Cyber Shelf

// Comparaison

Designing Secure Software vs The Mobile Application Hacker's Handbook : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
5/52021
Designing Secure Software

A Guide for Developers

Loren Kohnfelder

Loren Kohnfelder, l'auteur PKI original, sur comment tisser la pensée sécurité à travers exigences, design, implémentation et opérations plutôt que de la boulonner à la fin.

Intermédiaire
3/52015
The Mobile Application Hacker's Handbook

Dominic Chell, Tyrone Erasmus, Shaun Colley, Ollie Whitehouse

La référence de Chell, Erasmus, Colley et Whitehouse sur la sécurité applicative iOS et Android du début-mi 2010s — runtime hooking, sécurité du transport, abus IPC et la surface plateforme-spécifique du pentest mobile.

À lire si

Développeurs seniors et architectes qui écrivent déjà bien le code et veulent maintenant concevoir des systèmes qui n'expédient pas de CVE. Kohnfelder est l'auteur qui a littéralement écrit le papier X.509 ; le livre est la sagesse de design d'une carrière en 312 pages.
Pentesters mobiles qui veulent les fondations structurelles de la discipline — quelle surface existe, où vivent typiquement les bugs, comment les plateformes diffèrent dans leurs défauts. Les chapitres taxonomie et méthodologie vieillissent plus lentement que le tooling spécifique.

À éviter si

Débutants ou lecteurs voulant du tooling hands-on. Le livre est niveau design : principes, patterns et études de cas. À coupler avec des livres niveau implémentation pour la vue ligne de code.
Lecteurs ayant besoin de la technique actuelle sur App Attest, DeviceCheck, clés liées biométrie, contournement pinning moderne, instrumentation runtime récente (classe Frida) ou la réalité cross-plateforme (React Native, Flutter, Capacitor). La publication 2015 se voit dans chaque chapitre.

Points clés

  • Secure-by-design est principalement éviter les pièges ; l'énumération du livre des erreurs communes-mais-fatales est la checklist mentale la plus nette qu'un concepteur puisse porter.
  • Les frontières de confiance sont le concept unique le plus utile en design sécurisé ; le livre vous apprend à les voir dans n'importe quelle architecture.
  • La plupart des débats sécurité dans les organisations d'ingénierie se résolvent en une poignée de compromis répétés (défense en profondeur vs simplicité, blocage vs logging, fail-open vs fail-closed) ; le livre les nomme et fournit le langage pour la conversation.
  • La structure défauts-et-pièges-par-plateforme est durable : le modèle de sécurité de chaque plateforme se comprend encore le mieux à travers le même prisme que le livre utilise.
  • IPC, deep-link et surface inter-app restent les surfaces d'attaque mobile au plus haut rendement, même si les APIs spécifiques ont changé.
  • Couplez chaque chapitre avec du matériel OWASP MASTG / MASVS actuel ; la carte conceptuelle est la valeur du livre, le tooling spécifique non.

Comment ils se comparent

Nous notons Designing Secure Software plus haut (5/5 contre 3/5 pour The Mobile Application Hacker's Handbook). Pour la plupart des lecteurs, Designing Secure Software est le choix principal et The Mobile Application Hacker's Handbook un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Designing Secure Software et The Mobile Application Hacker's Handbook couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Designing Secure Software

Alternatives à Designing Secure SoftwareQue lire après Designing Secure Software

The Mobile Application Hacker's Handbook

Alternatives à The Mobile Application Hacker's HandbookQue lire après The Mobile Application Hacker's Handbook

Thématiques liées

AppSec