Wydanie własnej książki Opcje

[SHiP]

Witam, zaczałem pisać książkę(tak, tak związaną z PHP), mam już kilkadziesiąt stron i wysłałem przykładowy rozdział do Helionu. Powinni mi odpowiedzieć niebawem co i jak. Zastanawiam się jednak czy Helion to najlepsza opcja. W zasadzie to wydawcą może być nawet i mój współlokator prowadzący własną firmę(jedną już książkę wydał) jednak zależy mi na zapleczu marketingowym, dobrej dystrybucji etc.

1. Znacie inne dobre wydawnictwa?

Nie podano mi konkretnych danych w kwestii rozliczania się(te są chyba tajne oraz indywidualne dla każdej pozycji). Wiem, że będę otrzymywał tantiemy od każdej sprzedanej pozycji.

2. Jaki procent waszym zdaniem jest ludzki. Ja rozumiem, że nie dostanę dużo ale ile(mniej więcej) waszym zdaniem powinienem zgarnąć złotych od każdego egzemplarza?

[Fifi209]

2. Jaki procent waszym zdaniem jest ludzki. Ja rozumiem, że nie dostanę dużo ale ile(mniej więcej) waszym zdaniem powinienem zgarnąć złotych od każdego egzemplarza?

To ile złotych dostaniesz zależy chyba też od ceny samej książki. (IMG:style_emoticons/default/winksmiley.jpg)

[Spawnm]

Z tego co mi się obiło kiedyś (kilka lat temu) o uszy to możesz spodziewać się 2-4% .

[SHiP]

@fifi209:
rozumiem, lecz zawsze można to jakoś wykalibrować

2% z powiedzmy 50zł to raptem 1zł. Aby normalnie zarobić helion musiałby sprzedać z 6tys. sztuk. Czy to realne?

[Wicepsik]

Nie sądzę.. aż takiego zainteresowania to raczej nie ma...

#edit
Zależy o czym piszesz (IMG:style_emoticons/default/smile.gif)

Ten post edytował Wicepsik 6.07.2010, 12:11:55

[SHiP]

W skrócie PHP+Hacking

[thek]

Z tego co kiedyś mi na studiach jeden z profesorów wspomniał, to zazwyczaj jest jednorazowa wypłata określonej gratyfikacji i na tym się kończy. Nie dostajesz za ilość sprzedanych egzemplarzy, ale z tego co pamiętam procent od wielkości nakładu. Im wyższy, tym większa kwota dla Ciebie. Na procent od sprzedanych egzemplarzy nie licz. Możesz jedynie w przyszłości, gdy będzie taka popularność książki, że będzie dodruk, liczyć na dodatkową gratyfikację.

[wookieb]

Popyt to jakiś ma na pewno ale patrząc na poziom książek z tej dziedziny otwiera mi się nóż w kieszeni i włącza mode niszczenia tego typu "broszur".
Zawsze skłaniam się do specjalistycznej literatury konkrernie na jeden temat a nie tak szeroko pojętego jak strony www. Co do bezpieczeństwa stron www to nie sądzę, czy chociaż liżniesz coś porządnego z tej dziedziny. O sql injection to nawet moja mama słyszała.

[SHiP]

@thek: wszystko jedno, a nawet lepiej bo dostąnę pieniądze od razu.

Pani z helionu mi napisała:

Wszystkie kwestie związane z honorarium autorskim oraz samą umową ustalane są w momencie, kiedy zostanie zaakceptowany konspekt książki. Na tym etapie mogę dodać, że wynagrodzenie autora faktycznie stanowią tantiemy ze sprzedaży książki.

@wookieb: ojj zdziwiłbyś się... Zgadzam się, że poziom na polskim rynku jest srasznie niski wręcz zerowy...

Ten post edytował SHiP 6.07.2010, 12:20:07

[Spawnm]

W skrócie PHP+Hacking

O tym wiele nie napiszesz + trudno będzie ci się przebić przy obecnej ilości książek o php czy bezpieczeństwie www.
Lepiej byś coś napisał o js/canvas, z twojego blogu wynika że wiedzę posiadasz a książek o canvas nie ma więc masz monopol.

[SHiP]

Też o tym myślałem lecz o bezpieczeństwie można więcej napisać mniejszym nakładem pracy. Poza tym tutaj też monopol w pewnym sensie będę miał. Są 2 książki które nic konkretnego nie zawierają...

Tak aby rozjaśnić co nieco. Oprócz strandardowego (Blind)(Reverse)SQL Injection, XSS, ataków na sesji, nagłówki, LFI itp. chcę pokazać trochę bardziej skomplikowane rzeczy typu: zaglądamy w kod źródłowy php, sprawdzamy jak jest napisana funkcja getimagesize(), sprawdzamy specyfikacje formatu GIF, preparujemy avatar tak aby funkcja identyfikowała go jako poprawny obrazek, ale żeby jednocześnie wstrzyknąć kod PHP.

[eccocce]

PHP+Hacking to dosyć ogólnie ujęta tematyka książki... Chcesz po prostu opisać zagrożenia z punktu widzenia dewelopera, a może coś głębszego - przykładowe ataki, dużo przykładowego kodu, itp.?

edit: Tego postu nade mną nie było, gdy to pisałem (IMG:style_emoticons/default/tongue.gif) Dzięki za odpowiedź!

Ten post edytował eccocce 6.07.2010, 12:32:29

[bim2]

Ludzie, a co wy się tak go tak czepiacie. ~SHIP zadal pytanie, a wiekszosc pisze ze nie trafil z tematem. Ja bym w sumie nawet o tym poczytal ale raczej nie wydalbym kasy na ksiazke.

[gigzorr]

jak napiszesz to wystaw na allegro , chetnie poczytam o php zwiazanym z hackingiem i przykladowe przyklady dziur xss,sql (IMG:style_emoticons/default/tongue.gif)

[Fantazyn]

Ja dodam na zachętę : ), że z chęcią przeczytam (i kupię!) jak będzie wnikliwa i w przystępnej cenie (chociaż drugi warunek da się wybaczyć w przeciwieństwie do pierwszego).

Pozdrawiam i trzymam kciuki za przyszły bestseller.

Ps. Tak z ciekawości... ciekawe czy można wydać książkę i oddać ją jednocześnie jako pracę magisterską (lub inną) na studiach.
Ps2. A co do trafności w rynek to pamiętajcie nie tylko o starych wyjadaczach, ale także o młodych wannabe hackerach ; )

Ten post edytował Fantazyn 6.07.2010, 12:54:17

[thek]

Fantazyn: Ja słyszałem tylko o przypadkach wydawania jako książkę prac magisterskich. Na wniosek promotora, który uznał ją za interesującą. I masz rację co do ceny. Mając dobrą książkę wybaczy się mniej atrakcyjną cenę autorowi/wydawnictwu.

Co do wyjadaczy i wannabe to przykro mi, ale chcąc być hackerem musisz wiele sam się nauczyć i do tej wiedzy i tak dotrzeć. Prawdę mówiąc dobry programista pisze kod prawidłowo. Bardzo dobry programista wie o niebezpieczeństwach i lukach w swoim kodzie czy też błędach języka, narzędzia używanego i im przeciwdziała na ile potrafi. Hacker zaś to takie wyższe stadium bardzo dobrego programisty. Zna on to co bardzo dobry programista, ale dodatkowo obudowane w jeszcze większa wiedzę na temat nie tylko narzędzi i języków, ale także kompilatorów, interpreterów, systemów operacyjnych i nie tylko zna luki, ale i sam aktywnie potrafi je znaleźć i wykazać ich istnienie poprzez pisanie proof-of-concept. Nie wrzucajmy więc do jednego wora, hackera, crackera i script-kiddie (IMG:style_emoticons/default/winksmiley.jpg) Hacker to pojęcie inne niż chce mu się przypisać w literaturze "sensacyjno-publicystycznej" (IMG:style_emoticons/default/winksmiley.jpg)

[frytek92]

Szczerze mówiąc na polskim rynku nie ma zbyt wiele książek o bezpieczeństwie PHP z tego co wiem to 2-3 książki z tego 2 to 150 stron w formie leksykonu, jeżeli książka wyjdzie to napewno ja kupie, jeżeli książki ci sie nie uda opublikować to możesz sprzedawać w formie E-Booka z chęcią kupie powiedzmy cena 15 zł i dałbyś przykładowo 1 rozdział do przeczytania, żeby kupujący mógł podjąć decyzje, aa ze helion nie sprzedaje e-booków to mnie dziwi chyba boją sie piractwa (IMG:style_emoticons/default/smile.gif)

[bim2]

Ahh, za e-booka też bym zapłacił z 15zł (IMG:style_emoticons/default/tongue.gif) Chciałbym przeczytać jaką wiedzę reprezentujesz :] i wtedy można książkę oceniać.

[Volume]

Co do książek będących pracami magisterskimi to też słyszałem jedynie o sytuacji, jak praca mgr została opublikowana, np. Biografia Lecha Wałęsy - Pawła Zyzaka. A co do odwrotnej sytuacji - myślę że nie byłoby większego problemu jeśli tylko taka forma byłaby akceptowana. U nas prace dyplomowe musiały mieć konkretny schemat - wstęp i opis ogólny tego o czym się pisze, rozwiniecie/badania, stwierdzenia i wnioski, literatura plus do tego streszczenie pracy - czyli mniej więcej taka praca mgr odpowiada schematowi przeciętnej książki.

A kiedyś poznałem osobę, której projekt strony internetowej był głównym elementem pracy inżynierskiej (nie z informatyki a z jakiegoś innego technicznego kierunku, oczywiście chodziło o część merytoryczną - w fazie obrony pracy była prezentowana treść i forma strony).

Wracając do tematu to dobrze jak nie zaniedbasz przy tym aktualnych standardów sieciowych dotyczących np. (x)HTMLa (bo wiadomo że ten język jest niemal nierozłącznym towarzyszem PHP), niektórzy uważają, że jak ktoś pisze o PHP to ma prawo nie znać standardów, wg mnie takie myślenie jest śmieszne, to tak jakby publikować książki z błędami ortograficznymi (juz nie mówię o nowościach - ale żeby chociaż o semantyce kodu pamiętać).

Ten post edytował Volume 6.07.2010, 17:03:08

[eccocce]

Także SHiP jak sam widzisz, na samym forum już ~10 egzemplarzy spokojnie sprzedasz (IMG:style_emoticons/default/tongue.gif)

[SHiP]

Wracając do tematu to dobrze jak nie zaniedbasz przy tym aktualnych standardów sieciowych dotyczących np. (x)HTMLa (bo wiadomo że ten język jest niemal nierozłącznym towarzyszem PHP), niektórzy uważają, że jak ktoś pisze o PHP to ma prawo nie znać standardów, wg mnie takie myślenie jest śmieszne, to tak jakby publikować książki z błędami ortograficznymi (juz nie mówię o nowościach - ale żeby chociaż o semantyce kodu pamiętać).

To jest chyba sprawa oczywista jednak w przypadku np. ataku XSS opiszę wszelkie formy umieszczenia kodu JS na stronie łącznie z tymi typu onclick=alert(1)

[darko]

1. Jeśli piszesz bez problemów po angielsku to PacktPub i Apress IMO najlepsze wydawnictwa na rynku.
2. nie oszukujmy się - im więcej tym lepiej, podczas negocjacji (jeśli w ogóle takowe będą) zaczynasz od wysokiego procentu i - wg przygotowanej wcześniej strategii negocjacyjnej - schodzisz w dół tak, aby spotkać się mniej więcej w połowie stawki z ludźmi po drugiej stronie stołu (negocjacyjny klasyk).

// edit
Właśnie pomyślałem, że możny byłoby rozpisać konkurs na forum, w którym nagrodą byłoby wydanie książki, ale to czysty abstrakt, bo przecież musiałoby się znaleźć kilku sponsorów.

Ten post edytował darko 6.07.2010, 17:18:57

[Volume]

To jest chyba sprawa oczywista jednak w przypadku np. ataku XSS opiszę wszelkie formy umieszczenia kodu JS na stronie łącznie z tymi typu onclick=alert(1)

A no już nie wątpie, właśnie wszedłem na Twój blog i przyznam, że często czytałem i nawet polecałem Twoje artykuły, tylko teraz nie wiedziałem że to Ty;)

Ten post edytował Volume 6.07.2010, 17:22:19

[SHiP]

@Drako: gdybym umiał płynnie pisać po angielsku to bym nie kombinował z helionem. Tym bardziej, że książki za granicą są droższe a rynek dużo większy

@Volume: dzięki, miło to słyszeć (IMG:style_emoticons/default/winksmiley.jpg)

Wracając do tematu. Ile powinienem zażądać za napisanie takiej książki? Jak sądzicie?

[Spawnm]

Trudno powiedzieć nie znając nawet spisu treści (IMG:style_emoticons/default/winksmiley.jpg)
Większej ceny mógł byś się domagać jeśli masz w swym dorobku np. artykuły w magazynach tematycznych , jakieś zwyciężone konkursy na najlepszy artykuł itd. to by zapewniło wydawce że twoja książka się sprzeda .

[#luq]

Jeśli autor dostaje 2-4% z każdego egzemplarza to to jest co najmniej śmieszne. Jasne jest, że to wydawnictwo dużo wkłada - druk, reklama, rozprowadzanie etc. ale żeby tylko 4%? Niemożliwe.
To tutaj http://www.escpartners.pl/ wchodząc w program partnerski jako serwis, za każdą sprzedaną za naszą sprawą książkę dostaje się 5%. Więc 4% dla autora są mało realne.
Ogólnie ja bym chyba kombinował wydruk pierwszego nakładu z jakąś drukarnią i reklamę + sprzedaż na własną rękę.

Co do książki to fajna sprawa. Powodzenia w pisaniu (IMG:style_emoticons/default/winksmiley.jpg)

[SHiP]

Dzięki, ja liczę również na to, że marketing helionu w pewien sposób przyciągnie programistów na mój blog. Poczekam na odpowiedz te 2-4% mi również wydają się śmieszne...

[athabus]

Ja oceniam, że za książkę o standardowej objętości dostaniesz między 7 a 12 tysięcy.
Kiedyś wydawałem trochę artykułów i miałem współudział w 2 książkach. Z tego co pamiętam to była na stałe określona kwota za wydanie. Przy wznowieniu pieniądze były wypłacane ponownie (ale trzeba było nanieść drobne poprawki). Z tego co pamiętam to dostawałem ~700zł za arkusz drukarski czyli jakieś chyba 8 stron a4 bez grafiki - było to jakoś dziwnie przeliczane z ilości znaków, więc dokładnie Ci już teraz nie powiem. Wydawnictwo w którym ja pisałem to było jakieś małe niszowe, na pewno nie był to helion.

Kokosów z tego bym się nie spodziewał, ale z drugiej strony jeśli pisanie daje Ci frajdę to nawet dla samej radości posiadania książki w swojej twórczości warto. No i ładnie w CV będzie wyglądać ;-)

Pomysły typu "wydaj książkę sam" wyrzuć do kosza i zapomnij o tym. Jeśli ma być to jednorazowa akcja to zdecydowanie helion lub ewentualnie mikom czy coś w tym stylu. Robiąc wszystko na własną rękę skończysz z długami i nakładem książek w piwnicy bo pewnie ich nawet nie uda Ci się samodzielnie wstawić do znaczących księgarni typu Empik ;-)

//edit
PS. gratuluję pomysłu i pasji. Pochwal się jak już coś ruszy do przodu. $klienicNaKsiazkeShipa++ :-)

Ten post edytował athabus 7.07.2010, 12:28:58

[pyro]

Ja bym się na Twoim miejscu zastanowił, czy na pewno masz odpowiednią wiedzę do napisania takiej książki. Jeżeli to ma być (kolejne) arcydzieło na temat XSS, SQL Injection, LFI/RFI, itd to ja dziękuję bardzo za taką książkę (IMG:style_emoticons/default/smile.gif) . Potem po takich rzeczach chodzą programiści i z nimi taka rozmowa:

- No to panel administratora jest mój
- Jak to?! Jak?!

Mówię tutaj o pisaniu na temat bezpieczeństwa stron www i to nie tylko od strony PHP. Jakby to miało być od samego PHP to zwyczajnie nie warto kupować na ten temat książki.

Ten post edytował pyro 7.07.2010, 13:13:35

[SHiP]

@pyro: co masz na myśli? Oczywiste jest, że napiszę trochę na temat socjotechniki, szyfrowania, haseł etc. ale nie mam zamiaru opisywać np. debugowania "zwykłych" programów, dziur przepełnienia bufora, dziur typu ARP Spoofing czy udawaniu serwera DNS. Książka by urosła do ogromnych rozmiarów. Zresztą ja nie mam aż tak wielkiej wiedzy aby pisać o plikach exe i łamaniu ich zabezpieczeń, bo po prostu się tym nie interesuję.

Ten post edytował SHiP 7.07.2010, 13:48:09

[bim2]

Narzekacie a nie wiecie nawet co z tego wyjdzie (IMG:style_emoticons/default/smile.gif) Ja z chęcią kupie książkę (IMG:style_emoticons/default/tongue.gif)

Dla początkujących osób taka książka może być naprawdę wielkim źródłem wiedzy. Ostatnio przygotowywałem taki mniejszy wykładzik do szkoły na temat bezpieczeństwa, skupiłem się akurat na socjotechnice oraz łamaniu haseł metodą bruteforce z racji tego, że łatwo to było zaprezentować a widownia nie posiadała żadnej wiedzy na temat sql php czy jakiegokolwiek języka, więc odpadało to o czym pisze SHiP (IMG:style_emoticons/default/smile.gif)

Pisz pisz, może coś z tego wyjdzie. Tylko cene wymuś później jakąś normalną (IMG:style_emoticons/default/winksmiley.jpg)

[skowron-line]

@SHiP trzymam kciuki. Również chętnie kupie i przeczytam książkę.
Jak już wcześniej było powiedziane uważaj żeby nie zniknęła ona pośród innych pozycji tego typu. Na pewno czytałeś podobne książki i wiesz co jest w nich nie tak, jak pokazał niedawno temat o książce pana Gajdaw -a, blog każdy zna a książka spotkała się z krytyką ze strony odbiorców.
Proponuje Ci żebyś założył temat w którym będą ludzie pisali jakie informacje i w jakiej formie powinny się w niej znaleźć.


Tak tylko jako OT dodam że, w jednym z postów twojego autorstwa przeczytałem że nie kręci Cię php, więc w pierwszej chwili pomyślałem OCB. Też jestem zdania że bardziej do ciebie i twoich zdolności pasuje temat HTML5 / CANVAS/ JS.

Pamiętaj że jak wydasz książkę to na spotkaniu forum będziesz je podpisywał (IMG:style_emoticons/default/smile.gif) wywiady, wizyty w zakładach pracy itp (IMG:style_emoticons/default/smile.gif)

[SHiP]

Dzięki wszystkim za trzymanie kciuków (IMG:style_emoticons/default/winksmiley.jpg) .

@skworon-line: nie chodzi o to, że nie lubię PHP. Po prostu nudzi mnie tworzenie n-ty raz cms-a pod stronkę firmową. Wolę jakieś wyzwania. Stąd aktualnie projekt gry w technologi html5 (IMG:style_emoticons/default/winksmiley.jpg) .

[wookieb]

Wydaj to poprowadzimy nadal temat. Osobiście wątpię, aby książka jaką wydasz była na solidnym poziomie ale to moje zdanie.
Wydaje mi się, że napaliłeś się jakimś sukcesem przez co takie pomysły przyszły Ci do głowy natomiast wydanie porządnej książki to nie wynik wygranej w konkursie szkolnym lecz lata doświadczeń oraz nabycie informacji które są trudno dostępne, bądź niedostatecznie wyjaśnione.
Mam na myśli oczywiście porządne pozycje a nie "mysql i php - 1001 porad" (czytaj LFI, sql injection)

Ten post edytował wookieb 7.07.2010, 14:43:19

[pyro]

@pyro: co masz na myśli? Oczywiste jest, że napiszę trochę na temat socjotechniki, szyfrowania, haseł etc. ale nie mam zamiaru opisywać np. debugowania "zwykłych" programów, dziur przepełnienia bufora, dziur typu ARP Spoofing czy udawaniu serwera DNS. Książka by urosła do ogromnych rozmiarów. Zresztą ja nie mam aż tak wielkiej wiedzy aby pisać o plikach exe i łamaniu ich zabezpieczeń, bo po prostu się tym nie interesuję.

ARP spoofing, pliki exe raczej niewiele mają wspólnego z bezpieczeństwem stron www. Miałem na myśli to, że po prostu opisanie po raz n-ty czym jest RFI czy XSS i jak z tego korzystać to dużo za mało.

Generalnie sprowadza się to do tego, że mam podobne zdanie jak @wookieb (IMG:style_emoticons/default/winksmiley.jpg)

Ten post edytował pyro 7.07.2010, 15:29:37

[gigzorr]

o hmtlu 5 tez bys mogl poswiecic rozdzial na wprowadzanie , tak samo jak , w php jak pisac a jak nie , jakie nawyki sa dobre z poczatku a jakie zle , podstawowe operacje na bazach danych , albo np. od poczatku ksiazki jakiegos cmsa tworzyc do jej konca , z wykorzystaniem php,mysql+xhtmla,htmla5 na koncu moe byc rozdzial;p

Ja bym z checia kupil ksiazke nawet o samym htmlu 5 (IMG:style_emoticons/default/smile.gif)

Ten post edytował gigzorr 7.07.2010, 15:26:59

[athabus]

A mi się wydaję, że nawet dobrze (przystępnie) napisana książka z podstawami okraszona dużą ilością życiowych przykładów ma sens.

Nie oceniam wiedzy SHiP'a bo nie wiem na ile siedzi w tym temacie - lepiej pozostawić to osobom z heliona.

[pyro]

o hmtlu 5 tez bys mogl poswiecic rozdzial na wprowadzanie

Wiesz... w książce o bezpieczeństwie stron www ja zamiast tego bym wolał, żeby napisał jak przyrządzić tiramisu.

Nie oceniam wiedzy SHiP'a bo nie wiem na ile siedzi w tym temacie - lepiej pozostawić to osobom z heliona.

No niestety ja bym Helionowi oceny merytorycznej książek nie zostawiał. Wiele jest dobrych książek, ale też wiele złych, ale i tak je sprzedają.

[Spawnm]

@SHiP - zdradzisz nam spis treści aby rozjaśnić co dokładnie tam będzie czy same xss , lfi czy coś więcej ? (IMG:style_emoticons/default/smile.gif)

[SHiP]

Nie chcę zdradzać wszystkiego ale opiszę standardowo:
- sql incjection + blind sql injection w tym przykłady totalnie banalne jak i np. "jak wyciągać hasła zapytaniem update". Do tego coś co często jest pomijane tj. wyciąganie informacji o bazie, nazw tablic, pol w przypadku różnych baz danych
- xss z pełną listą przeglądarek oraz przykładowych kodów dla kazdej tj. gdzie jaka konstrukcja jest w stanie wywołać kod JavaScript. Tutaj szczególny nacisk na IE, które jest źle napisane i czasem różne "kwiatki" okazują się być poprawnym kodem JS mimo, że w ogóle go nie przypominają
- sesje - jeśli dobrze pamiętam artykuł to w zasadzie to co jest na planecie + przykłady. Sporo się nie da wymyśleć
- LFI, RFI w przykladach bardziej zaawansowanych - wykorzystywanie skrzynek pocztowych, procesów systemowych etc etc
- naglowki http i ataki z tym związane
- bezpieczenstwo zwiazane z plikami, jak przechowywac, jak uploadowac itp.

+ masa mniejszych rzeczy typu, przechwycanie drukarki, wykorzystywanie SQL do robienia zadymy w partycjach windowsowych, ClickJacking, coś na temat XPath, wywoływania poleceń systemowych, ataki DDOS
+ rozdzial na temat ogolnych zasad, socjotechniki, haseł, szyfrowania etc

Oczywiście do wszystkiego przykłady ataków + metody zabezpieczania się

Ten post edytował SHiP 7.07.2010, 16:05:13

[pyro]

Czyli tak jak się spodziewałem, generalnie niewiele. No ale co to będzie - wyjdzie w praniu (IMG:style_emoticons/default/winksmiley.jpg)

[Spawnm]

hmm mniej niż się spodziewałem (IMG:style_emoticons/default/sad.gif)
Daj coś o spamie i łamaniu captcha w praktyce...

[SHiP]

@pyro: jeśli masz pomysł na coś więcej to pisz. Z moich obliczeń wychodzi około 500 stron tego co mam tutaj.

EDIT: jeśli chodzi o spam no to mam trochę o Cross site printing oraz E-mail injection. Dzięki za pomysł z captcha, bo to mi wyleciało z głowy.

Ten post edytował SHiP 7.07.2010, 17:29:11

[#luq]

To ja Ci rzucę 3 małe pierdółki, które możesz opisać jako ciekawostki:

- obciążanie maszyn klientów i liczenie czegoś tam na ich komputerach np. liczenie md5 tak jak to opisałem na moim blogu, dokładniej w tym miejscu
- stosowanie funkcji BENCHMARK w mySQL`u do zarżnięcia maszyny, oczywiście przez SQLI.
- Sprawdzanie historii przeglądania usera, opisane np. tutaj

Co do wiedzy SHiPa w tym kierunku, to pamiętam jak pojawił się tutaj topic w którym ktoś tam napisał jakąś tam gierkę netową i chciał żeby ją ocenić a ja skupiłem się właśnie na bezpieczeństwie i wytknąłem mu kilka luk, SHiP natomiast wyciągnął źródło i na PW pokazał mi jakim sposobem. Pewno SHiP kojarzysz akcję.
Przyznam, że atak był ciekawy (nie żaden standardowy), wcześniej nie spotkałem się z takim, a przyznam, że interesuje się trochę bezpieczeństwem (nie tylko webowym). Więc myślę, że książką będzie ciekawa (IMG:style_emoticons/default/winksmiley.jpg)

[H4eX]

Nie doczytałem, czy nie ma u Ciebie XSRF? Proponuję o tym typie ataku napisać, jest to bardzo nieznany typ ataku, a szkody są po nim poważne, np. przejęcie konta, sprawdzenie IP bez wiedzy poszkodowanego. Ja chętnie kupię Twoją książkę (IMG:style_emoticons/default/smile.gif)

[SHiP]

@#luk:
1. Dzięki za pomysł
2.To są właśnie ataki DOS tylko przez bazę danych. Benchmarka tez używam do sql injection
3. Pisałem o tym też u siebie (IMG:style_emoticons/default/winksmiley.jpg) http://srodek.info/blog/166/podglad-historii

O XSRF nie zapomniałem (IMG:style_emoticons/default/winksmiley.jpg) . Będzie o tym kilka stron. To co wypisałem wyżej to "między innymi" (IMG:style_emoticons/default/smile.gif) .

Imho taki sql injection nie jest nudny o ile nie przedstawia się prostych, klasycznych przykładów, które wszyscy znają i się po prostu przejadły.

PS: pamiętam tą "akcję" (IMG:style_emoticons/default/smile.gif)

[H4eX]

Zapomniałem zapytać... Kiedy tak mniej więcej planujesz wydać książkę?

[SHiP]

październik/listopad? Pod koniec lipca dostanę odpowiedz od helionu co i jak

[kilas88]

@SHiP, czytałeś może tą książkę?
http://helion.pl/ksiazki/bezpieczenstwo_ap...ivan,bezapa.htm

Wydaje mi się, że wszystko to co chcesz opisać zostało już opisane w tej publikacji (choć głównie teoria). Jeśli zawrzesz w swej książce dużo praktyki to zapewne kupię (IMG:style_emoticons/default/smile.gif)

[SHiP]

Nie czytałem jej, sprawdziłem właśnie spis treści i przykładowy rozdział(strasznie się ja czyta!). Spróbuję ją zakupić bo kilka rzeczy brzmi ciekawie choć ta ksiażka zdecydowanie nie zawiera tego o czym ja chcę pisać (IMG:style_emoticons/default/winksmiley.jpg) . Tutaj autor głównie przedstawia dziury związane z AJAX-em oraz JavaScriptem.

[kilas88]

Nie czytałem jej, sprawdziłem właśnie spis treści i przykładowy rozdział(strasznie się ja czyta!). Spróbuję ją zakupić bo kilka rzeczy brzmi ciekawie choć ta ksiażka zdecydowanie nie zawiera tego o czym ja chcę pisać (IMG:style_emoticons/default/winksmiley.jpg) . Tutaj autor głównie przedstawia dziury związane z AJAX-em oraz JavaScriptem.

W tej książce napisano sporo o bezpieczeństwie na poziomie serwera (w końcu aplikacje ajaksowe wysyłają żądania do serwera). Napisano też o usługach sieciowych, sesjach, HTTP, DNS, DoS/DDoS, SSL, SQL Injection, robakach sieciowych, itp itd.

Tak jak poprzednicy, namawiałbym bardziej do pisania książki o Canvas (IMG:style_emoticons/default/biggrin.gif)

[H4eX]

Ja proponował bym dodanie rozdziału o optymalizacji kodu (IMG:style_emoticons/default/winksmiley.jpg)

[SHiP]

@kilas88: Napisałem "głównie na temat AJAX-a". Widziałeś ile stron poświęcił chociażby na głupie SQL Injection?

Ten post edytował SHiP 7.07.2010, 21:32:26

[kilas88]

@kilas88: Napisałem "głównie na temat AJAX-a". Widziałeś ile stron poświęcił chociażby na głupie SQL Injection?

Właśnie przeczytałem tą książkę od deski do deski i jak na razie to najlepsza pozycja o bezpieczeństwie aplikacji internetowych, którą przeczytałem.

Może i po spisie treści tego nie widać, ale książka omawia naprawdę wiele tematów (porozrzucanych po całej książce). SQL Injection omówiony także dość szczegółowo - napisano o samych podstawach wszczepiania stringów do poleceń SQL, opisano szczegóły działania różnych silników i sterowników bazodanowych, kończąc na możliwości wykonania dowolnego polecenia w systemie Windows przy pomocy polecenia SQL (dla SQL Server).

Poza tym jest mowa o XPath/XQuery Injection, nasłuchiwaniu ruchu sieciowego, CSRF, Phising, Cros-Site Scripting, LDAP Injection, ataki na pliki cookie, ataki na dzienniki zdarzeń i wiele więcej. Choć faktem jest, że wiele z tych tematów jest omówionych dość pobieżnie (lub tylko teoretycznie) to zawsze można doszukać informacji w zewnętrznych źródłach (autor daje "zajawkę", wystarczy wklepać pojęcie do wyszukiwarki).

Gdybyś wszystko to opisywał na konkretnych przykładach, z dużą ilością kodu lub wykorzystaniem profesjonalnych narzędzi - wtedy pozycja może być bardzo ciekawa!

[SHiP]

Ciężko mi coś pisać konkretnego bo po prostu tej książki nie czytałem. Ale dzięki za pozycję. Na pewno się nią zainteresuję.

[erix]

O XSRF nie zapomniałem . Będzie o tym kilka stron.

Tylko...? O samym XSRF można jednak dość sporo napisać...

[SHiP]

Nie zrozumiałeś mojej wypowiedzi. Mam o tym rozdział (IMG:style_emoticons/default/smile.gif) .

[athabus]

A ja tak na prawdę nie rozumiem dlaczego niektórzy twierdzą, że nie ma sensu pisać takiej książki. Wydaje mi się, że dobrze napisana książka nawet omawiająca podstawowe zagadnienia na pewno przyda się polskim rynku. Kluczowa sprawa to odejść od schematycznych przykładów dostępnych w sieci i pokazać kilka ciekawostek.

Oczywiście rozumiem osoby, które chciałyby dostać książkę z zagadnieniami zaawansowanymi, niemniej nawet jeśli ta książka tych zagadnień nie omówi to i tak ma szanse być ciekawą pozycją - kwestia segmentu docelowego.

Dziwi mnie też, że zarzucacie SHiP'owi, że nie ma odpowiedniej wiedzy do napisania takiej książki. Myślę, że z książkami podobnie jak z nauczaniem np. na uczelni jest tak, że osoba nie musi być wielkim ekspertem w danej dziedzinie (oczywiście jeśli uczy podstaw) - ważniejsze jest czy potrafi dobrze przekazać posiadaną wiedzę. Myślę, że SHiP posiada wystarczającą wiedzę aby taką książkę napisać - nie znam, go więc nie wiem czy jest ekspertem w tej dziedzinie, ale na pewno tematyka nie jest mu obca. Czy ma zdolności "dydaktyczne" przekonamy się po przeczytaniu książki.

Także SHiP do działa.

[gszesiek]

Także SHiP do działa.

@SHiP - mam kupon w empiku do grudnia (ostatnio nic mnie nie zainteresowało na tyle, żeby go zamienić), jak zdążysz to masz kolejnego kupca

pozdrawiam

[SHiP]

@gszesiek: postaram się (IMG:style_emoticons/default/winksmiley.jpg)

[darko]

Dobra. My tu pitu pitu, a czas leci. Ship napisz, puść jakieś info, wydaj, poczytamy, wtedy ocenimy, bo tak teraz to przypomina trochę rozmowę typu: co by było gdyby... ? 3mam kciuki za powodzenie tego przedsięwzięcia.

[gszesiek]

Jakieś postępy?

[SHiP]

Chyba będę szukał innego wydawnictwa, bo helion sobie w kulki leci. Nie wiem jak to u nich normalnie działa ale do tej pory nie otrzymałem klarownej odpowiedzi. Pani Magdalena mi odpisuje, że wciąż analizują rynek "hackingowy"(ileż można na litość boską?). Z drugiej strony teraz i tak mam urwanie głowy więc mam małą przerwę w pisaniu.

[krzysztof_kf]

Chyba będę szukał innego wydawnictwa, bo helion sobie w kulki leci. Nie wiem jak to u nich normalnie działa ale do tej pory nie otrzymałem klarownej odpowiedzi. Pani Magdalena mi odpisuje, że wciąż analizują rynek "hackingowy"(ileż można na litość boską?). Z drugiej strony teraz i tak mam urwanie głowy więc mam małą przerwę w pisaniu.

SHiP a powiedziałeś pani Magdalenie o czym tak naprawdę ma być ta książka wytłumaczyć łopatologicznie bo mogła cię zmyć często się zdarza że takie kobitki nie mają pojęcia mają takie pojęcie że co o Hackingu o czym ma być ta książka o malowaniu paznokci czy robieniu tipsów .

[SHiP]

Nie no, wysłałem spis treści, przykładowy rozdział oraz dokładny opis książki. Kobieta jest kumata, nawet podesłała linki do innych pozycji abym je porównał z tym co ja chcę pisać.

Mam nadzieję, że nie pisze teraz identycznej jakiś pan Marian z helionu. ^.^

[gszesiek]

@SHiP już kupon do empiku zgubiłem, a Ty nie piszesz o postępach w rozmowach z wydawnictwami :/

[eccocce]

Właśnie też jestem ciekaw jak tam postępy w pisaniu i szukaniu wydawcy?