写点什么

QSecurity4 月安全评论:期待黑客精神的回归

  • 2012-05-07
  • 本文字数:1102 字

    阅读完需:约 4 分钟

QSecurity4 月安全评论:期待黑客精神的回归

又到了每月一次的 QSecurity 当月安全阅读及评论的时间了,但是本期 QSecurity 月度安全评论的出炉,多少有点难产的味道。难产的原因之一自然是作者的拖延症,但是更为重要的是,本期安全文章推荐备选列表中,已经很难找到一篇中文文章。

从几年前开始,中国黑客社区在经历了长达十余年的启蒙时代和黄金时代之后,走向了沉沦的黑暗时代。功利性越来越强,坚持下来的黑客社区和安全研究人员,由于互相之间信任的缺失,已经不再具有开放和分享的精神。黑客精神所代表的 Open、Free、Share,已经不复存在了(以上文字荣耀归于刺总)。在这个大背景下,鼓励和支持国内的安全研究人员公开发表和分享安全技术知识,就显得尤为重要。QSecurity 作为 InfoQ 中文站的安全专栏,希望能向研发团队的团队领导者、架构师、项目经理、工程总监和高级软件开发人员们介绍更多来自中国安全工作者原创的安全文章。

本期的第一篇推荐是一本来自于中国白帽子原创的安全著作:《白帽子讲Web 安全 》。作者吴翰清是阿里安全专家。这本书的出版,为国内安全工作者的知识分享和传播,开了个好头。各大网店均有销售,我就不把软广告做得太过分明显了。

接下来就全是英文文章了,某些文章可能需要翻墙才能访问,替方校长向大家表示抱歉。

67% of ASP.NET websites have serious configuration related security vulnerabilities
Troy Hunt 在 4 月 3 日发表了一篇文章,称 67% 的 asp.net 网站都存在由于配置问题导致的严重安全漏洞,并提供了一系列分析和经验总结。对.net web 开发者,这应该是一篇很好的安全配置指南。

HTML5 Security
Robert McArdle 在这篇 blog 里提供了一份报告,详细阐述了 HTML5 可能面临的各种安全威胁。除了大家可能已经熟知的 WebSockets 方面的问题之外,针对 HTML5 引入的新标签的 XSS、利用 Autocomplete 盗取敏感信息等内容,对 web 开发者都是非常实用的安全指南。

Understanding Ajax vulnerabilities
Ajax 安全威胁。IBM developer works 风格的技术文章,可以看一看。可以结合这篇文章一起读。

Secure Coding And Application Security
Dinis 在最近这篇博客中提出了一个很激进的观点:“应用安全应该对开发者透明”。换言之,应该从系统架构、Platform 选型、配置等方面做到默认安全,使得开发者不可能写出含有致命漏洞的代码。最好的一个例子就是现代编程语言对缓冲区溢出漏洞的处理方式。当然对于 web 开发来说,这个观点仁者见仁智者见智。不过我同意:很多安全问题本质上是架构问题。

XSS (Cross Site Scripting)
OWASP 官方防止 XSS 的葵花宝典,有更新。

希望下个月,我们能有一些高质量的中文文章推荐给大家,下月见。

2012-05-07 21:051913

评论

发布
暂无评论
发现更多内容

创建有效DevOps测试策略的5大技巧

禅道项目管理

DevOps 测试 云安全

读梁宁产品30讲随笔(1)

Jackchang234987

产品 产品思维

深入浅出开源监控系统Prometheus(上)

vivo互联网技术

监控 Prometheus

面试:围绕一个SpringBoot问我了30个问题!

Java小咖秀

spring 面试 springboot SpringBoot 2

Presto性能调优的五大技巧

华为云开发者联盟

大数据 数据 内存 存储 华为云

金沙江创投主管合伙人朱啸虎:RPA+AI构建企业智能生产力,驱动商业智能变革

人称T客

专治数仓疑难杂症!美团点评 Flink 实时数仓应用经验分享

Apache Flink

flink

腾讯的背水一战还是奋力一搏? | 互联网

chaozh

极客时间架构师训练营week7作业

好名字

极客大学架构师训练营 作业

性能压力测试

dongge

架构师训练第七周

Hanson

架构师训练第七周总结

Hanson

每个现代人都应该知道的包豪斯| 艺术

chaozh

Phobos新变种藏身系统激活工具再掀勒索风暴,360安全大脑强力“截杀”

360安全卫士

放下纠结,你就远离了拖延症

霍太稳@极客邦科技

创业 个人成长 企业管理

如何挑选编程笔记本 | 数码产品

chaozh

数据产品经理必备技能大纲

Jackchang234987

产品 产品经理 数据

架构师课程第七周总结

dongge

数据结构

彭阿三

架构师训练营 - 命题作业 第 7 周

叶鹏

后疫情生产力时代智能自动化打造以人为中心的企业

人称T客

明势资本创始合伙人黄明明:人机协作,重塑未来工作方式

人称T客

人民自己创造的节日 | 经济

chaozh

Spring Cloud微服务技术栈:搭建高可用Eureka Server、服务注册与发现

itlemon

Spring Cloud

一文读懂数据库中的乐观锁和悲观锁和MVCC

X先生

数据库 乐观锁 悲观锁 并发控制

官宣了,英特尔并非断供浪潮而是属于内部供应链调整

Geek_116789

MongoDB 事务,复制和分片的关系

华为云开发者联盟

数据库 mongodb 事务 快照 华为云

Combine中@Published浅析

kingnight_pig

swift Combine Publisher

第7周性能优化

百度大脑领先活体检测+合成图鉴别,1步调用让人脸“照片活化”无从遁形

百度大脑

人工智能 AI 人脸识别 百度大脑

第7周总结

叶鹏

QSecurity4月安全评论:期待黑客精神的回归_安全_殷钧钧_InfoQ精选文章