写点什么

QSecurity4 月安全评论:期待黑客精神的回归

  • 2012-05-07
  • 本文字数:1102 字

    阅读完需:约 4 分钟

QSecurity4 月安全评论:期待黑客精神的回归

又到了每月一次的 QSecurity 当月安全阅读及评论的时间了,但是本期 QSecurity 月度安全评论的出炉,多少有点难产的味道。难产的原因之一自然是作者的拖延症,但是更为重要的是,本期安全文章推荐备选列表中,已经很难找到一篇中文文章。

从几年前开始,中国黑客社区在经历了长达十余年的启蒙时代和黄金时代之后,走向了沉沦的黑暗时代。功利性越来越强,坚持下来的黑客社区和安全研究人员,由于互相之间信任的缺失,已经不再具有开放和分享的精神。黑客精神所代表的 Open、Free、Share,已经不复存在了(以上文字荣耀归于刺总)。在这个大背景下,鼓励和支持国内的安全研究人员公开发表和分享安全技术知识,就显得尤为重要。QSecurity 作为 InfoQ 中文站的安全专栏,希望能向研发团队的团队领导者、架构师、项目经理、工程总监和高级软件开发人员们介绍更多来自中国安全工作者原创的安全文章。

本期的第一篇推荐是一本来自于中国白帽子原创的安全著作:《白帽子讲Web 安全 》。作者吴翰清是阿里安全专家。这本书的出版,为国内安全工作者的知识分享和传播,开了个好头。各大网店均有销售,我就不把软广告做得太过分明显了。

接下来就全是英文文章了,某些文章可能需要翻墙才能访问,替方校长向大家表示抱歉。

67% of ASP.NET websites have serious configuration related security vulnerabilities
Troy Hunt 在 4 月 3 日发表了一篇文章,称 67% 的 asp.net 网站都存在由于配置问题导致的严重安全漏洞,并提供了一系列分析和经验总结。对.net web 开发者,这应该是一篇很好的安全配置指南。

HTML5 Security
Robert McArdle 在这篇 blog 里提供了一份报告,详细阐述了 HTML5 可能面临的各种安全威胁。除了大家可能已经熟知的 WebSockets 方面的问题之外,针对 HTML5 引入的新标签的 XSS、利用 Autocomplete 盗取敏感信息等内容,对 web 开发者都是非常实用的安全指南。

Understanding Ajax vulnerabilities
Ajax 安全威胁。IBM developer works 风格的技术文章,可以看一看。可以结合这篇文章一起读。

Secure Coding And Application Security
Dinis 在最近这篇博客中提出了一个很激进的观点:“应用安全应该对开发者透明”。换言之,应该从系统架构、Platform 选型、配置等方面做到默认安全,使得开发者不可能写出含有致命漏洞的代码。最好的一个例子就是现代编程语言对缓冲区溢出漏洞的处理方式。当然对于 web 开发来说,这个观点仁者见仁智者见智。不过我同意:很多安全问题本质上是架构问题。

XSS (Cross Site Scripting)
OWASP 官方防止 XSS 的葵花宝典,有更新。

希望下个月,我们能有一些高质量的中文文章推荐给大家,下月见。

2012-05-07 21:051939

评论

发布
暂无评论
发现更多内容

架构实战营之毕业总结

IT屠狗辈

架构实战营

TiDB 6.0 新特性解读 | Collation 规则

TiDB 社区干货传送门

GitHub 和 Gitee 开源免费 10 个超赞后台管理面板,看完惊呆了!

爱好编程进阶

Java 程序员 后端开发

kafka也没那么难--kafka的安装与简单使用

爱好编程进阶

程序员 后端开发

人工智能超大规模预训练模型浅谈

百度Geek说

在虚拟机上搭建单机k8s环境

红莲疾风

Java程序员面试中最容易答错的8道面试题,你中坑了吗?

爱好编程进阶

程序员 后端开发

LeetCode 剑指 Offer II 排序 专题总结

爱好编程进阶

Java 程序员 后端开发

集简云 x Authing,助力网校打通用户身份管理屏障

Authing

低代码 单点登录 业务流程优化 小鹅通

Electron 插件开发实践

网易云信

c++ Electron

TiDB Cloud GA,助力全球企业在云上构建新一代云原生应用

PingCAP

一场会带来啥改变?三翼鸟引领行业进入有脑时代

脑极体

重磅推荐-深度学习之ResNet家族

AIWeker

人工智能 深度学习 5月月更 resnet

Java实现双向链表的基本操作

爱好编程进阶

程序员 后端开发

Java并发编程—实现线程的方式只有一种

爱好编程进阶

Java 程序员 后端开发

Java语言程序设计与数据结构(基础篇)课后练习题 第十三章

爱好编程进阶

Java 程序员 后端开发

深度学习|AI芯片:上游产业率先爆发

Finovy Cloud

深度学习 gpu GPU服务器

2021年Java春招高级面试指南(1到5年Java面试者必备)

爱好编程进阶

Java 程序员 后端开发

Java多线程 高频面试题

爱好编程进阶

Java 程序员 后端开发

linux中route命令超详细用法(十五万字)

爱好编程进阶

Java 程序员 后端开发

BIO,NIO,AIO的区别

爱好编程进阶

Java 程序员

Hibernate多对多的关系映射,详解(代码

爱好编程进阶

Java 程序员 后端开发

直播预告丨OpenHarmony标准系统多媒体子系统之音频解读

OpenHarmony开发者

OpenHarmony 多媒体

未来以体验为中心的数字化战略前景 已经变得愈发明朗

易观分析

精细运营 渠道融合

实力印证!青藤入选第一批“网络安全能力评价工作组”成员单位

青藤云安全

10个经典又容易被人疏忽的JVM面试题

爱好编程进阶

Java 程序员 后端开发

DDD领域驱动设计实战-分层架构及代码目录结构

爱好编程进阶

Java 程序员 后端开发

Java 专项练习【11- 20】

爱好编程进阶

Java 程序员 后端开发

Java集合源码解析-ConcurrentHashMap(JDK8)

爱好编程进阶

Java 程序员 后端开发

易仓跨境Saas全球租户,如何做到数据秒级响应?

阿里云大数据AI技术

数据库 flink SaaS

干货 | Authing 产品总监佟野:Authing 的产品打磨之路

Authing

身份认证 用户思维 2B 产品 用户旅程 产品功能设计

QSecurity4月安全评论:期待黑客精神的回归_安全_殷钧钧_InfoQ精选文章