安全之美(分享卓越安全专家的思考)

.2.1　轻松赚钱 22
2.1.1　设置攻击 23
2.1.2　隐私的聚宝盆 24
2.1.3　web安全的基本缺陷：不要相信可信系统 25
2.1.4　建立无线信任 25
2.1.5　采用可靠的解决方案 26
2.2　无线也疯狂 27
2.2.1　无线侧信道 28
2.2.2　无线接入点自身如何 30
2.3　无线仍然是未来 30
第3章　美丽的安全度量指标 31
（作者：elizabeth a. nichols）
3.1　安全度量指标的类比：健康 32
3.1.1　不合理的期待 33
3.1.2　数据透明性 33
3.1.3　合理的度量指标 34
3.2　安全度量指标的实例 36
3.2.1　巴林银行：内部侵害 36
3.2.2　tjx：外部侵害 46
3.2.3　其他公共数据来源 56
3.3　小结 57
第4章　安全漏洞的地下经济 59
（作者：chenxi wang）
4.1　地下网络的组成和基础设施 60
4.1.1　地下通信基础设施 61
4.1.2　攻击基础设施 61
4.2　回报 62
4.2.1　数据交换 62
4.2.2　信息来源 63
4.2.3　攻击向量 64
4.2.4　洗钱游戏 66
4.3　如何对抗日益增长的地下网络经济 66
4.3.1　降低数据的价值 67
4.3.2　信息的权限分离 67
4.3.3　构建动力/回报结构 67
4.3.4　为数据责任建立评估和声誉体系 67
4.4　小结 68
第5章　美丽的交易：重新思考电子商务的安全 69
（作者：ed bellis）
5.1　解构商业 70
5.1.1 分析安全环境 71
5.2　微弱的改良尝试 71
5.2.1　3d安全 72
5.2.2　安全电子交易 74
5.2.3　单用途和多用途虚拟卡 75
5.2.4　破灭的动机 75
5.3　重塑电子商务：新的安全模型 78
5.3.1　需求1：消费者必须通过认证 78
5.3.2　需求2：商家必须通过认证 79
5.3.3　需求3：交易必须经过授权 79
5.3.4　需求4：认证数据不应被认证方和被认证方之外的其他各方所共享 79
5.3.5　需求5：过程不能完全依赖共享秘密 80
5.3.6　需求6：认证应该是可移植的（不受硬件或协议所限） 80
5.3.7　需求7：数据和交易的机密性和完整性必须得到维护 80
5.4　新模型 80
第6章　捍卫在线广告：新狂野西部的盗匪和警察 83
（作者：benjamin edelman ）
6.1　对用户的攻击 83
6.1.1　充满漏洞的横幅广告 83
6.1.2　恶意链接广告 86
6.1.3　欺骗式广告 88
6.2　广告客户也是受害者 91
6.2.1　虚假的印象 92
6.2.2　避开容易受骗的cpm广告 93
6.2.3　广告客户为何不奋起反击 97
6.2.4　其他采购环境的教训：在线采购的特殊挑战 98
6.3　创建在线广告的责任制 98
第7章　pgp信任网络的演变 99
（作者：phil zimmermann和jon callas）
7.1　pgp和openpgp 99
7.2　信任、验证和授权 100
7.2.1　直接信任 101
7.2.2　层次式信任 101
7.2.3　累积式信任 102
7.2.4　基本的pgp信任网络 104
7.2.5　最早的信任网络的毛边 106
7.3　pgp和加密的历史 108
7.3.1　早期的pgp 108
7.3.2　专利和输出问题 109
7.3.3　密码战争 110
7.3.4　从pgp 3到openpgp 111
7.4　对最初信任网络的改进 111
7.4.1　撤销 111
7.4.2　伸缩性问题 114
7.4.3　签名的膨胀和困扰 115
7.4.4　证书内偏好 117
7.4.5　pgp全球目录 118
7.4.6　可变信任评分 119
7.5　未来研究的有趣领域 119
7.5.1　超级合法 119
7.5.2　社交网络和流量分析 119
7.6　参考资料 120
第8章　开源honeyclient：先发制人的客户端漏洞检测 123
（作者：kathy wang）
8.1　进入honeyclient 124
8.2　世界上第一个开源honeyclient简介 125
8.3　第二代honeyclient 127
8.4　honeyclient的操作结果 130
8.4.1　windows xp的透明活动 130
8.4.2　honeyclient数据的存储和关联 131
8.5　漏洞攻击的分析 132
8.6　当前honeyclient实现的限制 134
8.7　相关的工作 135
8.8　honeyclient的未来 137
第9章　未来的安全齿轮和杠杆 139
（作者：mark curphey）
9.1　云计算和web服务：这里是单机 141
9.1.1　创建者和破坏者 142
9.1.2　云计算和web服务是拯救方案 144
9.1.3　新曙光 145
9.2　结合人、流程和技术：业务流程管理的潜力 146
9.2.1　发散型世界的发散型安全 146
9.2.2　bpm作为多站点安全的指导方针 147
9.3　社交网络：当人们开始通信时，大变革发生了 149
9.3.1　社交网络的艺术状态和潜力 150
9.3.2　安全行业的社交网络 151
9.3.3　数字中的安全 152
9.4　信息安全经济：超级数据解析和网络新规则 153
9.5　长尾变型的平台：未来为什么会截然不同 156
9.5.1　生产工具的大众化 156
9.5.2　发行渠道的大众化 157
9.5.3　连接供应和需求 158
9.6　小结 158
9.7　致谢 159
第10章　安全设计 161
（作者：john mcmanus）
10.1　无意义的指标 162
10.2　市场还是质量 164
10.3　符合准则的系统开发周期的作用 168
10.4　结论：安全之美是系统之美的象征 170
第11章　促使公司思考：未来的软件安全吗 173
（作者：jim routh）
11.1　隐式的需求也可能非常强大 173
11.2　公司为什么需要安全的软件 175
11.2.1　如何制订安全计划 176
11.2.2　修正问题 178
11.2.3　把安全计划扩展到外包 179
11.3　对现有的软件进行安全化 180
11.4　分析：如何使世界上的软件更安全 182
11.4.1　最好的软件开发人员创建了具有漏洞的代码 182
11.4.2　microsoft领先一步 183
11.4.3　软件开发商给了我们想要的，却不是我们需要的 184
第12章　信息安全律师来了 187
（作者：randy v. sabett）
12.1　文化 188
12.2　平衡 190
12.2.1　数字签名指南 190
12.2.2　加利福尼亚数据隐私法 191
12.2.3　安全的投资回报率 192
12.3　通信 194
12.3.1　技术狂为何需要律师 194
12.3.2　来自顶层的推动力，通过合作实现 197
12.3.3　数据泄露小虎队 197
12.4　正确做事 198
第13章　美丽的日志处理 199
（作者：anton chuvakin）
13.1　安全法律和标准中的日志 199
13.2　聚焦日志 200
13.3　什么时候日志是极为珍贵的 201
13.4　日志所面临的困难 202
13.5　案例研究：瘫痪服务器的背后 204
13.5.1　事故的架构和环境 204
13.5.2　被观察的事件 204
13.5.3　调查开始 204
13.5.4　使数据起死回生 206
13.5.5　小结 207
13.6　未来的日志 207
13.6.1　来源的扩大化 207
13.6.2　未来的日志分析和管理工具 208
13.7　结论 209
第14章　事件检测：寻找剩余的68% 211
（作者：grant geyer和brian dunphy）
14.1　一个常见起点 212
14.2　改进与上下文相关的检测 213
14.2.1　用流量分析提高覆盖率 214
14.2.2　对监测列表进行综合分析 216
14.3　使用主机日志增强洞察力 217
14.3.1 创建富有弹性的检测模型 218
14.4　小结 222
第15章　无需真实数据就能出色完成工作 225
（作者：peter wayner）
15.1　数据半透明化的工作原理 226
15.2　一个现实的例子 228
15.3　为便利而存储的个人数据 230
15.4　如何权衡 230
15.5　进一步深入 231
15.6　参考资料 232
第16章　铸造新词：pc安全剧场 233
（作者：michael wood和fernando francisco）
16.1　攻击不断增加，防御不断倒退 234
16.1.1　在internet的传送带上 234
16.1.2　不正当行为的回报 235
16.1.3　暴徒的响应 236
16.2　揭穿假象 237
16.2.1　严格审查：传统的和更新的反病毒扫描 237
16.2.2　沙盒和虚拟化：新的银弹 240
16.3　桌面安全的更佳实践 242
16.4　小结 243
附录　作者简介 245

.　　《安全之美》的作者们向互联网工程任务组（The Internet Engineering Task Force，IETF）捐赠本书的版税。这个组织对于Internet以及其具有远见的自我管理式的迷人模型的发展极为关键。如果没有IETF具有奉献精神的成员们的科学讨论、灵活的标准制定和明智的妥协，Internet的发展是无法想象的。IETF在自己的网页上把自己描述成“由网络设计者、操作者、生产商和研究人员所组成的大型开放式国际社区”。O'Reilly将把版税汇给互联网社会（The Internet Society，ISOC），该组织长期向IETF提供资金和有组织的支持。
　　
　　材料的组织
　　本书内容并没有按任何特定的方案进行排列，但还是经过了整理，以便提供引人入胜的阅读体验，方便读者惊喜地发现新观点。不过，还是将那些讲述相似主题的内容放在了一起。
　　第1章 心理上的安全陷阱 作者Peiter“Mudge”Zatko
　　第2章 无线网络：社会工程的沃土 作者Jim Stickley
　　第3章 美丽的安全度量指标 作者Elizabeth A. Nichols
　　第4章 安全漏洞的地下经济 作者Chenxi Wang
　　第5章 美丽的交易：重新思考电子商务的安全 作者Ed Bellis
　　第6章 捍卫在线广告：新狂野西部的盗匪和警察 作者Benjamin Edelman
　　第7章 PGP信任网络的演变 作者Phil Zimmermann和Jon Callas
　　第8章 开源Honeyclient：先发制人的客户端漏洞检测 作者Kathy Wang
　　第9章 未来的安全齿轮和杠杆 作者Mark Curphey
　　第10章 安全设计 作者John McManus
　　第11章 促使公司思考：未来的软件安全吗 作者Jim Routh
　　第12章 信息安全律师来了 作者Randy V. Sabett
　　第13章 美丽的日志处理 作者Anton Chuvakin
　　第14章 事件检测：寻找剩余的68% 作者Grant Geyer和Brian Dunphy
　　第15章 无需真实数据就能出色完成工作 作者Peter Wayner
　　第16章 铸造新词：PC安全剧场 作者Michael Wood和Fernando Francisco
　　使用本书的代码示例
　　《安全之美》是为了帮助你完成工作。通常来说，你可以在你的程序和文档中使用本书的代码。除非你使用了本书的大量代码，否则你无需获取我们的许可。例如，写一个程序用到本书的几段代码不需要获得许可；销售和分发O'Reilly 丛书的代码需要获得许可；引用本书的样例代码来解决一个问题不需要获得许可；使用本书的大量代码到你的产品文档中需要获得许可。
　　我们不要求你（引用本书时）给出出处，但是如果你这么做，我们对此表示感谢。出处通常包含标题、作者、出版社和 ISBN。例如： “Beautiful Security, edited by Andy Oram and John Viega. Copyright 2009 O誖eilly Media, Inc., 978-0-596-52748-8”。
　　如果你觉得你对本书样例代码的使用超出了这里给出的许可范围，请和我们联系：permissions@oreilly.com。
　　
　　如何联系我们
　　请把对本书的评论和问题发给出版社：
　　美国：
　　O'Reilly Media, Inc.
　　1005 Gravenstein Highway North
　　Sebastopol, CA 95472
　　中国：
　　北京市西城区西直门南大街2号成铭大厦C座807室（100035）
　　奥莱利技术咨询（北京）有限公司
　　O'Reilly的每一本书都有专属网页，你可以在那儿找到关于本书的相关信息，包括勘误表、示例代码以及其他的信息。本书的网站地址是：
　　http://www.oreilly.com/catalog/9780596527488/
　　对于本书的评论和技术性的问题，请发送电子邮件到：
　　bookquestions@oreilly.com
　　关于本书的更多信息、会议、资料中心和网站，请访问以下网站：
　　http://www.oreilly.com