieważ błędy w takim przypadku często znajdują sami klienci, a koszty ich poprawy szybko przerastają oszczędności, które wynikły z pominięcia fazy testowania.

Z testowaniem (a w dużej mierze także z samym programowaniem) wiąże się również bezpieczeństwo. Jeśli coś można powiedzieć o bezpieczeństwie, to tylko tyle, że jest ono jeszcze bardziej traktowane po macoszemu niż sama faza testowania, a jest ono niezwykle ważne, ponieważ warunkuje ono w dużej mierze to czy uda nam się uchronić dane powierzone przez użytkowników naszych aplikacji i tym samym nie narazić ich na straty.

O tym jak sobie z tym problemem radzić, pisze Marcin Zalewski w swojej drugiej książce Splątana Sieć, której recenzję mam Wam dziś przyjemność przedstawić.

Michał Zalewski

Recenzję zaczniemy od autora książki, którym jest nasz rodak Michał Zalewski, który w wieku 31 lat ma już na swoim koncie setki wykrytych podatności w wielu aplikacjach internetowych. Obecnie pracuje w Google, gdzie od 2010 piastuje stanowisko Information Security Engineer (informacje za Wikipedia).

Zalewski w sieci bardziej znany jest pod pseudonimem Lcamtuf, co pewnie dla wielu osób siedzących w temacie ważniejsze jest od samego nazwiska;) Jeśli chcecie się dowiedzieć więcej na temat autora, polecam przeczytać ten artykuł.

W kontekście książki pojawia się pewien mały, aczkolwiek łatwo wytłumaczalny paradoks, ponieważ oryginalnie powstała ona w języku angielskim. Fakt ten można stosunkowo łatwo wytłumaczyć. Zalewski obecnie mieszka i pracuje w USA, a pisząc po angielsku łatwiej i szybciej dotrze do większej grupy zainteresowanych osób. Znajomość tego języka w branży IT jest szczególnie istotna, czego sami już z pewnością nie raz doświadczyliście;)

W chwili obecnej książka dostępna jest również w języku polskim, za sprawą wydawnictwa Helion.

Zawartość

Co mogę powiedzieć już na wstępie o tej książce, to to, że nie jest to łatwa pozycja. Wymaga ona od czytelnika skupienia, ponieważ w treści pojawia się wiele istotnych, technicznych pojęć. Niewątpliwie łatwiej będzie programistom oraz osobom zajmującym się na co dzień bezpieczeństwem, ale przy odrobinie chęci, z lekturą powinny sobie również poradzić osoby dotychczas mniej zainteresowane tematem (polecam zapoznać się z przykładowym rozdziałem - link na końcu recenzji), tym bardziej że tematyka tutaj poruszana jest naprawdę szeroka.

Sama książka została naprawdę dobrze pomyślana pod kątem budowy. Całość podzielono na trzy główne części:

  • Anatomia sieci WWW
  • Funkcje bezpieczeństwa przeglądarek
  • Spojrzenie w przyszłość

Wszystko to poprzedzono dawką historii sieci Web, z której możemy się dowiedzieć jak to wszystko się zaczęło i w jakim kierunku zmierza.

Książka niesie ze sobą ogromną wartość merytoryczną, a każdy rozdział napisany jest w formie swego rodzaju opowieści na temat wybranego zagadnienia, w której autor przedstawia najważniejsze problemy/błędy. Nie brakuje oczywiście fragmentów kodu opisujących określone podatności, a także schematycznych rysunków oraz opisów wektorów ataku. Autor nie przedstawia jednak programowych rozwiązań - bardziej opisuje co trzeba zrobić by uniknąć wskazanego problemu.

Osoby które szukały gotowej listy wypunktowanych błędów wraz z odpowiednim opisem rozwiązania, mogą poczuć się w tym miejscu trochę zawiedzione.

Wróćmy jednak do samej treści. Świetnym uzupełnieniem poszczególnych rozdziałów, są ściągi które znajdują się zawsze na ich końcu. W tym miejscu znaleźć można kilka gotowych i konkretnych porad, mówiących o tym jak należy się zachowywać w wybranych sytuacjach, bądź też czego należy unikać.

W rozdziale poświęconym HTMLowi, z tego miejsca dowiecie się np. o zasadach odpowiedniego kodowania treści wprowadzonych przez użytkowników i o filtrowaniu znaczników, które złośliwi użytkownicy mogą wprowadzić na formularzu.

Niektóre z problemów opisywanych przez autora, z pewnością były Wam znane, czasem jednak łatwo jest przegapić pewien detal. Dla przykładu, w kontekście poruszonej wyżej walidacji znaczników wprowadzonych przez użytkowników, często zapominamy o tagach, które celowo zostały błędnie zdefiniowane. Również w takich sytuacjach należy się odpowiednio zabezpieczyć.

W każdym z rozdziałów znajdziemy również liczne przypisy, które w sposób znaczący rozszerzą treść zawartą w samej książce.

Podsumowanie

Splątana sieć to niezwykły przewodnik po bezpieczeństwie nowoczesnych aplikacji WWW, z którym moim zdaniem powinien zapoznać się każdy webmaster oraz programista. Do książki oczywiście mogą sięgnąć także sami internauci, ponieważ sporo miejsca poświęca się tutaj również bezpieczeństwie przeglądarek, z których jak wiadomo korzystają wszyscy.

Lektura powyższej pozycji nie była dla mnie łatwa, lecz nikt nigdy nie mówił, że aspekt bezpieczeństwa w kontekście aplikacji internetowych jest rzeczą prostą i przyjemną. Gdyby tak było, to z pewnością nie bylibyśmy świadkami notorycznych włamań do popularnych sklepów, czy portali i wycieków newralgicznych danych w nich zawartych. Jak pokazuje życie, tego typu ataki dotykają nawet największych graczy na rynku.

Od dziś Splątana Sieć będzie mieć swoje stałe miejsce w mojej biblioteczce i wiem, że z pewnością wrócę do lektury tej książki (czy też poszczególnych rozdziałów) jeszcze nie raz, odkrywając przy każdym podejściu kolejne podatności w sieciowych aplikacjach.

Link do książki: Splątana Sieć.

Spis treści + bezpłatny fragment książki: Splątana Sieć.

Data ostatniej modyfikacji: 29.05.2013, 14:34.

Podoba Ci się ten wpis? Powiedz o tym innym!

Send to Kindle

Komentarze

blog comments powered by Disqus