Подробности
от предговора
...
Да се реши дали да се добави сигурност към уеб приложение е като решението дали да се носят дрехи. И двете предоставят комфорт и защита. И в двата случая е по-добре решението да се вземе предварително, отколкото по-късно. Просто се огледайте и се запитайте: „Колко открит всъшност искам да бъда за съседите си?" и „Колко открити наистина искам да са те за мен?"
Всичко е свързано със споделянето. С уеб сайтовете, споделящи данни чрез отворени API-та, уеб услугите и другите нови технологии, ние преживяваме същинския Уудсток на цифровата ера. Свободната любов сега приема формата на свободно съдържание и услуги. Правете хибридни уеб приложения- mashup-и , не уеб страници! Точно така, да се захващаме за работа.
Вярвате или не, има сигурност в отварянето. Погледнете правителството на САЩ, например. Отварянето на американската правителствена система е това, което й помага да бъде сигурна. Може би това ще проработи и при нас.
.................
Проверките и балансът са в основата на успешната работа на правителствата. Има нива на сътрудничество и защита. Всяко ниво също предоставя защита. Сигурността на уеб приложенията е сериозна работа. Всички уеб приложения са или ще бъдат уязвими на някаква форма на атака. Това, което трябва да запомним, е, че повечето хора са добри, а сигурността се имплементира, за да попречи на тези, които не са. Значи, шансовете вашето приложение да бъде атакувано са пропорционални на броя на на гнилите ябълки в едно дърво.
.................
Съдържание на книгата
Глава 1, Развиващият се Уеб
Разказва как стигнахме до там, където сме днес в Уеб. Тази глава обяснява как са еволюирали уеб технологиите и защо Уеб е толкова объркан.
Глава 2, Уеб сигурност
Описва основни термини, практики и методологии в сигурността. Тя също показва и подрежда по-важните уязвими места в днешния Уеб.
Глава 3, Технологии за уеб сигурност
Описва всички различни типове уеб комуникации. Тук се говори за основните мерки за сигурност, които минимизират риска, и се изследва сигурността на няколко интернет технологии.
Глава 4, Защита на сървъра
Показва как се създава и настройва защитен уеб сървър. Предлага практически съвети за помощ при защита на сървър от заплахи през Интернет.
Глава 5, Една слаба основа
Проучва главните протоколи, свързани с уеб приложения, къде са пропуските, какви може да са възможните посоки на атака и някои препоръчителни контрамерки, които ви помагат да направите приложенията по-сигурни.
Глава 6, Сигурност на уеб-услуги
Дава поглед над това как работят уеб услугите, движещите елементи, как могат да се впишат уеб технологии като Ajax и какви са главните области, които изискват внимание за сигурността.
Глава 7, Създаване на безопасни API-та
Проучва проектирането и изграждането на уеб API-та и посочва някои капани за сигурността по пътя им.
Глава 8, Уеб приложение Mashup
Обяснява еволюцията на уеб API--ите и начина им на работа. Разглежда някои по-сериозни проблеми със сигурността, свързани с mashup-ите, като незабелязване и липса на проверка на самоличност. Също така се опитва да отговори на въпроси като кое е най-лошото, което може да се случи, и как да балансираме между откритост и сигурност.
Предговор
Развиващият се уеб.................................................................1
Възходът на уеб
Уеб сигурност..........................................................................30
Основи на сигурността
Анализ на риска
Често срещани уязвими места в едно уеб приложение
Технологии за уеб сигурност................................................57
Как комуникират уеб сайтовете
Сигурност на браузъра
Плъгини, разширения и добавки за браузъри
Защита на сървъра..............................................................101
Мрежова сигурност
Сигурност на хоста
Заздравяване на уеб сървър
Заздравяване на сървър за приложения
Една слаба основа...............................................................134
Уязвими места в HTTP
Заплахите
JSON
XML
RSS
Atom
REST
Сигурност на уеб услуги......................................................160
Преглед на уеб услуги
Сигурност и уеб услуги
Сигурност на уеб услуги
Създаване на сигурни API..................................................180
Създаване на собствени API
Предварителни условия
По-късни условия
Инварианти
Притеснения, свързани със сигурността
Пълни с REST уеб услуги
Уеб приложение Mashup......................................................196
Уеб приложения и отворени Интернет API-и
Дивият Web 2.0
Mashup-и и сигурност
Отворено срещу Сигурно
Подход за сигурност
Нагледни примери
Индекс
Развиващият се уеб.................................................................1
Възходът на уеб
Уеб сигурност..........................................................................30
Основи на сигурността
Анализ на риска
Често срещани уязвими места в едно уеб приложение
Технологии за уеб сигурност................................................57
Как комуникират уеб сайтовете
Сигурност на браузъра
Плъгини, разширения и добавки за браузъри
Защита на сървъра..............................................................101
Мрежова сигурност
Сигурност на хоста
Заздравяване на уеб сървър
Заздравяване на сървър за приложения
Една слаба основа...............................................................134
Уязвими места в HTTP
Заплахите
JSON
XML
RSS
Atom
REST
Сигурност на уеб услуги......................................................160
Преглед на уеб услуги
Сигурност и уеб услуги
Сигурност на уеб услуги
Създаване на сигурни API..................................................180
Създаване на собствени API
Предварителни условия
По-късни условия
Инварианти
Притеснения, свързани със сигурността
Пълни с REST уеб услуги
Уеб приложение Mashup......................................................196
Уеб приложения и отворени Интернет API-и
Дивият Web 2.0
Mashup-и и сигурност
Отворено срещу Сигурно
Подход за сигурност
Нагледни примери
Индекс
Кристофър Уелс е създал решения относно сигурността на големи здравни, телекомуникационни и финансови институции и в момента работи като консултант по сигурност на информацията за голяма финансова компания. Той е квалифициран архитект по сигурност на приложения с над 10 години опит. Кристофър е носител на няколко сертификата за сигурност, включително и сертифициран професионалист по системи за сигурност на информация (Certified Information Security Systems Professional – CISSP).