Cyber Shelf

// Comparaison

Real-World Cryptography vs The Tangled Web : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
5/52021
Real-World Cryptography

David Wong

Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.

Avancé
5/52011
The Tangled Web

Un guide pour sécuriser les applications web modernes

Michal Zalewski

Le livre le plus profond jamais écrit sur le modèle de sécurité étrange et accumulé du navigateur web.

À lire si

Ingénieurs qui doivent prendre des décisions cryptographiques dans de vrais systèmes : AEAD, échange de clés, signatures, hachage de mots de passe, PKI, chiffrement de bout en bout, migration post-quantique. Le nouveau standard moderne, et le livre que nous recommandons en premier à quiconque touche à la crypto en production.
Quiconque construit, attaque ou audite des systèmes basés sur le navigateur et veut savoir pourquoi les règles sont ce qu'elles sont.

À éviter si

Chercheurs en cryptographie ou lecteurs qui veulent les preuves mathématiques complètes. Les maths sont bornées au strict nécessaire pour évaluer des choix, pas pour reconstruire les preuves. Pour la profondeur suivante, lire Serious Cryptography après celui-ci.
Débutants, Zalewski suppose que vous avez déjà touché la surface et voulez le substrat. Commencez plutôt par PortSwigger Academy.

Points clés

  • La majorité des vulnérabilités crypto sont des erreurs d'usage, pas des primitives cassées ; le cadrage de Wong (« quoi utiliser, quoi éviter ») est le plus net qui soit publié.
  • TLS 1.3, Noise et les protocoles façon Signal composent les primitives selon des patterns que tout ingénieur devrait reconnaître à vue, ce livre apprend à les voir.
  • La cryptographie post-quantique n'est plus optionnelle ; le livre introduit les constructions à base de réseaux et de hachages que vous déploierez d'ici quelques années.
  • Le modèle de sécurité du web n'est pas conçu ; il est excavé.
  • Origines, schémas et limites de confiance sont les seules vraies abstractions ; tout le reste est une négociation poreuse.
  • Spécifications et réalité divergent constamment, et la divergence est là où vivent les bugs.

Comment ils se comparent

Real-World Cryptography et The Tangled Web sont tous deux notés 5/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Real-World Cryptography vise le niveau intermédiaire. The Tangled Web vise le niveau avancé. Lisez le plus accessible d'abord si la thématique ne vous est pas familière.

Real-World Cryptography et The Tangled Web couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Real-World Cryptography

Alternatives à Real-World CryptographyQue lire après Real-World Cryptography

The Tangled Web

Alternatives à The Tangled WebQue lire après The Tangled Web

Thématiques liées

AppSec