Откуда дырки в программах (comp.paper.vorchunia2) : Рассылка : Subscribe.Ru

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 262 RSS

← Сентябрь 2006 →
	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

За последние 60 дней ни разу не выходила

Открыта: 31-08-2006

Автор

Ворчуния

Статистика

262 подписчиков
0 за неделю

← Все выпуски →

Откуда дырки в программах

Ворчуния о книгах для админов и программистов - 2

Выпуск 5 от 2006-09-26

Информация для новых подписчиков
Выбор книги для следующего выпуска
Ворчалка (выбрана 4 голосами)

Информация для новых подписчиков

Крепкого коннекта всем!

Кто еще со мной не был знаком - меня зовут Ворчуния Ворчащая. Когда была создана эта (точнее первая) рассылка о книгах я была и админой, и программистом. Сейчас я админа только семейно сетки, а на работе я, за редкими исключениями, программист ;-) Изначальная рассылка http://subscribe.ru/archive/comp.paper.vorchunia была прибита суппортом в конце августа. Так что пришлось заново создать comp.paper.vorchunia2, чей выпуск Вы сегодня и получили.

Принципиальный изменений (кроме дополнительной цифры 2) в рассылке не планируется. Контент следующего выпуска подписчики голосованием выбирают сами. Я как и раньше НЕ принимаю во внимание мнение МОЛЧУНОВ.

Для того, чтобы выпуск был ЛИЧНО ВАМ интересен, Вам придется

предлагать темы для обзоров,
спрашивать мнения о книгах,
высказывать своё мнение и прочитанном,
соглашаться или не соглашаться с рецензиями,
оценивать мои ворчалки,
и, конечно, в каждом выпуске голосовать
за книгу для ворчалки в следующем выпуске!

Проголосуй @ почтой за книгу в следующем выпуске

Обзор того, что нужно прочесть до того, как выйдет книга про RootKit

( 2 голоса )

Уэллин Как не надо программировать на С++

( 2 голоса )

Касперски Техника оптимизации программ. Эффективное использование памяти.

( 1 голос )

ПРЕДЛАГАЮ другое

Ворчалка

Эта одна из тех книг, о которой вперёд нужно узнать суть, а только потом смотреть на название, особенно в русском варианте. Ибо тем, кто ориентируясь на обложку, уже нацелились на покупку, будет трудно затормозить, просто поверив мне на слово, что книга о другом. Тем же, кого наоборот обложка уже отпугнула, будет трудно не предвзято отнестись к тому, что я тут расскажу.

Админы, как Вы думаете, девелоперы, проектируя программы, хоть как-то представляют себе, во что конкретно компилируется их код, кроме того, что это какие-то нолики и единички? Правильно думаете! Многие современные программисты уже выращены на чрезвычайно опасной концепции черного ящика! Прямо скажем, ни черта, эти программисты не представляют, чем аукаются их строчки кода в этом неведомом для них черном ящике. Но самое мерзкое, что подавляющее число программистов не просто считают не приличным разобраться с черным ящиком, но еще распространяют заразу невежества, позиционируя тех, кто разбирается в работе загадочного черного куба как вредных антисоциальных элементов.

Поэтому админам и нужно знать, как провести хотя бы первую проверку "на вшивость" программы, прежде чем подпускать её к юзерам, которые не в силу природной вредности, а в силу случайного попадания пальцами мимо клавиш вполне могут оказать тем случайным ключом, который легко откроет дверь в систему.

Если Вы - программист, которому стыдно иметь такие непреднамеренные ключи в своих творениях, или Вы тот программист, которого не устраивает непонимание того, во что превращается его текст, то эта книга для Вас. Но читать её лучше в дали от глаз калек, чтобы Вас не приняли, как выразился один из подписчиков, за "еще не повзрослевшего идеалиста".

К сожалению эту книгу я стала читать под впечатлением другой книги одного из авторов (о которой я говорила ранее, и перевод которой еще не вышел), и после замечательного учебного изложения материала, я никак не могла настроиться на восприятие этой. Книга очень не ровная - у меня в голове как бы всё время звучало голоса трех людей, двое из которых мне были просто не приятны. У книги два автора - молодой практик Хогланд (это была его первая книга) и маститый доктор философии автор кучки книг, разбавляющий изложение длинными разглагольствованиями. Когда после вымучивания книги, заглянув в предисловие, я прочла: "Неоценимую помощью [так и написано - Ворчуния] в подготовке этой книги к изданию оказал мой соавтор, который планировал нашу работу. Большинство моих знаний были получены самостоятельно, а гари подвел необходимый научный базис под эти знания. Он очень честный и откровенный человек. Добавьте ко всем этим качествам отличные теоретические знания, прекрасно дополняющие мои практические навыки. К тому же Гари хороший друг." Я решила, что более изящного вполне заслуженного лягания соавтора я еще не видела!

Вы спросите - а кому же принадлежал третий противный голос? Переводчику!!! Пришлось на обложку выписать его персональную терминологию: "программа атаки" = exploit, "уязвимое место" = vulnerability = уязвимость, "компрометация компа" = заражение, хакер!!!! = attacker (т.е. и тот юзер, который клавиши не так нажал, тут гордо назван хакером). Особенно мне "понравился" перевод привычных кул-хацкеров ака script-kiddies (в американском слэнге) как "новички в деле взлома" и т.п. А на 213 странице незнание терминологии переводчиком меня просто убило! Читаем: "Хакеры (т.е. attackers), которые хотят обойти простые системы обнаружения вторжений (...), маскируют свою атаку, используя АЛЬТЕРНАТИВНУЮ КОДИРОВКУ СИМВОЛОВ и другие подобные методы". ... За сколько повторов догадаетесь, что речь идет не о нашей старой codepage DOS866, а о quoted-printable, и, вероятно, base64?! Но эти баги = bugs < > ошибки перевода не самый страшный грех переводчика, местами тон перевода становится не допустимо не уважительным к читателю.

Хотя если не обращать внимание на все эти внешние факторы, а, включив голову, сосредоточиться на выискивании вкраплений полезных сведений, то нового (не встречаемого в других печатных изданиях) оказывается на удивление много! Несмотря на дурацкое название в книге нет готовых рецептов "вспахивания" двоичного кода, хотя всё примеры взяты из реальных приложений, но для применения (если Вы подумали "во вред" - значит Вы так и не поняли, что этак книга работает только "во пользу") нужно включать своё серое вещество на полную катушку.

Если просто пролистать книгу, то складывается впечатление, что всё описанное - уж больно тривиально, и книга, вероятно, для самых начинающих кодеров. Да, даже начинающий программист, если будет использовать голову не для принятия пива, начнет развиваться как.... ;)хакер и в данном случае это правильное слово. Но с каждым циклом вдумчивого чтения, в книге находишь то, на что в предыдущей стадии взросления не обращал внимание, а теперь это очень своевременное объяснение.

Сижу и думаю, что же сказать на последок - читать или не тратить время. На сегодняшний день скажем так: читать, пока не появится лучшая альтернатива.

Ворчуния
сентябрь 2006

Прочли? Теперь прошу высказываться:

Взлом программного обеспечения.
Анализ и использование кода
Exploiting Software: How to Break Code

Хогланд Грег

Greg Hoglund

Мак-Гроу Гари

Gary McGraw

Оглавление

Год выпуска:	2005
Издательство:	Вильямс	ISBN: 5-8459-0785-3 (eng) 0-201-78695-8
Формат:	24x17см,	тощина - 2см, 400 страниц,
	мягкий переплет,	вес - 400г

Цена:

318 рублей
(Books.Ru)

325 рублей
(Bolero)

359 рублей
(Chaconne)

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}