Katalog książek

Wydawnictwo Helion

Helion SA
ul. Kościuszki 1c
44-100 Gliwice
tel. (32) 230-98-63




© Helion 1991-2016

Lauret zaufanych opinii
Splątana sieć. Przewodnik po bez...

Splątana sieć. Przewodnik po bezpieczeństwie nowoczesnych aplikacji WWW

Autor: 

Ocena:
   5/6  Opinie  (14)
Stron: 360 Stron (w wersji papierowej): 360
Ksiazka drukowana Druk (oprawa: miękka) 3w1 w pakiecie: PdfPDF ePubePub MobiMobi
Wydawca: Helion
Wydawca: Helion
Cena:
54,90 zł
Cena promocyjna: Oszczędzasz: 10,98 zł
43,91 zł 54,89 zł
Dodaj do koszyka
Kup terazstrzalka

Druk
Książka drukowana
54,90 zł
eBook
Pdf ePub Mobi
43,91 zł
54,89 zł
Dokładna i wyczerpująca analiza, przygotowana przez jednego z najpoważniejszych ekspertów od bezpieczeństwa przeglądarek
Tavis Ormandy, Google Inc.

Nowoczesne aplikacje WWW są jak splątany kłębek, złożony z powiązanych wzajemnie technologii, które powstawały w różnym czasie i których współpraca nie przebiega całkiem gładko. Użycie w stosie aplikacji WWW dowolnego elementu - od żądań HTTP, aż po skrypty działające w przeglądarce - pociąga za sobą ważne, choć subtelne konsekwencje związane z bezpieczeństwem. Twórcy aplikacji chcący chronić użytkowników muszą pewnie poruszać się w tym środowisku.

Michał Zalewski, jeden z czołowych ekspertów od bezpieczeństwa przeglądarek, prezentuje w Splątanej sieci porywające objaśnienie metod działania przeglądarek i powodów niedostatecznego poziomu ich bezpieczeństwa. Nie podaje uproszczonych porad dotyczących różnych podatności, ale przegląda cały model bezpieczeństwa i wskazuje jego słabe punkty. Pokazuje też sposoby poprawienia bezpieczeństwa aplikacji WWW.

Z książki dowiesz się, jak:

  • wykonać powszechne, a mimo to bardzo złożone zadania, takie jak parsowanie adresów URL i oczyszczanie kodu HTML
  • używać nowoczesnych funkcji bezpieczeństwa, takich jak Strict Transport Security, Content Security Policy oraz Cross-Origin Resource Sharing
  • wykorzystywać warianty reguły tego samego pochodzenia do bezpiecznego rozdzielania złożonych aplikacji WWW i ochrony danych użytkownika w przypadku wystąpienia błędów XSS
  • tworzyć aplikacje hybrydowe i wstawiać na stronę gadżety bez wpadania w pułapki wynikające z reguł nawigacji w ramkach
  • osadzać na stronie i udostępniać treści tworzone przez użytkowników bez uciekania się do mechanizmów wykrywania rodzajów tych treści

Unikalny podręcznik poświęcony bezpieczeństwu!


Michał Zalewski jest uznanym na całym świecie ekspertem ds. bezpieczeństwa informacji. Może poszczycić się wykryciem setek różnego rodzaju podatności i często wymieniany jest wśród osób mających największy wpływ na bezpieczeństwo w sieci. Jest autorem Ciszy w sieci, dostępnego na stronach Google Browser Security Handbook, oraz wielu ważnych artykułów.


Patron medialny:


 

 

Wstęp (15)

  • Podziękowania (17)
1. Bezpieczeństwo w świecie aplikacji WWW (19)

  • Podstawy bezpieczeństwa informacji (19)
    • Flirtowanie z rozwiązaniami formalnymi (20)
    • Zarządzanie ryzykiem (22)
    • Oświecenie przez taksonomię (24)
    • Rozwiązania praktyczne (26)
  • Krótka historia sieci WWW (27)
    • Opowieści z epoki kamienia: 1945 do 1994 (27)
    • Pierwsze wojny przeglądarek: 1995 do 1999 (30)
    • Okres nudy: 2000 do 2003 (31)
    • Web 2.0 i drugie wojny przeglądarek: 2004 i później (32)
  • Ewolucja zagrożeń (34)
    • Użytkownik jako problem bezpieczeństwa (34)
    • Chmura, czyli radość życia w społeczności (35)
    • Rozbieżność wizji (36)
    • Interakcje między przeglądarkami: wspólna porażka (37)
    • Rozpad podziału na klienta i serwer (38)
CZĘŚĆ I: ANATOMIA SIECI WWW (41)

2. Wszystko zaczyna się od adresu (43)

  • Struktura adresu URL (44)
    • Nazwa schematu (44)
    • Jak rozpoznać hierarchiczny adres URL? (45)
    • Dane uwierzytelniające dostęp do zasobu (46)
    • Adres serwera (47)
    • Port serwera (48)
    • Hierarchiczna ścieżka do pliku (48)
    • Tekst zapytania (48)
    • Identyfikator fragmentu (49)
    • A teraz wszystko razem (50)
  • Znaki zarezerwowane i kodowanie ze znakiem procenta (52)
    • Obsługa znaków spoza podstawowego zestawu ASCII (54)
  • Typowe schematy adresów URL i ich funkcje (58)
    • Obsługiwane przez przeglądarkę protokoły pobierania dokumentów (59)
    • Protokoły obsługiwane przez aplikacje i wtyczki firm trzecich (59)
    • Pseudoprotokoły niehermetyzujące (60)
    • Pseudoprotokoły hermetyzujące (60)
    • Ostatnia uwaga na temat wykrywania schematów (61)
  • Rozwiązywanie względnych adresów URL (61)
  • Ściąga (64)
    • Podczas tworzenia nowych adresów URL na podstawie danych otrzymanych od użytkownika (64)
    • Podczas projektowania filtrów adresów URL (64)
    • Podczas dekodowania parametrów otrzymanych w adresach URL (64)
3. Protokół HTTP (65)

  • Podstawowa składnia ruchu sieciowego HTTP (66)
    • Konsekwencje utrzymywania obsługi standardu HTTP/0.9 (68)
    • Dziwna obsługa znaków nowego wiersza (69)
    • Żądania proxy (70)
    • Obsługa konfliktujących lub podwójnych nagłówków (72)
    • Wartości nagłówków rozdzielane średnikami (73)
    • Zestaw znaków nagłówka i schematy kodowania (74)
    • Zachowanie nagłówka Referer (76)
  • Typy żądań HTTP (77)
    • GET (77)
    • POST (78)
    • HEAD (78)
    • OPTIONS (78)
    • PUT (79)
    • DELETE (79)
    • TRACE (79)
    • CONNECT (79)
    • Inne metody HTTP (79)
  • Kody odpowiedzi serwera (80)
    • 200 - 299: Sukces (80)
    • 300 - 399: Przekierowanie i inne komunikaty o stanie (80)
    • 400 - 499: Błędy po stronie klienta (81)
    • 500 - 599: Błędy po stronie serwera (82)
    • Spójność sygnałów wynikających z kodów HTTP (82)
  • Sesje podtrzymywane (82)
  • Przesyłanie danych w częściach (84)
  • Pamięć podręczna (85)
  • Semantyka ciasteczek HTTP (87)
  • Uwierzytelnianie HTTP (90)
  • Szyfrowanie na poziomie protokołu i certyfikaty klientów (91)
    • Certyfikaty rozszerzonej kontroli poprawności (93)
    • Reguły obsługi błędów (93)
  • Ściąga (95)
    • Przy obsłudze nazw plików podanych przez użytkownika oraz nagłówków Content-Disposition (95)
    • Przy umieszczaniu danych użytkownika w ciasteczkach HTTP (95)
    • Przy wysyłaniu kontrolowanych przez użytkownika nagłówków Location (95)
    • Przy wysyłaniu kontrolowanych przez użytkownika nagłówków Redirect (95)
    • Przy konstruowaniu innych rodzajów żądań i odpowiedzi kontrolowanych przez użytkownika (96)
4. Język HTML (97)

  • Podstawowe pojęcia używane w dokumentach HTML (98)
    • Tryby parsowania dokumentu (99)
    • Walka o semantykę (101)
  • Poznać zachowanie parsera HTML (102)
    • Interakcje pomiędzy wieloma znacznikami (103)
    • Jawne i niejawne instrukcje warunkowe (104)
    • Przydatne wskazówki do parsowania kodu HTML (105)
  • Kodowanie encji (105)
  • Semantyka integracji HTTP/HTML (107)
  • Hiperłącza i dołączanie treści (108)
    • Proste łącza (109)
    • Formularze i uruchamiane przez nie żądania (109)
    • Ramki (112)
    • Dołączanie treści określonego typu (112)
    • Uwaga dotycząca ataków międzydomenowego fałszowania żądań (114)
  • Ściąga (116)
    • Zasady higieny we wszystkich dokumentach HTML (116)
    • Podczas generowania dokumentów HTML z elementami kontrolowanymi przez atakującego (116)
    • Podczas przekształcania dokumentu HTML w zwykły tekst (117)
    • Podczas pisania filtra znaczników dla treści tworzonych przez użytkownika (117)
5. Kaskadowe arkusze stylów (119)

  • Podstawy składni CSS (120)
    • Definicje właściwości (121)
    • Dyrektywy @ i wiązania XBL (122)
    • Interakcje z językiem HTML (122)
  • Ryzyko ponownej synchronizacji parsera (123)
  • Kodowanie znaków (124)
  • Ściąga (126)
    • Podczas ładowania zdalnych arkuszy stylów (126)
    • Gdy wstawiasz do kodu CSS wartości podane przez atakującego (126)
    • Podczas filtrowania stylów CSS podanych przez użytkownika (126)
    • Gdy umieszczasz w znacznikach HTML wartości klas podane przez użytkownika (127)
6. Skrypty działające w przeglądarce (129)

  • Podstawowe cechy języka JavaScript (130)
    • Model przetwarzania skryptów (131)
    • Zarządzanie wykonaniem kodu (135)
    • Możliwości badania kodu i obiektów (136)
    • Modyfikowanie środowiska uruchomieniowego (137)
    • JSON i inne metody serializacji danych (139)
    • E4X i inne rozszerzenia składni języka (142)
  • Standardowa hierarchia obiektów (143)
    • Model DOM (145)
    • Dostęp do innych dokumentów (148)
  • Kodowanie znaków w skryptach (149)
  • Tryby dołączania kodu i ryzyko zagnieżdżania (150)
  • Żywy trup: Visual Basic (152)
  • Ściąga (153)
    • Podczas ładowania zdalnego skryptu (153)
    • Podczas parsowania danych JSON otrzymanych od serwera (153)
    • Gdy umieszczasz dane przesłane przez użytkownika w blokach JavaScriptu (153)
    • Podczas interakcji z obiektami przeglądarki po stronie klienta (154)
    • Jeżeli chcesz pozwolić na działanie skryptów użytkownika na swojej stronie (154)
7. Dokumenty inne niż HTML (155)

  • Pliki tekstowe (155)
  • Obrazy bitmapowe (156)
  • Audio i wideo (157)
  • Dokumenty związane z formatem XML (158)
    • Ogólny widok XML (159)
    • Format SVG (160)
    • MathML (161)
    • XUL (161)
    • WML (162)
    • Kanały RSS i Atom (163)
  • Uwaga na temat nierysowanych typów plików (163)
  • Ściąga (165)
    • Udostępniając dokumenty w formacie wywiedzionym z XML (165)
    • W przypadku wszystkich typów dokumentów nie-HTML (165)
8. Rysowanie treści za pomocą wtyczek przeglądarki (167)

  • Wywoływanie wtyczki (168)
    • Zagrożenia w obsłudze wartości nagłówka Content-Type we wtyczkach (169)
  • Funkcje wspomagające rysowanie dokumentu (171)
  • Platformy aplikacji wykorzystujące wtyczki (172)
    • Adobe Flash (172)
    • Microsoft Silverlight (175)
    • Sun Java (176)
    • XBAP (177)
  • Kontrolki ActiveX (178)
  • Inne wtyczki (179)
  • Ściąga (181)
    • Gdy udostępniasz pliki obsługiwane za pomocą wtyczek (181)
    • Gdy osadzasz w stronach pliki obsługiwane przez wtyczki (181)
    • Jeżeli chcesz napisać nową wtyczkę dla przeglądarek albo kontrolkę ActiveX (182)
CZĘŚĆ II: FUNKCJE BEZPIECZEŃSTWA PRZEGLĄDAREK (183)

9. Logika izolacji treści (185)

  • Reguła tego samego pochodzenia w modelu DOM (186)
    • document.domain (187)
    • postMessage(...) (188)
    • Interakcje z danymi uwierzytelniającymi (190)
  • Reguła tego samego pochodzenia i API XMLHttpRequest (191)
  • Reguła tego samego pochodzenia w technologii Web Storage (193)
  • Reguły bezpieczeństwa dla ciasteczek (194)
    • Wpływ ciasteczek na regułę tego samego pochodzenia (196)
    • Problemy z ograniczeniami domen (197)
    • Nietypowe zagrożenie wynikające z nazwy "localhost" (198)
    • Ciasteczka i "legalna" kradzież domen (199)
  • Reguły bezpieczeństwa wtyczek (200)
    • Adobe Flash (201)
    • Microsoft Silverlight (204)
    • Java (205)
  • Obsługa dwuznacznego lub nieoczekiwanego pochodzenia (206)
    • Adresy IP (206)
    • Nazwy hostów z dodatkowymi kropkami (207)
    • Nie w pełni kwalifikowane nazwy hostów (207)
    • Pliki lokalne (208)
    • Pseudoadresy URL (209)
    • Rozszerzenia przeglądarek i interfejsu użytkownika (209)
  • Inne zastosowania koncepcji pochodzenia (210)
  • Ściąga (211)
    • Prawidłowa higiena reguł bezpieczeństwa dla wszystkich witryn (211)
    • Gdy używasz ciasteczek HTTP w procesie uwierzytelniania (211)
    • Podczas międzydomenowej komunikacji w skryptach JavaScript (211)
    • Podczas wstawiania na stronę pochodzących z zewnętrznych źródeł aktywnych treści obsługiwanych przez wtyczki (211)
    • Gdy udostępniasz własne treści obsługiwane przez wtyczki (212)
    • Gdy tworzysz własne rozszerzenia dla przeglądarek (212)
10. Dziedziczenie pochodzenia (213)

  • Dziedziczenie pochodzenia dla stron about:blank (214)
  • Dziedziczenie pochodzenia dla adresów data: (216)
  • Dziedziczenie w przypadku adresów javascript: i vbscript: (218)
  • Uwagi na temat ograniczonych pseudoadresów URL (219)
  • Ściąga (221)
11. Życie obok reguły tego samego pochodzenia (223)

  • Interakcje z oknami i ramkami (224)
    • Zmiana lokalizacji istniejących dokumentów (224)
    • Mimowolne umieszczanie w ramkach (228)
  • Międzydomenowe wstawianie treści (232)
    • Uwaga do międzydomenowych podzasobów (235)
  • Kanały poboczne wpływające na prywatność (236)
  • Inne luki w regule SOP i sposoby ich wykorzystania (238)
  • Ściąga (239)
    • Prawidłowa higiena bezpieczeństwa dla wszystkich witryn (239)
    • Gdy włączasz na stronę zasoby z innych domen (239)
    • Gdy tworzysz międzydomenową komunikację w skryptach JavaScript (239)
12. Inne funkcje bezpieczeństwa (241)

  • Nawigowanie do wrażliwych schematów (242)
  • Dostęp do sieci wewnętrznych (243)
  • Porty zakazane (245)
  • Ograniczenia nakładane na ciasteczka stron trzecich (247)
  • Ściąga (250)
    • Podczas tworzenia aplikacji WWW w sieciach wewnętrznych (250)
    • Podczas uruchamiania usług nie-HTTP, w szczególności działających na niestandardowych portach (250)
    • Gdy używasz ciasteczka stron trzecich w różnych gadżetach lub treściach umieszczanych w piaskownicy (250)
13. Mechanizmy rozpoznawania treści (251)

  • Logika wykrywania rodzaju dokumentu (252)
    • Nieprawidłowe typy MIME (253)
    • Wartości dla specjalnych rodzajów treści (254)
    • Nierozpoznane rodzaje treści (256)
    • Ochronne zastosowanie nagłówka Content-Disposition (258)
    • Dyrektywy Content dotyczące podzasobów (259)
    • Pobrane pliki i inne treści nie-HTTP (260)
  • Obsługa zestawów znaków (262)
    • Znacznik kolejności bajtów (264)
    • Dziedziczenie i pokrywanie zestawu znaków (265)
    • Zestaw znaków przypisany znacznikiem do zasobu (266)
    • Wykrywanie zestawu znaków w plikach przesłanych protokołem innym niż HTTP (267)
  • Ściąga (269)
    • Prawidłowe praktyki bezpieczeństwa dla witryn (269)
    • Gdy generujesz dokumenty zawierające treści kontrolowane przez atakującego (269)
    • Gdy przechowujesz pliki wygenerowane przez użytkownika (269)
14. Walka ze złośliwymi skryptami (271)

  • Ataki odmowy świadczenia usługi (DoS) (272)
    • Ograniczenia czasu wykonania i wykorzystania pamięci (273)
    • Ograniczenie liczby połączeń (274)
    • Filtrowanie wyskakujących okienek (275)
    • Ograniczenia użycia okien dialogowych (277)
  • Problemy z wyglądem i pozycją okien (278)
  • Ataki czasowe na interfejs użytkownika (282)
  • Ściąga (285)
    • Gdy umożliwiasz umieszczanie na swojej stronie gadżetów użytkownika zamkniętych w ramkach (285)
    • Gdy tworzysz bezpieczne interfejsy użytkownika (285)
15. Uprawnienia witryn (287)

  • Uprawnienia witryn definiowane w przeglądarkach i wtyczkach (288)
    • Z góry zdefiniowane domeny (289)
  • Menedżery haseł (289)
  • Model stref Internet Explorera (291)
    • Mechanizmy mark of the web i Zone.Identifier (294)
  • Ściąga (296)
    • Gdy żądasz podniesienia uprawnień dla aplikacji WWW (296)
    • Gdy tworzysz wtyczki lub rozszerzenia korzystające z uprzywilejowanego pochodzenia (296)
CZĘŚĆ III: SPOJRZENIE W PRZYSZŁOŚĆ (297)

16. Planowane nowe funkcje bezpieczeństwa (299)

  • Metody rozbudowy modelu bezpieczeństwa (300)
    • Żądania międzydomenowe (300)
    • XDomainRequest (304)
    • Inne zastosowania nagłówka Origin (305)
  • Schematy ograniczeń modelu bezpieczeństwa (306)
    • Reguła bezpieczeństwa treści (307)
    • Ramki w piaskownicy (312)
    • Strict Transport Security (314)
    • Tryby przeglądania prywatnego (316)
  • Pozostałe projekty (316)
    • Porządkowanie kodu HTML w przeglądarce (317)
    • Filtrowanie XSS (318)
  • Ściąga (320)
17. Inne mechanizmy przeglądarek (321)

  • Propozycje zmian w adresach URL i protokołach (322)
  • Funkcje na poziomie treści (324)
  • Interfejsy wejścia-wyjścia (326)
18. Typowe podatności sieci WWW (329)

  • Podatności aplikacji WWW (330)
  • Problemy, o których trzeba pamiętać podczas projektowania aplikacji WWW (332)
  • Typowe problemy związane z kodem działającym po stronie serwera (334)
Epilog (337)

Uwagi (339)

Skorowidz (353)

Najczęściej kupowane razem:
Splątana sieć. Przewodnik po bezpieczeństwie nowoczesnych aplikacji WWW plus Cisza w sieci plus Zbrodnie przyszłości. Jak cyberprzestępcy, korporacje i państwa mogą używać technologii przeciwko Tobie
Cena zestawu: 135,73 zł 159,70 zł
Oszczędzasz: 23,97 zł (15%)
Dodaj do koszyka
zestaw0 Splątana sieć. Przewodnik po bezpieczeństwie nowoczesnych aplikacji WWW
Najczęściej kupowane razem ebooki:
Splątana sieć. Przewodnik po bezpieczeństwie nowoczesnych aplikacji WWW plus Cisza w sieci plus Incydenty bezpieczeństwa. Metody reagowania w informatyce śledczej
Cena zestawu: 177,47 zł 208,78 zł
Oszczędzasz: 31,31 zł (15%)
Dodaj do koszyka
zestaw0 Splątana sieć. Przewodnik po bezpieczeństwie nowoczesnych aplikacji WWW
Osoby, które kupowały książkę, często kupowały też:
Cena: 69,00 zł
Cena: 39,90 zł
Cena: 103,95 zł
Windows Server 2003. Bezpieczeństwo sieci
Neil Ruston, Chris Peiris, Laura Hunter
Cena: 9,00 zł
Osoby, które kupowały książkę, często kupowały też:
Hakowanie Androida. Kompletny przewodnik XDA De...
Jason Tyler (Author), Will Verduzco (Contributor)
Cena: 31,92 zł
Monitoring i bezpieczeństwo sieci
Chris Fry, Martin Nystrom
Cena: 31,20 zł
13 najpopularniejszych sieciowych ataków na Twó...
Maciej Szmit, Mariusz Tomaszewski, Dominika Lisiak, Izabela Politowska
Cena: 27,92 zł
Cena: 55,20 zł
6
(8)
5
(3)
4
(2)
3
(0)
2
(0)
1
(1)

Liczba ocen: 14

Średnia ocena
czytelników

  


okladka
  Ocena : 6 

Klasa sama w sobie :)
  Ocena : 6 

Zbierając perełki literatury IT nie sposób pominąć książki Michała 'lcamtuf' Zalewskiego. Nie ze względu na to, że autor jest naszym rodakiem, a przede wszystkim ze względu na bardzo wysoki poziom merytoryczny publikacji wspomnianego 'googlersa' i white hata oraz ze względu na dobre wspomnienia związane z jego wcześniejszą książką 'Cisza w sieci'. Pierwszy rozdział będący jednocześnie wstępem, zgodnie z tradycją wszystkich publikacji związanych z bezpieczeństwem rozpoczyna się od przypomnienia zagadnień podstawowych. Na szczęście czytelnik nie zostaje zalany potokiem definicji i teorii jak to często się zdarza. Wręcz przeciwnie. Autor pokazuje, że wiele założeń pojawiających się w kontekście bezpieczeństwa to mrzonki o niskiej użyteczności dla realnych i bardzo złożonych aplikacji. Kilka krytycznych uwag pojawia się pod adresem zarządzania ryzykiem, które nieodpowiednio zastosowane i interpretowane (tzw. 'olejmy mniej istotne zasoby') wiele razy doprowadziło do wpadek w wielu dużych firmach, kiedy systemy uznane za mało istotne (przez to słabo chronione) okazały się użytecznymi dla atakujących trampolinami do ważniejszych węzłów infrastruktury. Na kilku kolejnych stronach autor zabiera czytelników w podróż w czasie i prezentuje skróconą historię rozwoju Internetu, poświęcając większość miejsca technologiom, które się pojawiały oraz przeglądarkom (zwłaszcza w odniesieniu do obu tzw. 'wojen przeglądarek'), które często implementowały te technologie w sposób bardzo odmienny. Koniec pierwszego rozdziału to krótki przegląd zagrożeń, wśród których pojawiają się: człowiek (słabe ogniwo struktury); problem separacji aplikacji webowych; mnogość i jednocześnie brak spójności i pełnej efektywności mechanizmów bezpieczeństwa; problemy będące następstwami interakcji pomiędzy przeglądarkami oraz zacieranie się granic pomiędzy klientem i serwerem - przenoszenie kodu na stronę klienta, gdzie trudniej o wymuszanie funkcji bezpieczeństwa. Kolejne kilka rozdziałów zostało zgrupowanych w blok nazwany 'Anatomia sieci WWW'. Począwszy od pierwszego z nich - traktującego o adresach URL natrafiać będziemy co kilka akapitów (nie, nie przesadzam, są takie miejsca) na fragmenty opisujące różnice w zachowaniu się różnych przeglądarek internetowych (fragmenty, czasem w formie rozbudowanej tabeli w stylu: 'Internet Explorer zrobi w tej sytuacji X, Chrome zrobi Y, Firefox Z, a Opera V' trafiają się na prawie każdej stronie). Ilość przedstawionych przez autora niuansów w interpretacji adresów potwierdza jego bogatą wiedzę i jednocześnie uświadamia mnogość zagrożeń czyhających i na programistów i na użytkowników. Dalsze rozdziały, chociażby te o języku znaczników HTML czy kaskadowych arkuszach styli tylko potwierdzają jak wiele różnic może występować pomiędzy przeglądarkami oraz jak bardzo bywają naginane standardy (których niekompletność i niestałość jest jeszcze innym problemem) przez twórców przeglądarek. Koronnym przykładem może być podejście do źle zbudowanych dokumentów HTML. Część przeglądarek interpretuje błędy w konstrukcji strony (np. niedomknięte lub niekompletne tagi) na swój własny, odmienny sposób, czasem starając się naprawić błędy twórcy strony i zaserwować jako tako wyglądającą treść. Jeżeli nawet w kontekście protokołu tak bardzo dojrzałego i stabilnego jak HTTP pojawiają się drobne różnice w interpretacji odpowiedzi serwera przez przeglądarkę to trudno oczekiwać od zmieniającego się (i nadal ewoluującego!) na przestrzeni lat JavaScriptu pełnej przewidywalności. Ostatnie dwa rozdziały tego bloku przedstawiają problemy związane z pozostałymi dokumentami spotykanymi w sieci (np. XML, SVG) oraz z wtyczkami do przeglądarek (chociażby Adobe Flash czy MS Silverlight), które bardzo często otwierają kolejne potencjalne wektory ataku. Druga część książki w oparciu o informacje przedstawione we wcześniejszych rozdziałach omawia funkcje bezpieczeństwa wbudowane w przeglądarki. Pierwsze skrzypce gra zasada 'same origin policy' (nie zawsze na tyle skuteczna na ile byśmy sobie tego życzyli), która poruszona zostaje nie tylko w kontekście modelu DOM, ale również popularnych 'ajaxów', czy wchodzącego w HTML5 WebStorage. Przedstawione zostają reguły bezpieczeństwa dla cookies oraz wtyczek dołączanych do przeglądarek. Osobny rozdział poświęcony został dziedziczeniu pochodzenia dla pseudoadresów takich jak - about:blank, data: i javascript: W dalszej części autor przechodzi do analizy sytuacji problematycznych dla SOP: ramki, czy nawigacja pomiędzy dokumentami, oraz przedstawia pozostałe funkcje bezpieczeństwa wbudowane w przeglądarki. Osobny rozdział poświęcony został mechanizmowi rozpoznawania treści, który pierwotnie miał ułatwiać życie użytkownikom, a ze względu na liczne możliwości oszukania go stał się jednym z zagrożeń. Również na osobny rozdział zapracowały sobie złośliwe skrypty, w którym autor przedstawia zagrożenia jakie mogą one powodować (DoS i ataki na interfejs użytkownika). Świadomość tych wszystkich problemów może przygnębiać, dlatego właśnie trzecia część książki (fakt - najkrótsza) zawiera w sobie nieco optymizmu i omawia planowane przez twórców przeglądarek i standardów zmiany. Przede wszystkim wspomnieć trzeba o CORS - Cross-Origin Resource Sharing (czyli żądania między domenowe), który w trakcie kiedy książka była wydawana nie był jeszcze obecny we wszystkich rodzinach przeglądarek (chociażby Microsoft miał opory przed implementacją CORS'a, który ostatecznie pojawił się w IE10). Kilka akapitów poświęconych zostało mechanizmowi Content Security Policy - zarówno jego możliwościom jak i wadom. Wspomniano też o sandboxach dla ramek, czyli rozbudowanym możliwościom taga iframe (tylko silnik WebKit). Ostatni rozdział książki stanowi pobieżny przegląd podatności samych aplikacji www. Wspomniano między innymi o: xsrf, xss, xssi, cache poisoning, clickjacking, cookie stuffing. framebusting, buffer overflow, directory traversal czy sql/shell/php/etc injection. Jeśli chodzi o kwestie mniej związane z merytoryczną stroną publikacji to trudno zarzucić jakieś większe techniczne niedociągnięcia. Mi jak zawsze brakuje twardej okładki, mam do nich słabość (-: Chociaż autor jest Polakiem, to podstawowa wersja została napisana po angielsku i dopiero przetłumaczona na język polski. Nie zapoznałem się z angielskim wydaniem, więc nie wiem czy straciliśmy przez to jakieś dodatkowe wrażenia. Komu 'Splątaną sieć' można polecić? Przede wszystkim osobom pracującym na co dzień z technologiami wymienionymi w recenzji, czyli zwłaszcza tzw. 'frontendowcom'. Równie przydatna może okazać się ta książka wszystkim odpowiedzialnym za bezpieczeństwo aplikacji internetowych.
  Ocena : 6 

Nazwa wystawionej oceny - książka wybitna - doskonale oddaje treść publikacji. Lektura obowiązkowa!
  Ocena : 6 

Kolejna bardzo udana książka Michała Zalewskiego, choć może nie tak popularna jak Cisza w Sieci. Nie mniej jednak lektura godna polecenia każdemu, kto zajmuje się tworzeniem aplikacji www i komu zależy na bezpieczeństwie tego co tworzy.
  Ocena : 6 

  Ocena : 6 

Brak tej książki w biblioteczce informatyka to po prostu hańba! I to niezależnie od tego czym się zajmujesz. Dobre tłumaczenie, które dobrze się czyta (oryginał ma specyficzny język, a to trochę martwiło ) ;)
  Ocena : 6 

"Splątana Sieć" to pozycja obowiązkowa w biblioteczce każdej osoby zajmującej się tworzeniem stron WWW. Książka w bardzo przystępny sposób omawia zasady działania sieci internetowej od przeglądarki po sam serwer i protokół HTTP.
  Ocena : 6 

Kolejna bardzo udana książka Michała Zalewskiego. Opisuje w niej podstawy jak i zaawansowane rzeczy dotyczące tworzenia, jak również dalszego utrzymywania aplikacji, które wychodzą z naszych klawiatur. Dzięki niej można poznać sposoby zabezpieczania aplikacji, tworzenia i umieszczania odpowiednich gadżetów na stronach, poznać sposoby ataków na strony www i skuteczniej się dzięki temu przed nimi bronić. Lektura godna polecenia każdemu, kto zajmuje się tworzeniem nowoczesnych aplikacji www.
  Ocena : 5 

Bardzo ciekawie i jednoczesnie przystepnie napisana książka.
  Ocena : 5 

Polecam, dobra pozycja.
  Ocena : 5 

ksiazka prezentuje niezwykle nowatorskie podejscie do tematu zabezpieczen apliakcji webowych i wszystkiego co zwiazane z pajeczyna. niewiele osob wie, ze autor to dobrze znany w swiecie security hacker (white hat) o pseudonimie lcamtuf. pracuje i tworzy za granica, chociaz jego narzedzia docieraja do polski - chociazby taki p0f scanner. obowiazkowa lektura dla wszystkich pasjonatow linuxa/unixa oraz adminow.
  Ocena : 4 

Dobry przewodnik, ale tylko przewodnik. Trochę brakuje większej ilości praktycznych przykładów dla utrwalenia materiału. Irytujące jest momentami pisanie w stylu "nie rób tego" czy "rób to", bez podania konkretnych przykładów. Dobrym pomysłem są ściągi na końcu poszczególnych rozdziałów.
  Ocena : 4 

Książka na pewno warta przeczytania. Pokazuje jak niebezpieczne, najeżone błędami są implementacje przeglądarek i jak się nie myśli tworząc specyfikacje. Parsowanie np. css za wszelką cenę i inne podobne praktyki sprzyjają złośliwej aktywności. Nie jestem web developerem bo tak bym zyskał jeszcze bardziej niemniej jak zacznę coś pisać na większą skalę w JavaScript wrócę do tej książki po porady jak pisać bezpieczniej. Również starsze wersje IE na pewno <= 8.0 należy traktować jako niebezpieczną ciekawostkę. Pomimo tego doceniam, że część inicjatyw MS było /jest całkiem rozsądnych.
  Ocena : 1 

Książka dobra (zasługuje chyba na ocenę wyższą niż 4). Dlaczego chyba? Ponieważ tłumaczenie tego wydania jest FATALNE!!!! Niestety nie mam oryginału, dlatego książki nie jestem w stanie obiektywnie ocenić, a teraz strasznie żałuję, że pokusiłem się na kupno tłumaczenia. Książka (tłumaczenie) zawiera liczne błędy językowe, merytoryczne, składniowe i wiele innych. Zdania są złożone bez sensu, jakby tłumacz tłumaczył przy użyciu jakiegoś automatu. Przykłady? Proszę bardzo: -getUTL zamiast getURL -WAP zamiast WEP -PRNG zamiast PNG i wiele innych Ale to tylko drobne literówki. Gorsze są zdania bez sensu oraz merytorycznie błędne. Znając książki i artykuły Pana Zalewskiego nie sądzę, aby popełnił takie błędy. Czytanie tego tłumaczenia to katorga. Dlatego apeluję, aby jeśli ktoś może, kupił oryginał zamiast tej nędznej podróbki tłumaczenia.