Showing posts with label books. Show all posts
Showing posts with label books. Show all posts

20070904

Full-Disclosure Paper Edition?

Link

While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cats over at sla.ckers (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs) do a great job of finding real vulnerabilities in real applications, we don't actually spend much time calling out book authors for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.

A couple of guys had a presentation at a recent conference (I won't mention names because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y certainly weren't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to call out a book for telling people to do stuff in a silly way) where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y followed design patterns from books on web application coding and ended up with a really horrible (in terms of security) application. They were gutsy enough to name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y used for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 design patterns. But this is really rare.

It seems that while we want for developers to be trained as real engineers who apply real engineering and computer science principals to problems, many developers writing real-world, high-visibility applications were mostly trained from bad tutorials on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet and books at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local bookstore.

I churned on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of setting up a full-disclosure paper edition website, modeled after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r full-disclosure sites, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are issues with copyright violation and such - whereas with reporting web vulnerabilities is mostly a question of ethics, I think full-disclosure in a paper edition would be a question of copyright issue and legality. While I'm all for publishers and authors being accountable for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y publish (hey, bloggers too - call me out when I'm wrong), I can't in good conscience stand up a site that I don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material that would end up on it.

That being said, do we take programming examples with a grain of salt? Do we look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same scrutiny as we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves? Where a single vulnerability on a single website is genuine, it's also one person's mistake in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end result. But flaws in books are by people who claim to be experts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of development, published by publishers who vouch for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticity of that expert opinion, fool users into believing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book indeed tells cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right way to do something.

Is this all a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet, where niche experts are considered authoritative on more subjects than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ought? Where somebody writes a few blog posts on a subject and are "discovered" by a publisher who needs to get some print out in that niche market? If that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, how do we convince developers to use a greater level of discernment when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do that google to figure out how to use a new API?