|
SPAZIO
LIBRI
|
Recensioni di Libri
|
Autore Recensione: Andrea
Di Clemente
|
|
Autore: |
John Chirillo |
|
Titolo: |
Hack Attacks Testing
– How to conduct your own security audit |
|
Editore: |
Wiley |
|
ISBN: |
0-471-22946-6 |
|
Lingua: |
Inglese |
|
Anno: |
2003 |
|
Prezzo: |
$ 50,00 |
|
Pagine: |
542 |
|
Allegati: |
cdrom |
RECENSIONE
|
Questo
libro di John Chirillo, autore anche di Hack Attacks Denied,
Hack Attacks Revealed e Hack Attacks Encyclopedia, è diviso
in quattro parti. Nella prima parte l’autore illustra
l’installazione e la configurazione di base dei principali
sistemi operativi di rete (Windows 2000, Red Hat Linux 8,
Solaris e Mac OS X), e ci guida alla preparazione di una
Tigerbox multiboot. Originariamente un TigerTeam era un
gruppo di professionisti pagati per penetrare all’interno
di una rete o per analizzare le policy di sicurezza delle
grandi aziende. Questi indicavano con il termine TigerBox la
macchina con tutti i tool necessari allo svolgimento del
loro incarico.
E’
una parte trattata in maniera abbastanza superficiale, che
descrive i passi principali e le schermate che ci sono presentate
dalle relative procedure di installazione; alcune figure, inoltre,
contengono screenshot che sono a mio giudizio inutili. Purtroppo
non sono trattate alcune problematiche interessanti, come la
scelta del tipo e della dimensione delle partizioni, o le
strategie da adottare per il trasferimento di dati tra i vari
sistemi operativi installati sulla Tigerbox (floppy disk a parte).
La
seconda parte (dal quinto al nono capitolo) contiene la disamina
di venti tra le vulnerabilità indicate come le più critiche dal
SANS, e fornisce una serie di utili consigli su come evitarle o
prevenirle. In seguito sono presentati i principali vulnerability
scanner, che in questa seconda parte sono software che girano su
macchine Windows: Cerberus Internet Scanner, Cybercop Scanner,
Internet Scanner, STATS scanner, oltre ai tool di TigerSuite 4.
L’analisi, ricca di screenshot, spiega come installare gli
strumenti presentati e ci guida alla configurazione delle opzioni.
Spesso si sente la mancanza di un approccio più pratico, che
scenda nei dettagli di una realistica simulazione di utilizzo.
Nella
terza parte sono affrontati i rispettivi strumenti per il mondo *NIX.
Hping/2, Nessus Security Scanner, nmap, SAINT, SARA, ma, di nuovo,
troppe pagine sono utilizzate per listare l’output dei vari
configure e make, rispetto a più utili simulazioni d’utilizzo.
La
quarta parte del volume riporta, in varie tabelle, la comparazione
dei risultati ottenuti con i tool presentati nel libro, utilizzati
per la scansione di una rete dimostrativa.
Infine,
il CD allegato al volume contiene una serie di "simulazioni
virtuali" in formato HTML, alcuni dei software presentati, e
due appendici bonus in formato PDF con le guide allo sviluppo di
plugin per il Nessus Security Scanner.
|
|
Pro |
|
Il
libro è adatto per coloro che sono alle primissime armi e
cercano un testo introduttivo che guidi all’uso dei
principali strumenti disponibili. |
|
Contro |
|
Non
consiglio il libro a coloro che, avendo già delle basi in
tema di network security, non abbiano problemi né a leggere
la documentazione che accompagna i software, né ad
utilizzare i motori di ricerca. |
Autore Recensione: Alessio
Saltarin
|
|
Autore: |
Niels Ferguson, Bruce Schneier |
|
Titolo: |
Practical
Cryptography |
|
Editore: |
Wiley Publishing, Inc. |
|
ISBN: |
047122894X |
|
Lingua: |
Inglese |
|
Anno: |
2003 |
|
Pagine: |
410 |
|
Allegati: |
Nessuno |
RECENSIONE
|
A
patto di non farsi ingannare dal titolo, questo libro, che
in fin dei conti non ha nulla di pratico, rappresenta senz’altro
un acquisto molto interessante sia per lo specialista in
sicurezza dei sistemi, sia per l’hobbysta che vuole
studiare l’argomento. Si tratta infatti di un ottimo testo
di approfondimento su tutte le problematiche della
crittografia moderna, trattate con chiarezza, profondità e
precisione. Benché gli argomenti non siano certo fra i più
semplici, la lettura scorre piacevolmente, con piglio a
volte persino salottiero. Abbondano aneddoti e curiosità,
nonché originali punti di vista. Cito per esempio
testualmente: "Internet dà agli utenti un falso senso
di sicurezza, promettendo sicurezza, ma di fatto non
assicurandola".
Vengono
esaustivamente trattati tutti i temi della crittografia,
dagli algoritmi di codifica, alle funzioni di hash, dai
generatori random, all’aritmetica dei grandi numeri. Ho
trovato particolarmente interessanti, soprattutto, i
capitoli sulla PKI (uno, intitolato "Sogno della PKI",
l’altro "Realtà della PKI"), e quello sull’archiviazione
dei dati sensibili ("I segreti dell’archiviazione"),
che rivelano anni di esperienza sulle problematiche reali.
Infatti gli autori, oltre ad essere gli inventori dei
celebri algoritmi Blowfish e Twofish, sono i responsabili di
una nota società di consulenza operante nel settore.
Gli
algoritmi vengono presentati in uno pseudo codice simile al
Pascal o al Modula-2, mentre l’aritmetica, alla base di
gran parte della conoscenza crittografica, viene presentata
con il simbolismo dell’insiemistica, di cui occorre avere
almeno un’infarinatura – manca infatti (colpevolmente?)
un’appendice esplicativa sui simboli e le notazioni
utilizzate.
Coloro
che sono alla ricerca di un libro sulla crittografia
"pratica", da un punto di vista di sviluppo
software, devono però rivolgere la loro attenzione verso
altri testi, come ad esempio l’ottimo "Cryptography
in C and C++".
Infine,
il libro si presenta in una ricca veste editoriale, con
copertina rigida e pregevole layout tipografico (cosa che va
detta, se non altro per confronto con proposte analoghe). Va
detto anche, però, che il costo di copertina è adeguato a
tanta ricchezza. |
|
Pro
|
| Tratta con
competenza ed esaustività tutti i temi della crittografia
moderna. Contiene una critica aggiornata, consapevole e
sincera sui vincoli e sui limiti della sicurezza informatica
|
| Contro
|
| L’editore ha
clamorosamente sbagliato il titolo del libro. Costa circa $70
|
Autore Recensione: Ivano
Tagliapietra
|
|
Autore: |
Dave Pauson |
|
Titolo: |
XSL-FO |
|
Editore: |
O’Reilly |
|
ISBN: |
0596003552 |
|
Lingua: |
Inglese |
|
Anno: |
2002 |
|
Pagine: |
290 |
|
Allegati: |
|
RECENSIONE
|
XSL-FO
è una tecnologia basata su XML per rappresentare il formato
stampabile di un documento. L'autore, in questo testo,
s'impegna a mettere l'accento su due aspetti importanti: in
primo luogo la sintassi e la semantica dei tag usati in
XSL-FO, ma anche gli sbocchi offerti da tale tecnologia
nella progettazione di sistemi per la stampa di documenti.
Sulla
sintassi e sulla semantica viene speso quasi tutto il
contenuto del libro (nove capitoli su undici) che
sicuramente, per un progettista già esperto di tecnologie
XML-based, rappresenta l'interesse primario acquistando il
volume. Sotto questo profilo trovo il libro sicuramente
impareggiabile in quanto, rispetto a tutta la documentazione
disponibile in Internet, tutti i concetti sono molto
approfonditi ed in appendice è riportato un vocabolario
completo di tutti i tag e gli attributi validi in un
documento XSL-FO.
La
potenza espressiva di XSL-FO dal punto di vista
"tipografico" è ancora limitata, e questo ha
permesso all'autore di poter strutturare l'esposizione dei
concetti in modo lineare, consentendone la lettura anche a
chi non è un esperto designer grafico o un tipografo ma ha
comunque la necessità di produrre reportistica di qualità.
Appare
comunque evidente che si presuppone che il lettore sia già
molto esperto di tecnologie XML-based e non si perda nemmeno
parlando di XSL.
Relativamente
alla progettazione di sistemi basati su XSL-FO è speso in
realtà molto poco spazio. In questo contesto è dato
maggior risalto alla possibilità dell'impiego di
trasformazioni XSLT per convertire un documento XML in una
versione XSL-FO pronta per le stampe mediante numerosi
esempi.
Molto
meno spazio invece è riservato ai tool di sviluppo e alle
implementazioni di engine basati su XSL-FO che, in questo
libro, sono solo enunciati in appendice.
Nel
corso del volume inoltre si ritrovano numerose citazioni ad
altre tecnologie alternative, come ad esempio LATEX, che
però non sono sufficientemente confrontate a XSL-FO. |
|
Pro
|
|
Nella
vastità di tag, attributi e regole sintattiche imposte
dalle tecnologie XML-based, questo libro è sicuramente un
buonissimo riferimento per XSL-FO, non solo per quanto
concerne la sintassi ma anche per i concetti
"tipografici" che ne stanno alla base. E’ Un
libro da tenere sempre sottomano quando, in mancanza di
strumenti più user-friendly, è necessario avere una guida.
|
| Contro
|
|
La
parte tecnologica è un po’ carente. Ci si aspettava di
più di una reference per XSL-FO, per cui esiste molta altra
documentazione in Internet: forse, il libro avrebbe dovuto
introdurre in modo abbastanza approfondito i vari tool e le
implementazioni di engine per la renderizzazione di
documenti. Anche approfondire il confronto con altri sistemi
di renderizzazione era auspicabile.
|
Autore Recensione: Davide
Tognon
|
|
Autore: |
Kurt Cagle |
|
Titolo: |
SVG Programming:
The Graphical Web |
|
Editore: |
Apress |
|
ISBN: |
1590590198 |
|
Lingua: |
Inglese |
|
Anno: |
2002 |
|
Pagine: |
586 |
|
Allegati: |
nessuno |
RECENSIONE
|
E’
un libro che finalmente renderà lieti tutti gli estimatori
di Kurt Cagle (e sicuramente molti altri programmatori ). L’autore
è noto per la sua esperienza come sviluppatore in ambito
FLASH ed XML e per le sue numerose guide che sono un ottimo
strumento per approfondire la conoscenza della
programmazione.
Il
volume in esame è un testo snello e piacevole, non asciutto
e freddo come la specification del linguaggio, e ne rende
molto gradevole l’approccio.
Il
libro si rivolge a chi abbia una minima familiarità con
HTML e Javascript (necessaria per accedere ai capitoli dall’ottavo
in poi). L’autore ne suggerisce la lettura a chi necessiti
SVG per diventare uno sviluppatore con un strumento in più,
non a chi stia cercando una spiegazione ulteriore ed
approfondita alla specification ufficiale del W3.
Nel
primo capitolo si affronta la storia di SVG come evoluzione
di SGML e viene ben chiarito il motivo che ne fa preferire l’utilizzo
rispetto a FLASH.
Segue
un tutorial per scrivere in SVG con qualche esempio di
realizzazione di pagine grafiche e di grafici.
Il
capitolo successivo affronta i sistemi di coordinate: da
Cartesio alle trasformazioni, cui segue un confronto tra la
piatta linearità di una pagina HTML rispetto alle spirali e
alle forme che con pochissimo si ottengono con SVG.
L’autore
raccoglie quindi la tavolozza e ci accompagna nel mondo
colorato del disegno e si raccomanda, nel caso la lettura di
questi cinque capitoli fosse risultata complicata, di
rileggerli dopo aver terminati i successivi.
Si
passa quindi al lavoro sul testo, che in questo linguaggio
viene trattato come elemento grafico senza perdere la
capacità di editarlo o ricercarlo.
Viene
anche mostrato l‘impressionante utilizzo di texture in
modo semplice ed efficace, come se si trattasse di un
programma di computer grafica.
Nell’ottavo
capitolo vengono create le nostre pagine Web: l’animazione
in SVG è tra i fondamenti .
Seguono
quindi gli esempi di interconnessione tra HTML ed SVG per
ottenere il meglio da entrambi (per esempio i moduli di
inserimento dinamici e programmabili a seconda dei contenuti
inseriti).
Avvicinandosi
alla fine vengono studiate le possibilità di creazione di
componenti sofisticati.
Per
concludere l’autore traccia la sua previsione sul futuro
di SVG e sul proprio lavoro in tal senso. |
|
Pro
|
| Alla fine del libro
si prova un nuovo senso di appartenenza alla famiglia degli
sviluppatori.
|
| Contro
|
|
L’unico
difetto (peraltro necessario) è che l’autore fermerà la
propria esperienza a questo volume, ma con generosità rende i
lettori partecipi di questa evoluzione nel sito della Apress e
nel suo sito personale.
|
Questo
articolo è tratto dalla rivista DEV n. 114 (Gennaio 2004)
Copyright
Gruppo Editoriale Infomedia (http://www.infomedia.it)
Tutti
i diritti riservati
|