MoinQ:

1. web/Zalewski本

The Tangled Web: A Guide to Securing Modern Web Applications [ペーパーバック] Michal Zalewski (著)

Modern web applications are built on a tangle of technologies that have been developed over time and then haphazardly pieced together.

http://lcamtuf.coredump.cx/tangled/ http://nostarch.com/tangledweb

http://shop.oreilly.com/product/9781593273880.do?code=DEAL

/contents 「Zalewski 本」と呼ぶことにする。/推薦文

/review http://packetstormsecurity.org/news/view/20578/Book-Review-The-Tangled-Web-By-Michal-Zalewski.html

翻訳: めんどうくさいWebセキュリティ

/まえがき/第一章を読むだけで、買ってよかったと思える本だ。(できるだけ、原著で)

amazonで見かけた書評にも:

The book provides systematic coverage of browser security. 
The first 6 pages of chapter 1 provide brilliant insight into why formal security models,
risk management and taxonomies fail to deliver promised security improvements to organizations that embrace them. 
I used to explain the same with a lot of hand weaving, Zalewski's approach and insight are far superior.

めんどうくさいWebセキュリティ [単行本(ソフトカバー)] Michal Zalewski (著), 上野 宣 (監修), 新丈 径 (翻訳)

出版社: 翔泳社 (2012/6/19)

訳本正誤表 :http://www.shoeisha.co.jp/book/errata/14478/list

翻訳は推奨出来ない。(目次だけ見ても分かりそう)

/第二章 /第三章

「Webブラウザの最も大きな特徴はユーザにスキルがないこと」だと述べた後、

Webに特有のもうひとつの特徴は、関連性のないアプリケーションとそれらが処理するデータの分離が
驚くほどに行われていないことです。
....
すべてのサイトで、グローバルなJavaScript環境が共有されるからです。

また、さまざまの種類のサイト間通信は、暗黙のうちに許可され、
これらを調整するブラウザレベルのセキュリティフレームワークはほとんど存在しないか、あっても、
その制約はゆるいものです。

なんでも許されている機械語の世界に相当するらしい。


長谷川明生 ‏@aki0816

「めんどうくさいWebセキュリティ」を読んでる。 走りながら考えるというのが、走りだして使われるようになると変えられなくなり、 どうしようもなくボロボロになって手に負えなくなったものをなんとかするという何かに共通するorz


Google 検索から

https://plus.google.com/107256233060017052549/posts/iLuZH5LGncE


2. 余談

もしもDNSSECが広く使われるようになったら、"The Tangled DNS(SEC)" という本が書かれるだろう。

"The Tangled Web" は Prefaceと第一章を読むだけでも、買って損はなさそう。web の闇が覗ける。(解消は無理)