点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 【Google的安全team】Browser Security Handbook
【aullik5】推荐 Browser Security Handbook
2008-12-11 10:05
最近正好在总结这方面的东西,今天就看到Google的安全team出了这份handbook
写的非常不错。
基础比较好的可以直接跳过Part I从 Part II 开始。
第二部分开始集中介绍以SOP为核心的浏览器相关安全模型
第三部分则是一些浏览器额外加强的安全机制,比如IE的很多xxxxxxx的机制。
http://code.google.com/p/browsersec/wiki/Main
【余弦函数ycosxhack】Browser Security Handbook真不错
2008-12-11 15:25
经不住诱惑,放下手头的工作,以阅读的方式将《Browser Security Handbook》扫描完毕,虽然漏了不少细节,但是还是很高兴能够看完这本手册。
在各种浏览器面前,URL规则、各种协议、编码、HTML/CSS、客户端脚本、DOM模型、BOM模型、文档格式支持等等都存在这样那样的差别。这许多都是网页设计师与Web程序员需要考虑的事,如何去编写一个浏览器兼容且安全的网站,不是一件容易的事,我大学期间做网站开发时就深有感受,每次开发都不得不打开不同的浏览器做各类兼容性测试,然后就是进行各类安全测试。
这对Web安全人员来说也是一个极大的挑战,如何兼顾所有安全呢?
不过这对偏黑的Web安全人员(那就叫黑客吧)来说是一件好事。如果浏览器之间不存在这样那样的差异,不存在这样那样的BUG,这样那样的历史遗留的安全问题,那……会少了很多的攻击向量。当防御者要考虑的因素多起来的时候,也许就会产生更多的遗漏,这些遗漏对于黑客来说,是打开权限大门的key。我们不能因此将一切罪恶归于浏览器,罪恶的诞生还与程序员/安全人员是否能够配合搭建一个优秀的安全模型有关。
总之推荐看完Browser Security Handbook,细节,细节。大家拼到最后,就是为了这些细节。还有这个也推荐大家看看: 《Web Forward!》 :http://www.slideshare.net/webdir ... curity-presentation
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
