Möchten Sie verkaufen? Hier verkaufen
Secure Coding: Principles and Practices
 
 
Für Kunden: Stellen Sie Ihre eigenen Bilder ein.
Hier reinlesen und suchen
Den Verlag informieren!
Ich möchte dieses Buch auf dem Kindle lesen.

Sie haben keinen Kindle? Hier kaufen oder eine gratis Kindle Lese-App herunterladen.

Secure Coding: Principles and Practices [Englisch] [Taschenbuch]

Mark M. Graff (Autor), Kenneth R. Van Wyk (Autor)
2.5 von 5 Sternen  Alle Rezensionen anzeigen (2 Kundenrezensionen)

Erhältlich bei diesen Anbietern.


Produktinformation

  • Taschenbuch: 202 Seiten
  • Verlag: O'Reilly Media; Auflage: 1 (4. Juli 2003)
  • Sprache: Englisch
  • ISBN-10: 0596002424
  • ISBN-13: 978-0596002428
  • Größe und/oder Gewicht: 22,8 x 15,2 x 1,4 cm
  • Durchschnittliche Kundenbewertung: 2.5 von 5 Sternen  Alle Rezensionen anzeigen (2 Kundenrezensionen)
  • Amazon Bestseller-Rang: Nr. 360.530 in Englische Bücher (Siehe Top 100 in Englische Bücher)

    •  Möchten Sie die Produktinformationen aktualisieren oder Feedback zu den Produktabbildungen geben?

     Ist der Verkauf dieses Produkts für Sie nicht akzeptabel?

  • Komplettes Inhaltsverzeichnis ansehen

Mehr über den Autor

Mark Graff
Entdecken Sie Bücher, lesen Sie über Autoren und mehr

Besuchen Sie die Seite von Mark Graff auf Amazon

Produktbeschreibungen

Pressestimmen

"This is an extremely useful little book in best O'Reilly tradition and I recommend it not only to programmers but also to security architects who work with programmers. It gives you a lot of insights that you don't often come across." Information Security Bulletin, September

Kurzbeschreibung

Practically every day, we read about a new type of attack on computer systems and networks. Viruses, worms, denials of service, and password sniffers are attacking all types of systems - from banks to major e-commerce sites to seemingly impregnable government and military computers - at an alarming rate. Despite their myriad manifestations and different targets, nearly all attacks have one fundamental cause: the code used to run far too many systems today is not secure. Flaws in its design, implementation, testing, and operations allow attackers all-too-easy access. This volume looks at the problem of bad code in a new way. It contains advice based on the authors' decades of experience in the computer security field and explains why so much code today is filled with vulnerabilities, and tells readers what they must do to avoid writing code that can be exploited by attackers. Writing secure code isn't easy, and there are no quick fixes to bad code. To build code that repels attack, readers need to be vigilant through each stage of the entire code lifecycle: Architecture: during this stage, applying security principles such as "least privilege" will help limit even the impact of successful attempts to subvert software. Design: during this stage, designers must determine how programs will behave when confronted with fatally flawed input data. The book also offers advice about performing security retrofitting when you don't have the source code - ways of protecting software from being exploited even if bugs can't be fixed. Beyond the technical, "Secure Coding" aims to shed new light on the economic, psychological, and sheer practical reasons why security vulnerabilities are so ubiquitous today. It presents a new way of thinking about these vulnerabilities and ways that developers can compensate for the factors that have produced such unsecured software in the past. It issues a challenge to all those concerned about computer security to finally make a commitment to building code the right way.
Alle Produktbeschreibungen
In diesem Buch (Mehr dazu)
Ausgewählte Seiten ansehen
Buchdeckel | Copyright | Inhaltsverzeichnis | Auszug | Stichwortverzeichnis | Rückseite
Hier reinlesen und suchen:

Tags

 (Was ist das?)
Bei einem Tag handelt es sich um ein Schlagwort, das zum Produkt passt.
Tags erleichtern allen Kunden die Suche und die Sortierung ihrer Lieblingsprodukte.
 
Beliebteste Tags anzeigen

Eine digitale Version dieses Buchs im Kindle-Shop verkaufen

Wenn Sie ein Verleger oder Autor sind und die digitalen Rechte an einem Buch haben, können Sie die digitale Version des Buchs in unserem Kindle-Shop verkaufen. Weitere Informationen

Kundenrezensionen

5 Sterne
0
4 Sterne
0
1 Sterne
0
Die hilfreichsten Kundenrezensionen
2 von 2 Kunden fanden die folgende Rezension hilfreich
Format:Taschenbuch
Im Buch "Secure Coding" mit dem Untertitel "Principles and Practices" beschreiben die Autoren, wie man sichere Programme schreibt und Systeme aufsetzt. Es ist in 6 Kapitel unterteilt, die sich grob mit "Grundlagen", "Architekturen", "Design", "Implementierung", "Administration" und "Automatisierung und Tests" überschreiben lassen.

Insbesondere in den ersten Kapiteln wird das Thema Sicherheit aus einer relativ weit entfernten Perspektive betrachtet. Mir persönlich gefiel das nicht so, da viele der dort behandelten Themen jedem ein Begriff sein dürften, der sich schon einmal mit Computersicherheit beschäftigt hat. Nichts desto trotz ist dieser Teil sicherlich als Übersicht der Grundlagen nützlich, auch wenn diese vielen Leuten bekannt sein dürften.

In den späteren Kapiteln des Buches wird es dann konkreter, wobei hier meisst die Kapitel in "Sachen, die man tun sollte", "Sachen, die man nicht tun sollte" und "Beispiele aus der Praxis" eingeteilt sind. Mit Hilfe dieser Einteilung ist es möglich, einen guten Einstieg in das Thema zu erhalten. Leider hatte ich manchmal das Gefühl, hier nur eine lose Sammlung von Checklisten vor mir zu haben, die man auch aus dem Internet bekommen könnte. Teilweise recht langatmige Erläuterungen zu offensichtlichen Punkten dieser Checklisten vertiefen diesen Eindruck. Durch die guten Hinweise auf weiterführende Literatur im Text und im Anhang wird das jedoch etwas kompensiert. Auch die anschaulichen Beispiele (grösstenteils aus den persönlichen Erfahrungen der Autoren) sind unterhaltsam und lehrreich.

Seine wahren Stärken entwickelt dieses Buch vermutlich, wenn man tatsächlich vor der Aufgabe steht, eine "sichere" Anwendung zu entwickeln. An diesem Punkt sind die erwähnten Checklisten ein nützliches Mittel, um seine Anwendung zu überprüfen. Ich glaube daher, dass eine der größten Stärken dieses Buches darin liegt, das es einen selbst lehrt, zur rechten Zeit die richtigen Fragen zu stellen. Auch einige Optionen zur Lösung häufig auftretender Problemklassen werden aufgezeigt, ohne dabei allzusehr auf Spezifika bestimmter Programmiersprachen einzugehen (obwohl das gesammte Buch etwas C-lastig ist).

Zusammenfassend handelt es sich bei "Secure Coding: Principles and Practices" um ein gutes Buch mit ein paar Schwächen im Detail, so dass ich nur 3 von 5 Punkten vergeben möchte.

War diese Rezension für Sie hilfreich?
2 von 2 Kunden fanden die folgende Rezension hilfreich
Format:Taschenbuch
The title suggests that the authors provide lots of Dos and Don'ts on the discipline of programming, but unfortunately you won't find a single line of code. No, wait! Chapter three shows the code for the "AusCERT Overflow Wrapper" and that's it. This text should be titled "Security Essentials", since all security aspects in the networked environment are explained in a clear and concise manner. For example, in chapter two, the authors describe the effects of bug fixing during product development compared to fixing things afterwards on the total cost of the project. On the other hand, chapter four ("The Implementation") is filled with non-sense like:

"Be careful of web content -- Another popular web application programming technique is to embed variables in hidden HTML fields, similar to the way they can be embedded in web URLs. Such fields can also be modified by the user in a browser session, resulting in the same kinds of problems as with web URLs."

Yeah! Great. That's useless for software professionals trying to improve their programming skills. Sorry, but this book is really disappointing. There are better sources on the subject like Li's "Inside Java 2 Platform Security" or Maguire's "Writing Solid Code".

Summary: this text does not deal with programming techniques as the reader may expect, it simply provides a very complete overview about security in a digital and connected environment for both, users and managers, but not for serious developers.

War diese Rezension für Sie hilfreich?
Die hilfreichsten Kundenrezensionen auf Amazon.com (beta)
Amazon.com:  19 Rezensionen
20 von 21 Kunden fanden die folgende Rezension hilfreich
Holistic Security 30. November 2003
Von Brad Friedlander - Veröffentlicht auf Amazon.com
Format:Taschenbuch
In the 11th century, Moses Maimonides taught us that the highest form of charity is to teach a man to fish. If you give him a fish, he can eat today. If you teach him to fish he can eat forever.

In the same way, Mark G. Graff and Kenneth R. van Wyk have provided an excellent book that gives us a framework for thinking about security rather than trying to give specific rules that might have been invalid before the book came off the press. "Secure Coding" gives the reader the ability to envision, architect, design, code, and implement a security framework that truly meets the needs of its stakeholders.

The authors don't provide a cookbook. In their own words: "When you picked up this book, perhaps you thought that we could provide certain security? Sadly, no one can."

Instead, they deliver a robust mental model and a framework to understand security and to architect, design, develop, and operate secure systems. They present best practices in the field of security, the reasons for using them, and suggestions on deciding which practices are appropriate in your particular case.

Their approach is to realize that the objective is not to make a system totally secure, but to make it just secure enough. Deciding what is "just secure enough" is a business and not a technical decision. It is based on weighing risk versus cost.

There are substantial references throughout the book as well as an appendix of resources. The book is filled with examples of security failures and, more importantly, an excellent post mortem on each to show what could have been done to avoid the problem. The authors are extremely familiar with UNIX environments and this comes through in the examples. However, you don't need to be a UNIX guru to glean valuable lessons from the examples.

One key message is that security is not something you can bolt onto an application. You must take a holistic approach to the overall system in which the application is being used. It's worth noting that many secure applications become extremely insecure because of the system environment (including networks) in which they exist.

A second key message is that, while you can retrofit a insecure application, it is far easier and far less costly to incorporate security as an integral part of the entire development life-cycle including requirements, architecture, and design. The security architecture and design must be well-documented so that future maintenance does not inadvertently introduce gaping security holes.

The book is primarily intended for those who architect, design, and code secure applications. However, I believe that it is a must read for those who manage and those who implement secure applications and systems.

21 von 23 Kunden fanden die folgende Rezension hilfreich
A good step in the right direction 9. Oktober 2003
Von wiredweird - Veröffentlicht auf Amazon.com
Format:Taschenbuch|Von Amazon bestätigter Kauf
You may have a hi-tech lock on your door, 100% unpickable. If I can just slam my shoulder against the door and jerk it loose from the frame, the fancy lock is irrelevant.

Passwords, encryption, and all the rest are the lock. This book is more about making the door and frame strong. Remember the Blaster worm? That wasn't a 'security' problem. It exploited bugs in Windows that supposedly had nothing to do with security.

This book is about building programs that resist attack. That doesn't mean copying a safe code fragment into your program and declaring it safe - that idea is ludicrous. Instead, this book is about the process that designs and implements strong programs. It starts with architecture and design documents, then follows through to design and maintenance.

The weakness of this book is lack of detail - how to build fail-safe code, what needs to be on design and inspection checklists, etc. There's good reason for that: each sub-topic needs books, if not whole libraries of its own. Take fault tolerance, for example. It may not sound like security, but an attack is meant to cause system failures, and fault tolerance is design to withstand failures. Fault tolerance is a huge topic, with journals and literature all its own. This book can barely mention the idea, while still giving other topics their due. It's a start, though.

Much of the advice may sound drearily familiar: code reviews, security audits, configuration control, error checking, and all the other things that take the 'fun' out of programming. If people want that kind of 'fun', then stop calling them software engineers. They're not ready for adult responsibilities.

Before anything else, software security requires correct behavior from a program. I really hope I don't hear objections to that as a basic design goal.

17 von 18 Kunden fanden die folgende Rezension hilfreich
Some reviewers missing the point. 18. November 2003
Von Jeremy Allison - Veröffentlicht auf Amazon.com
Format:Taschenbuch
Some of the reviewers here are missing the point of this book. It's not a "secure code cookbook" in that it doesn't give specific code examples. Such things are quickly obsolete anyway.

This book teaches you how to *think* about security, how to think about and *design* code that will be secure. It isn't a "add this snippit of code to your input buffer validation function" sort of book. There are many of these books, and they're useful in their place, but this book writes about the design of secure code, not the actual specifics.

To continue the cooking analogy, this is a book on how to write receipes, not a book *of* receipes.

Disclaimer, I helped review this book - and I think it's the sort of work that has been sorely missing in the field (I was also given a free copy for doing the review work).

Jeremy Allison,
Samba Team.

Kundenrezensionen suchen
Nur in den Rezensionen zu diesem Produkt suchen

Kunden diskutieren

Das Forum zu diesem Produkt
Diskussion Antworten Jüngster Beitrag
Noch keine Diskussionen

Fragen stellen, Meinungen austauschen, Einblicke gewinnen
Neue Diskussion starten
Thema:
Erster Beitrag:
Eingabe des Log-ins
 


Aktive Diskussionen in ähnlichen Foren
Kundendiskussionen durchsuchen
Alle Amazon-Diskussionen durchsuchen
   
Ähnliche Foren

Lieblingslisten

Legen Sie Ihre eigene Lieblingsliste an

Ähnliche Artikel finden

Anhand des Sachgebietes nach ähnlichen Produkten suchen:





























Das bedeutet, jeder Titel/Artikel muss zu Sachgebiet 1 UND zu Sachgebiet 2 UND... gehören.

Ihr Kommentar

Möchten Sie die Produktinformationen aktualisieren oder Feedback zu den Produktabbildungen geben?