QSecurity4 月安全评论：期待黑客精神的回归

QSecurity4 月安全评论：期待黑客精神的回归

又到了每月一次的 QSecurity 当月安全阅读及评论的时间了，但是本期 QSecurity 月度安全评论的出炉，多少有点难产的味道。难产的原因之一自然是作者的拖延症，但是更为重要的是，本期安全文章推荐备选列表中，已经很难找到一篇中文文章。

从几年前开始，中国黑客社区在经历了长达十余年的启蒙时代和黄金时代之后，走向了沉沦的黑暗时代。功利性越来越强，坚持下来的黑客社区和安全研究人员，由于互相之间信任的缺失，已经不再具有开放和分享的精神。黑客精神所代表的 Open、Free、Share，已经不复存在了（以上文字荣耀归于刺总）。在这个大背景下，鼓励和支持国内的安全研究人员公开发表和分享安全技术知识，就显得尤为重要。QSecurity 作为 InfoQ 中文站的安全专栏，希望能向研发团队的团队领导者、架构师、项目经理、工程总监和高级软件开发人员们介绍更多来自中国安全工作者原创的安全文章。

本期的第一篇推荐是一本来自于中国白帽子原创的安全著作：《白帽子讲Web 安全 》。作者吴翰清是阿里安全专家。这本书的出版，为国内安全工作者的知识分享和传播，开了个好头。各大网店均有销售，我就不把软广告做得太过分明显了。

接下来就全是英文文章了，某些文章可能需要翻墙才能访问，替方校长向大家表示抱歉。

67% of ASP.NET websites have serious configuration related security vulnerabilities
Troy Hunt 在 4 月 3 日发表了一篇文章，称 67% 的 asp.net 网站都存在由于配置问题导致的严重安全漏洞，并提供了一系列分析和经验总结。对.net web 开发者，这应该是一篇很好的安全配置指南。

HTML5 Security
Robert McArdle 在这篇 blog 里提供了一份报告，详细阐述了 HTML5 可能面临的各种安全威胁。除了大家可能已经熟知的 WebSockets 方面的问题之外，针对 HTML5 引入的新标签的 XSS、利用 Autocomplete 盗取敏感信息等内容，对 web 开发者都是非常实用的安全指南。

Understanding Ajax vulnerabilities
Ajax 安全威胁。IBM developer works 风格的技术文章，可以看一看。可以结合这篇文章一起读。

Secure Coding And Application Security
Dinis 在最近这篇博客中提出了一个很激进的观点：“应用安全应该对开发者透明”。换言之，应该从系统架构、Platform 选型、配置等方面做到默认安全，使得开发者不可能写出含有致命漏洞的代码。最好的一个例子就是现代编程语言对缓冲区溢出漏洞的处理方式。当然对于 web 开发来说，这个观点仁者见仁智者见智。不过我同意：很多安全问题本质上是架构问题。

XSS (Cross Site Scripting)
OWASP 官方防止 XSS 的葵花宝典，有更新。

希望下个月，我们能有一些高质量的中文文章推荐给大家，下月见。