Tuesday, October 16, 2007

FAGBOK: "Innocent Code - a security wake-up call for web programmers" av Sverre H. Huseby

Det finnes andre farer for web-applikasjoner enn de man kan beskytte seg mot med brannvegger og kryptering. Farer som oppstår fordi web-klient og server ikke er skrevet med en gjennomtenkt strategi for sikkerhet. Programmerene må vite om hvilke angrep som kan komme og hvordan applikasjonen må kodes for å kunne motstå disse angrepene.
Rule 1: "Do not underestimate the power of the dark side".

Boken starter med en gjennomgang av HTTP- og HTTPS-protokollene. Her beskrives også cookies og sesjoner.

Neste del av boken beskriver håndtering av input fra klienten til serveren. De viktigste budskapene er
  • Serveren kan aldri stole på data som kommer fra klienten. Den kreative bruker kan skrive inn tekst som kan får katastrofale følger på serveren hvis den ikke kontrolleres nøye før den sendes videre til f.eks. databasen. Både SQL-injection og Shell Command injection beskrives, både teoretisk og med morsomme eksempler. Og det beskrives hvordan serverkoden skal skrives for å beskytte seg mot slike angrep.
  • Serveren kan ikke stole på valideringer som foretas på klienten. Det er en enkel sak for en bruker å endre klientkoden slik at den f.eks. tillater verdier som den originale koden ville sperret.
  • Serveren kan ikke stole på at verdier som den sender til klienten kommer uforandret tilbake. Det finnes f.eks. salgsapplikasjoner som lagrer varesum i et skjult felt i klienten. Det er en smal sak for en bruker å endre klientkoden slik at slike verdier kan endres før de går tilbake til serveren.
  • Serveren må sende minst mulig tilstandsinformasjon og feilmeldinger til klienten. Slik informasjon kan være viktig informasjon for en angriper.
Neste del av boken beskriver hvordan en bruker av en web-applikasjon kan angripes. Dette kan f.eks. skje ved at en bruker stjeler en annen brukers sesjon slik at han kan ta over en pågående dialog. Metodene som beskrives er Cross-Site Scripting og Web-trojanere. Det er ikke enkelt å skrive en applikasjon slik at den hindrer slike angrep, men det beskrives mulige løsninger.

Siste del av boken beskriver "hemmeligheter". Det gis en oversikt over sertifikater og kryptering. Og hvordan man skal beskytte sine passord. Og hvordan en applikasjon skal beskytte brukerens passord. Det er jo ikke så mye vits å legge masse arbeid i å lage gode passord hvis en applikasjon er slepphendt med å passe på dem.

Dette er en veldig god bok! Den er godt skrevet og den er virkelig en vekker for både programmerere og brukere av web-applikasjoner. Jeg har også hatt gleden av å høre foredrag om disse emnene av Sverre Huseby.

Kan kjøpes på play.com.

Play.com sier:
This book is much more than a wake-up call. It is also an eye-opener. Even for those who are already awake to the problems of Web server security, it is a serious guide for what to do and what not to do, with many well-chosen examples. The set of fundamental rules is highly relevant. Peter G. Neumann, Author of Computer-Related Risks,and moderator of the Internet Risks Forum (risks.org).
This concise and practical book will show where code vulnerabilities lie and how best to fix them. Its value is in showing where code may be exploited to gain access to - or break - systems, but without delving into specific architectures, programming or scripting languages or applications. It provides illustrations with real code. Innocent Code is an entertaining read showing how to change your mindset from website construction to website destruction so as to avoid writing dangerous code. Abundant examples from susceptible sites will bring the material alive and help you to guard against:; SQL Injection, shell command injection and other attacks based on mishandling meta-characters; bad input; cross-site scripting; attackers who trick users into performing actions.



Terningkast 5

Saturday, October 06, 2007

ROMAN: "Special Topics in Calamity Physics" av Marisha Pessl

Blue van Meer mistet sin mor i en trafikkulykke da hun var liten. Det eneste hun har etter henne er en samling sommerfugler i glass og ramme.

Blues far underviser på universiteter i sitt spesialfelt som er internasjonal terrorisme. Etter at han ble enkemann har han ikke likt å være lenge på samme sted. Så han og Blue reiser fra universitet til universitet og blir aldri mere enn en kort periode på hvert sted. Dette er ikke en lett måte å leve for en ung jente, så Blue blir en ganske innestengt og stille person. Men hun er lynende intelligent og meget belest. Faren ser det tydeligvis som sin oppgave å fore henne med bøker på forskjellige språk og dype filmer.

Men når Blue skal ta siste år på high school så får hun en gledelig melding: faren har bestemt at de skal bo hele det året på samme sted. Endelig skal Blue få sjansen til å leve som vanlig elev og få venner.

Uten at Blue forstår hvorfor, så fatter læreren Hannah Schneider interesse for henne. Hun får bli med i hennes gruppe av unge og populære studenter - The Bluebloods. Så plutselig er Blue del av en gruppe unge og kule mennesker....

Hannah er glad i turer i skog og mark. Hun tar gruppen med på en fottur. Men turen utvikler seg helt anderledes enn de unge hadde forventet. Dette er starten på en helt ny fase i Blue sitt liv. Hun finner etterhvert ut at svært mye av hennes verden egentlig er noe helt annet enn hun har trodd....

Det mest fascinerende ved denne boken er måten den er skrevet på. Den er spekket med metaforer, referanser til bøker, filmer og kultur. Dette gjør at den er ganske tung å lese. For meg var det best å lese den i små biter slik at jeg virkelig kunne kose meg med alle referansene og bildene som skapes. Noen sider på T-banen til og fra jobben var akkurat passe.
Men etter den dramatiske fotturen ble historien så spennende at jeg ikke kunne legge den fra meg.....

Kan kjøpes på play.com.

Amazon sier:
A self-absorbed scholar and a young girl crisscross America by car, flitting through college towns where they endure ill-advised sexual encounters, heartache and a potent dose of popular culture. Studded with ingenious wordplay and recondite allusions, their story veers between highbrow comedy and lowbrow tragedy as it careens toward a couple of ambiguous murders and some crafty detective work.

Ten points if you identified this as the plot of Vladimir Nabokov's Lolita. Extra credit if you also recognize it (minus the pedophilia) as the plot of a much-ballyhooed first novel by Marisha Pessl, who tackles the art of fiction by vigorously associating everything in her book with something else. Constructing the novel as if it were the core curriculum for a literature survey course, complete with a final exam, Pessl gives each chapter the title of a classic literary work to which the episode's events have a sly connection: Chapter 6, "Brave New World," describes the first day of a new school year, while in Chapter 11, "Moby-Dick," a large man drowns in a swimming pool.

Along the way, there are thousands of references to books and movies both real and imagined, as well as an assortment of pen-and-ink drawings. The book's young narrator, Blue van Meer, has fiercely embraced her father's didactic advice: "Always have everything you say exquisitely annotated, and, where possible, provide staggering Visual Aids." Blue's cross-referencing mania can be surprisingly enjoyable, because Pessl is a vivacious writer who's figured out how to be brainy without being pedantic. Like her protagonist, she's eager to make good use of the many books she's read and the movies she's seen. And she loves similes like a fat kid loves cake (Blue would annotate this properly as a line borrowed from the rapper 50 Cent), never settling for one per page when three or eight will do.

But hunkering down for 514 pages of frantic literary exhibitionism turns into a weary business for the reader, who after much patient effort deserves to feel something stronger than appreciation for a lot of clever name-dropping and a rush of metaphors.

As a Harvard freshman recounting the events of the previous year, when her childhood "unstitched like a snagged sweater," Blue remembers being thoroughly in thrall to her father, a political science professor who changes jobs at third-tier colleges so frequently that by age 16 she's attended 24 different schools. To compensate for this rootlessness (her lepidopterist mom died in a car crash when Blue was 5), Dad has promised his daughter an undisturbed senior year in the North Carolina mountain town of Stockton, where Blue will attend the ultra-preppy St. Gallway School.

It's at St. Gallway that Blue's dedication to her pompous, theory-spouting father begins to waver. Her attention is diverted by the school's most glamorous figures, a clique of five flighty kids called the Bluebloods who meet every Sunday night for dinner at the home of their mentor, Hannah Schneider, a charismatic film teacher.

Blue is miraculously granted admission into this rarefied society, but the reader is not so lucky, having to settle for the novel's customary blizzard of comparisons instead of real characterization.

Most enigmatic of all is Hannah, who's both a concerned mother hen and a shady blur of evasions and secrets, and who may or may not be having an affair with (a) one of her students; (b) Blue's father; (c) random elderly men whom she picks up at seedy diners. Blue makes it clear in the book's first chapter that later in the school year, Hannah will be found hanging by an electrical cord from a tree in the Great Smoky Mountains National Park, and the final third of the book charts Blue's efforts to prove that the teacher did not commit suicide, as the coroner concluded, but was murdered.

Like Hannah, Pessl herself is something of an expert at evasion, nimbly avoiding scenes that might require emotional delineation, hiding behind this Nabokovian sentence structure or that Hitchcockian plot twist, always equipped to defend each dodge with the tacit reproach that, hey, it's only a high-school murder mystery, lighten up. Yet here and there the author betrays glimpses of sensitivity, in Blue's genuine expressions of grief for the early loss of her mother and in this moving evocation of loneliness, framed (of course) in a simile: "To the far-off tune of the blue Volvo driving away, it slipped over me, sadness, deadness, like a sheet over summer furniture."

These briefly poignant moments are enough to make a reader wish for more, for a book that is less about other books and more about life. Having already aced the test of novel-writing as a literary trivia game, the real work for Pessl begins now, if she dares to stop making glib comparisons and starts to stare directly at things, as only she can describe them.

Reviewed by Donna Rifkind
Copyright 2006, The Washington Post. All Rights Reserved.

Terningkast 6

Tuesday, October 02, 2007

ROMAN:"Virgile's Vineyard: A Year in the Languedoc Wine Country" av Patrick Moon

Forfatteren arver et hus etter sin onkel. Et nydelig gammelt hus med både vinmarker og frukttrær som ligger i Languedoc i Syd-Frankrike.
Han bestemmer seg til å bo ett år der for å se hvordan han trives i området.

Han er heldig og blir kjent med tre personer som hjelper ham å forstå denne delen av Frankrike.

Mano er en nabo som har hjulpet onkelen med småting i huset og på eiendommen. På grunn av dette mener han at han har rett til å forsyne seg fritt av frukt og alt annet han finner...
Mano elsker vin, men har en sint kone som mener at han drikker for mye. Derfor kjører forfatteren og Mano rundt på vingårder i området for å prøvesmake (mye). På denne måten lærer han om vingårder i området, forskjellige druetyper og viner.

Krystina er en rik engelsk dame som bor på det lokale slottet. Hun er glødende opptatt av Languedocs historie. De to reiser rundt og ser på områdets severdigheter mens hun forteller om områdets historie. I tillegg prøver hun å få forfatteren i seng....

Den siste og viktigste av de tre hjelperne er Virgil. Han en ung og meget entusiastisk vinspesialist som ønsker å lage sine egne viner. Han har lite penger, så han må leie vinmarker og utstyr. Det blir derfor mye forskjellige druetyper og mye gammelt og rart utstyr. Han tråkker til og med noen av druene med føttene! Og dukker helt ned i gjæringstankene for å røre om i mosten.
Til Manos store forbauselse er Virgils mål er å lave lite vin. Hans mål er at hver vinstokk skal produsere tre glass vin. På denne måten skal vinen bli intens konsentrert og utnytte smaken i druene maksimalt. For å oppnå dette så jobber han masse med beskjæring og foredling av vinstokkene. Forfatteren jobber sammen med Vergil gjennom hele året. På den måten får han lære hele prosessen i vinproduksjon. Fra beskjæring og stell av vinstokkene, via selve innhøstingen og til pressing, gjæring og tapping.


Dette er en utrolig fin bok for alle som liker vin og Frankrike. Jeg synes jeg har lært masse om druetyper og vinproduksjon. Og mange detaljer om livet i Languedoc som er den fineste delen av Syd-Frankrike.

Kan kjøpes på play.com.


Amazon sier:
Inheriting a badly neglected house in the south of France, Patrick Moon sets out to discover how the Languedoc has managed to transform itself into one of the world’s most exciting wine regions. Virgile, a young winemaker passionately devoted to perfection, offers to initiate Patrick into the mysteries of each season’s work. At the other extreme is Manu, Patrick’s dipsomaniac neighbor, a diehard traditionalist producing a private wine–lake of unspeakable rouge. With Manu as his self–appointed guide, Patrick embarks on a series of lively encounters with growers as varied as the wines themselves. In between these bucolic expeditions, the author struggles to deal with his dilapidated inheritance—an unfamiliar and unpredictable world where the brambles are as tall as the olive trees, the water supply has dried up, and a ferocious animal lies in wait under the roof tiles.



Terningkast 5