ugrás a tartalomhoz

Pro PHP Security

Hojtsy Gábor · 2007. Jan. 14. (V), 15.37

Szerzők:

Chris Snyder, Michael Southwell

Kiadó:

Apress

2005

ISBN:

1590595084

Oldalak száma:

500

Értékelés:

9

Linkek

Egy könyv ilyen sokat igérő címmel eléggé nagy mércét állít maga elé. Nem számítottam rá, hogy ez a mérce megugorható, ezért volt sokáig csak a polcomon ez a könyv. A tartalomjegyzéket nézve azt láttam, hogy sok össze nem kapcsolódó téma egyvelegéről van szó, biztos azt írták le a szerzők, amihez értettek vagy érteni véltek, nem azt, amiről a cím szerint szólnia kellene a könyvnek. Aztán végre rászántam magam, hogy elolvassam a könyvet, és teljesen megváltozott a véleményem.

A könyv valóban nem szigorúan a PHP biztonságról szól, hanem annál nem kis mértékben szélesebb képet próbál adni. Azzal az alapfeltevéssel indul, hogy ha biztonságos PHP szkripteket szeretnénk írni, akkor az mit sem ér egy biztonságos környezet nélkül, és ezt meg kell teremtenünk, vagy legalábbis gondoskodni kell róla, hogy megteremtődjön. Mivel a szerzők ezen a területen nem tehettek olyan feltételezéseket, amik az olvasó képzettségi szintjére irányulnak, úgy döntöttek, hogy alaposan, a kezdetektől magyarázzák el, mit jelentenek a Unix rendszer jogosultságai, kinek mire lehet joga, milyen szerver konfigurációk hogyan működnek, de ennél elméletibb alapkézést is kapunk: a szimmetrikus kulcsot alkalmazó és a publikus kulcsú titkosításról is alapos szó esik.

A könyv egy tekintélyes része tehát nem a PHP szkriptek biztonságáról szól, hanem általában rendszergazdai körben megoldandó problémákkal foglalkozik, amivel sajnos egy kisebb cégnél a fejlesztőnek kell törődnie végső soron. Kiderül, hogy hogyan állíthatunk be egy SSL-lel védett szervert, vagy az SSH miképpen segítheti fejlesztői és rendszergazdai munkánkat stb. Az alapvető elméleti bemutatóknál a szerzők is úgy ítélték meg, hogy némi praktikus alkalmazás megvillantása jól jöhet. Először itt jön a képbe a PHP, a példákat ezen a nyelven írták le.

Az PHP-ben íródott éles webalkalmazások védelme természetesen a könyv másik fő témája, feltételezve a korábban kialakított biztonságos környezetet (bár időnként kitérve az adott témáknál a veszélyekre, ha a védett háttér nem adott). Itt az elvárható támadás típus leírások és kódpéldákkal illusztrált védekezési tippek mellett a legjobb ötlet szerintem az élő minták megemlítése. Sokszor előfordul, hogy konkrét nyílt forrású alkalmazás sebezhetőségekről esik szó, mindig az adott témához kapcsolódóan. Ilyenkor linkeket kapunk az esetre, a részletesebb leírásra, és rövid összefoglalót nyújtanak a szerzők, hogy az adott alkalmazás miért is volt sebezhető a kérdéses tekintetben.

Nagyon dícséretes, hogy a két szerző nem helló világ példákkal fárasztja az olvasót, hanem igyekszik absztraktabb, általánosabb megoldásokat adni a biztonsági problémákra. Ez ahhoz a kellemes mellékhatáshoz vezet, hogy a könyv forráskódjait letöltve használható kódkönyvtárakat kapunk, amiket adott esetben csak fel kell paraméterezni. Külön érdekesség, hogy a könyv végén a szerzők fontosnak tartották, hogy a nyílt forrású szoftverek és a biztonság kapcsolatáról megemlékezzenek. Itt a nyílt forrású programok biztonsági előnyeire és hátrányaira is kitérnek.
 
1

Megvenni?

janoszen · 2007. Jan. 15. (H), 12.51
Hol lehet ezt megvenni?
3

volt párszor

Hojtsy Gábor · 2007. Jan. 15. (H), 19.09
Volt párszor a fórumban, más könyvek mellett, hogy angol könyveket hol lehet hazánkban venni, kis kereséssel meglesz.
4

Apress + ebook

Hodicska Gergely · 2007. Jan. 15. (H), 20.48
Szia!


Én is személy szerint egyre jobban kedvelem az Apress könyveit, nagyon jók szoktak lenni, különösen a PRO sorozat. Ráadásul náluk van lehetőség a könyveket PDF formátumban megvenni, amit régebben a fél ár miatt szerettem, mostanság meg inkább azért, mert egyből hozzá lehet jutni a könyvhöz.


Üdv,
Felhő
2

Könyvespolc

sajt · 2007. Jan. 15. (H), 16.45
Hol lehet ilyen könyvespolcot kapni? :)