标题:
【Google的安全team】Browser Security Handbook
[打印本页]
作者:
点饭的百度空间
时间:
2008-12-11 18:07
标题:
【Google的安全team】Browser Security Handbook
【aullik5】推荐 Browser Security Handbook
2008-12-11 10:05
最近正好在总结这方面的东西,今天就看到Google的安全team出了这份handbook
写的非常不错。
基础比较好的可以直接跳过Part I从 Part II 开始。
第二部分开始集中介绍以SOP为核心的浏览器相关安全模型
第三部分则是一些浏览器额外加强的安全机制,比如IE的很多xxxxxxx的机制。
http://code.google.com/p/browsersec/wiki/Main
【余弦函数ycosxhack】Browser Security Handbook真不错
2008-12-11 15:25
经不住诱惑,放下手头的工作,以阅读的方式将
《Browser Security Handbook》
扫描完毕,虽然漏了不少细节,但是还是很高兴能够看完这本手册。
在各种浏览器面前,URL规则、各种协议、编码、HTML/CSS、客户端脚本、DOM模型、BOM模型、文档格式支持等等都存在这样那样的差别。这许多都是网页设计师与Web程序员需要考虑的事,如何去编写一个浏览器兼容且安全的网站,不是一件容易的事,我大学期间做网站开发时就深有感受,每次开发都不得不打开不同的浏览器做各类兼容性测试,然后就是进行各类安全测试。
这对Web安全人员来说也是一个极大的挑战,如何兼顾所有安全呢?
不过这对偏黑的Web安全人员(那就叫黑客吧)来说是一件好事。如果浏览器之间不存在这样那样的差异,不存在这样那样的BUG,这样那样的历史遗留的安全问题,那……会少了很多的攻击向量。当防御者要考虑的因素多起来的时候,也许就会产生更多的遗漏,这些遗漏对于黑客来说,是打开权限大门的key。我们不能因此将一切罪恶归于浏览器,罪恶的诞生还与程序员/安全人员是否能够配合搭建一个优秀的安全模型有关。
总之推荐看完Browser Security Handbook,细节,细节。大家拼到最后,就是为了这些细节。还有这个也推荐大家看看:
《Web Forward!》
:
http://www.slideshare.net/webdir ... curity-presentation
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
