新書推薦:
《
可控性混乱
》
售價:NT$
301.0
《
协和专家大医说:医话肿瘤
》
售價:NT$
500.0
《
潜水指南 全彩图解第4版
》
售價:NT$
602.0
《
超大规模集成电路设计——从工具到实例
》
售價:NT$
403.0
《
村上春树·旅(一本充满村上元素的旅行指南,带你寻访电影《挪威的森林》拍摄地,全彩印刷;200余幅摄影作品)
》
售價:NT$
301.0
《
智能驾驶硬件在环仿真测试与实践
》
售價:NT$
709.0
《
都铎王朝时期英格兰海事法庭研究
》
售價:NT$
398.0
《
中年成长:突破人生瓶颈的心理自助方案
》
售價:NT$
296.0
編輯推薦:
作为Web和应用开发者、设计师、工程师和创作者,我们责无旁贷,自己必须掌握身份和数据安全方面的知识。如果Web开发者不知道如何在传输过程中正确隐蔽数据,不经意间就会敞开网站的安全大门。通过这本实用的手册,你将学到为何以及如何保护用户和数据的安全。这是一本适合初学者和有经验的开发者阅读的书。本书先通讲基本概念,随后便说明具体做法和内部机制,而且配备了大量有用且详细的示例代码片段。任何一名Web开发者都应该阅读本书。LennyMarkusPayPal工程团队高级经理
內容簡介:
本书深入探讨了构建保护数据和身份安全的接口所要掌握的概念、技术和编程方法论,而且兼顾可用性。你将学到如何弥补现有系统的漏洞、防御各种各样的攻击媒介,以及如何在天生不安全的环境中保障自身周全。?了解Web和应用安全的现状。?构建安全的密码加密方式,以及与各种密码攻击媒介斗争。?创建数字指纹,在浏览器、设备和配对设备中识别用户。?通过OAuth和OpenID Connect构建安全的数据传输系统。?使用其他的识别方法提供第二种身份验证方式。?加固Web应用,防止攻击。?使用SSLTLS及同步和异步加密创建安全的数据传输系统。
關於作者:
Jonathan LeBlanc获得过艾美奖,是一位软件工程师、技术作者和PayPal Global Developer Advocacy的主管。Jonathan主攻身份识别、授权和安全,硬件Web通信,以及数据挖掘技术,而且关注的都是人机互联。TimMesserschmidt是Google Developer Relations的项目经理,主管德国、奥地利和瑞士(DACH)地区的业务。加入Google之前,他领导着PayPal和Braintree Developer Evangelism团队的欧洲、中东、非洲(EMEA)和亚太(APAC)区。
目錄 :
目录
前言1
第1章导论7
现有安全模型的问题7
弱密码8
为了安全牺牲可用性9
不当的数据加密10
最薄弱的环节:人类11
单点登录12
理解密码安全中的熵13
随机选择的密码熵14
人为选定的密码熵15
区分用户名和密码在系统中的作用17
保护身份的当前标准18
好的和不好的安全算法18
应该保护哪些数据?20
账户恢复机制和社会工程20
安全问题带来的问题20
下一步21
第2章密码加密、哈希和加盐22
静态数据和动态数据22
静态数据22
动态数据24
密码攻击媒介24
暴力攻击26
使用reCAPTCHA添加验证码27
字典攻击33
反向查询表34
彩虹表35
加盐37
生成随机盐值38
重用盐值39
盐值的长度39
把盐值存储在哪里39
撒胡椒40
选择正确的密码哈希函数41
bcrypt41
PBKDF243
scrypt44
对比哈希值,验证密码46
密钥延伸47
重新计算哈希值48
下一步48
第3章身份安全基础知识49
理解不同的身份类型49
社会身份50
实际身份50
弱身份51
利用身份提升用户体验51
信任区简介52
浏览器指纹识别53
阻碍浏览器指纹识别的配置54
可识别的浏览器信息55
获取浏览器细节56
位置追踪58
设备指纹识别(手机平板)61
设备指纹识别(蓝牙配对设备)62
实现身份63
第4章通过OAuth2和OpenIDConnect实现安全的
登录64
身份验证和授权之间的区别64
身份验证64
授权65
OAuth和OpenIDConnect是什么65
OAuth20简介68
使用OAuth20处理授权70
OAuth20权限核发类型72
使用BearerToken73
使用OpenIDConnect授权和验证身份73
OAuth2和OAuth10a之间的安全注意事项75
构建一个OAuth20服务器75
创建Express应用76
设置服务器的数据库76
生成授权码和令牌77
ES5中Mathrandom函数的官方文档79
授权端点80
处理令牌的存活期83
处理资源请求87
使用刷新令牌89
处理错误90
为服务器添加OpenIDConnect功能94
ID令牌模式95
修改授权端点96
调整令牌端点97
userinfo端点99
使用OpenIDConnect管理会话99
构建OAuth2客户端100
使用授权码100
使用资源属主凭据或客户端凭据授权103
为客户端添加OpenIDConnect功能105
OpenIDConnect基本流程105
OAuth20和OpenIDConnect之外107
第5章身份认证的其他方法108
设备和浏览器指纹识别108
双因素身份验证和n因素身份验证109
n因素身份验证109
一次性密码110
使用Authy实现双因素身份验证113
使用生物特征代替密码120
如何评价生物特征的效果121
面部识别121
视网膜和虹膜扫描122
静脉识别123
新出现的标准123
FIDOAlliance123
Oz126
区块链126
小结127
第6章增强Web应用的安全128
保护会话128
会话的种类129
Express处理会话的方式130
使用SHA-2保护密码131
处理XSS134
XSS攻击的三种类型134
测试XSS保护机制135
小结140
CSRF攻击140
使用csurf处理CSRF140
有用的Node资源141
Lusca142
Helmet142
Node安全项目143
其他减轻危害的技术144
小结145
第7章数据传输安全147
SSLTLS147
证书验证类型和权威机构149
创建供测试的自签名证书151
异步加密159
用例159
具体示例161
异步加密的优缺点和用途167
同步加密168
初始向量169
填充170
分组加密的操作模式172
使用CTR加密模式的AES174
使用GCM验证加密模式的AES177
同步加密的优缺点和用途179
附录AGitHub仓库181
附录B技术前提条件和要求183
词汇表191