Som så mye annet i verden følger alt sikkerhetsarbeid Pareto Prinsippet (Citation Needed), hvor 20% innsats kan mitigere 80% av utfallene. Det er lite som skal til for å gjøre løsningene dine mye sikrere, men det er mye som skal til for å gjøre de helt vanntette. Heldigvis er det ofte godt nok å tette de vanligste hullene, for de aller flere applikasjoner.
En bok som anbefales for alle som jobber med sikkerhet å lese er Web Security for Developers: Real Threats, Practical Defense av Malcolm McDonald. Boken er en praktisk veiledning tilpasset webutviklere som ønsker å beskytte applikasjonene sine mot vanlige sikkerhetstrusler. Den legger vekt på å bygge robust og sikker kode og inkluderer eksempler fra virkeligheten på sårbarheter og hvordan de utnyttes. Den dekker viktige emner som SQL-injeksjon, cross-site scripting (XSS), autentiseringsfeil og usikker økt administrasjon.
Mye gjort med lite
Sikkerhet er en avveining mot kostnad, brukervennlighet og kompleksitet, og noe man alltid må ta stilling til. Men i webverden er mye gjort med lite, og som boken sier i innledningen:
"Hemmeligheten med web-sikkerhet er at antallet sårbarheter er faktisk ganske lavt, faktisk lavt nok til å få plass i en liten bok, og de endrer seg lite fra år til år. Denne boken vil lære deg alle_nøkkel-trusler du trenger å vite om, og hvordan du skal forsvare deg mot dem."
Jeg kan underbygge dette sitatet, for sikkerhetsutfordringene jeg møtte i starten av karrieren min for 10+ år siden er mye av det samme som jeg møter den dag i dag. Denne boken gir en god oversikt over hvilke problemer og utfordringer man møter, og hvordan man skal mitigere og unngå dem.
Retter seg mot de som skal i gang med å sikkerhetsarbeid
Personlig var det lite nytt jeg lærte av å lese denne boken, noe som kanskje underbygger påstanden til forfatteren om at det er lite som endrer seg fra år til år. Forfatteren selv anbefaler boken for alle som er nyutdannet eller nye i gamet på et eller annet vis, men selv vil jeg anbefale den for alle som gjerne vil vite litt mer, få litt mer forståelse, og kanskje friske opp gammel kunnskap. Boken er på beskjedne 190 sider, noe som gir mye bang for the buck på innsatsen som kreves for å lese den.
Boken forutsetter lite forkunnskap, og forklarer godt det som trengs for å forstå sårbarhetene, hvorfor de oppstår og hvordan unngå dem. Dette er kanskje mitt største ankepunkt mot boken, da de som kan en del fra før vil nok tenke det er vel grunnleggende, men siden boken retter seg mot et publikum som er ferskt i faget, er ikke dette gyldig kritikk. Man kan ikke få i både pose og sekk. Og hvem vet, som erfaren er det kanskje noe du har oversett eller misforstått gjennom årenes løp. For meg var den aller mest en påminner om at dette ikke er noe alle kan, og noe som må læres. Og det er slikt man fort glemmer når man har noen år på baken.
Jeg synes denne boken passer godt i en liste over sikkerhetsbøker, som er rettet mot de som er nye i gamet.