中文版纠错表_Web之困:现代Web应用安全指南书评-查字典图书网
查字典图书网
当前位置: 查字典 > 图书网 > 互联网 > Web之困:现代Web应用安全指南 > 中文版纠错表
danzhu Web之困:现代Web应用安全指南 的书评 发表时间:2013-10-24 13:10:28

中文版纠错表

唉,无错不成书!道理我也知道,何况自己的水平摆在那里,不错也不可能!不过看到出错总是不甘心啊不甘心。所以只能事后修补了,在这里建个纠错表吧,大家有发现什么问题都可以告诉我,以后要是重印希望可以改正啦。
但素(这里必须有个但素),千万表被这篇纠错表的长度吓倒,贸然决定投身英文版!首先纠错表里的前半段在现版本中(2印以后)已得到纠正,这部分也是最主要的错译;其次,后半段的纠错,实际上很多纠的是原书的错误,是非常有价值的(感谢那位细心的读者@Tiecheng),是原书也没有滴。
最后,作为被本书英文版坑了一路的译者(此处涕泪交织滂沱T..T),弱弱地建议不要轻易尝试通读此书原版 —— 读完需要莫大的勇气和巨多的时间,三思而行啊。此书英文非常绕非常难懂!但非常建议用中文版和英文版交叉对照阅读,以给我提供意见和勘误。:)

另外也很感谢这位读者(@Pythoner)细致的思维图总结和纠错:
http://www.pythoner.com/386.html
有看书看到最后忘了前面的,可以下载一份,帮助记忆,总结都很全面用心。


==↓↓↓↓↓ 最最严重的几个错误!(这部分在第二次印刷版本里已修改) ↓↓↓↓↓==
P29,但却未禁止非保留字符不能以编码形式出现,这句话是不是应该变成“但却未禁止非保留字符以编码形式出现” (by @沈沉舟)
P67,第一行,“引号括起来的字符串”==>“引号字符”!这真是最脑子入水的一个错误了! !!
P89, ““}”这些字符都需要做转义处理,使用数字编码形式的转义编码时要引号括起来。” ==> ““}”和单双引号这些字符,都需要使用数字编码形式的转义处理。” —— 和上一条类似,这个也错得非常脑残!
P88,“所以许多CSS解析器也能接受未被引号括起的字符串里的任意转义序列” ==>“所以许多CSS解析器对本该用引号括起来的字符串,也支持转义方式的写法。”
P32 中段那个举例的URL,实际上应该是:http://example.com/.wholesome-domain.com/
examples.com后面有个黑底反白的斜杠!现在却把o字母给反白了,斜杠没了,所以那句解释看起来就很无厘头。


==↓↓↓↓↓ 以下是其他细节版(这部分错误第二次印刷版本里已修改) ↓↓↓↓↓==
P135,第2段L1:这种由协议-域名-端口三元素组合在一起的算法就叫”源“-->此算法引入的这种“协议-域名-端口”三元组就叫“源“(@jxxy)
p144L8,差不多等同与绕过--->差不多等同于绕过 (@jxxy)
P41,L12,...的25端口有上运行着.. ==>“有”字多余(@jxxy)
P75,“见图4-1中的左图” ==>“以图4-1中左边的窗口为例”
P76,"百分号编码机制先进行转义" ==> “百分号编码机制转义”
P78,4.5.4章节标题往上的一行里,“一个单独的页面” ==>“同一个页面”
P81,倒数第二段里,“以恰当的语言转义方式” ==>“都应该以对应语言所适用的转义方式”, 因为上面这里提到了js,css两种语言,就是要按照它们各自的语法要求进行转义。
P84,最后的“注意”里,“在这个例子里” ==>“如这个例子所示”
P88,“所以许多CSS解析器也能接受未被引号括起的字符串里的任意转义序列” ==>“所以许多CSS解析器对本该用引号括起来的字符串,也支持转义方式的写法。”
P89,唉,又一个脑残级错误!““}”这些字符都需要做转义处理,使用数字编码形式的转义编码时要引号括起来。” ==> ““}”和单双引号这些字符,都需要使用数字编码形式的转义处理。”
P105,下半页的位置里,“也会按照规定的语法”==>“会先按照规范的语法”
前言第三段,“几乎每个如今值得说道的在线应用,都因为贪方便凑合着用从早期互联网搬过来的技术,导致后期付出了沉重代价” ==>"几乎每个如今值得说道的在线应用,都曾由于使用了那些早期贪方便胡乱拼凑的互联网技术,导致以后付出了沉重的代价" (by @jxxy)
和上面同一段,“很特定的一种”==>“很特定的一个类别”(by @jxxy)
P31,倒数3行“那38个的字母” ==>“那38个字母”
P45,第一段“这个请求头都必须存在”==>“这个请求头却必须存在”
P51,第一段“RFC4918里描述这个HTTP方法是用于写作和版本控制协议的。”==>“RFC4918描述了这个用于写作和版本控制协议的HTTP方法。”
P61,那段“未被采纳的建议”里,“给与”==>“给予”
P61,最后一行,“为何不用于几年前”==>“为何不用在几年前”
P64,“并把最后一个句号....其他句号...”里的“句号”,可能不够准确,中文读者会认为是“。”符号,其实应该是点号“.”,原文是period,也许该用“句点号”?
P66,第一段的最后,“文本对象模型”==>“文档对象模型”
P66,4.1章节里的第一段,“则文本节点”==>“而文本节点”
P67 那段“注意”里,“导致一种常见...”==>“导致一系列常见...”
P67,第一行,“引号括起来的字符串”==>“引号字符”!
P72 "则代表个好看的unicode箭头" ==>“则代表一个好看的unicode箭头”
P72那段注意里,“如果能用来处理不受信任的内容,后者明显是不安全的” ==> “如果这个外部URL的内容是有问题的,则很明显后一种命名实体的定义方式就不安全了”
P73 "javascript: 伪URL" ==> javascript: 形式的伪URL绝对引用... (原来的两边引号都可以去掉)
沈沉舟 : P29,但却未禁止非保留字符不能以编码形式出现,这句话是不是应该变成“但却未禁止非保留字符以编码形式出现” ——确实,没表达好!
P92页,译注中第二个parsing错了。第一个是对的,第二个变成pasring。
P100页,第三行,"given_name" 前面的那个问号,不知道打哪里冒出来的,其实是没有的。
字体问题:唉,出版社的字体选择问题吧,结果书中很多示范代码里原本该是黑体的地方,“黑”得很不明显!这都没法一一纠错了,只能大家自己去对那个英文电子版吧。那些黑体提示还是有意义的。

================ 以上为 2013年的分割线 ================
从分割线往上的部分,都是本书第2次印刷后,已做修改的错误。
从分割线往下的部分,都是本书第2次印刷后,仍然存在的错误,亟待第三次印刷才能修改了。
================ 以下为 2014年的分割线 ================
2014年10月3号,收到一份非常详尽的纠错列表,让人心服口服,这位细心的读者(Wu Tiecheng)不但找出了我在翻译中的错误,还有前后不够一致的,不够符合常规用法的各种问题,甚至找出了很多原书就带过来的错误,非常令人佩服。衷心感谢!希望这些问题都能在后续的版本里得到修正(2014/10/20)。

以下列表还不是邮件里的全部,部分格式相关的小错未能尽录。

p.49 3.2.2里“很多浏览器在重新加载包含POST方式的数据时”==>“很多浏览器在重新加载通过POST方式获得的数据时”
p.51 3.2.9 “RFC 491812里描述这个HTTP方法是用于写作和版本控制协议的。”==>“这是一种分布式创作和版本控制协议,其规范由 RFC 4918描述。”
p86 第5行“-moze-binding” ==>“-moz-binding”
p86 第6行 “moz-binding 是Firefox特有的...”==> “-moz-binding 是Firefox特有的...”
p92 第3行 “display_str(text);”==> “display_string(text);”
p99 6.1.5 章节里第一段第3行 “重写大括号”==>“重载大括号”
p138 倒数第二行 “自感染”==>“自伤式”
p148 9.1.5 章节中,“AllowScriptAccess参数”一段中,两个“sameorigin”都应该是“sameDomain”
p149 第2行 “allowScriptAccess=none”==>“allowScriptAccess=never”
p155 9.6.6章节,第二段第二行,“Chrome对JavaScript”==>“Chrome对特权JavaScript”
p171 中间“X-Frame-Options: same-origin”==>“X-Frame-Options: sameorigin”
p178 倒数第6行 “frameElements”==>"frame"
p178 倒数第3行 “X-Frame-Option“ ==> “X-Frame-Options“
p202 第3行 “X-Content-Options:nosniff”==> “X-Content-Type-Options:nosniff”
p208 第5行 “Window.prompt()”==>“window.prompt()”
p209 最后一段里的注释,“出于可用性的考虑,除了这个专用的onbeforeunload对话框,互联网上的页面就没有其他退出浏览器的方式了。(但令人惊讶的是,这个原本专门用于把用户永久地困在一个恶意页面并取消任何跳转尝试的做法,实际上并不是太受欢迎。)”==>“出于可用性的考虑,互联网页面一旦进入图示这种暂停浏览的状态,就只有通过这一特定的onbeforeunload对话框,才能恢复到正常的浏览状态。(原本可以利用这个机制,把用户永久地困在某个恶意页面,令人惊讶的是,这种做法实际上并不受欢迎。)”
p222 第3行“视频”==>“摄像头”
p227 第2段的最后一句话里,“AccessControl-Request-Method”==>“Access-Control-Request-Method”
p227 第3段的第一句话里,“Access-Control Allow-Origin”==>“Access-Control-Allow-Origin”
p227 “CORS的现状”第一段第2行,“没有采纳”==>“延缓采纳”
p229 16.1.3 第二段最后一句“XSFR”==>“XSRF”
p231 “插件内容”一节第一句话里,“控制插件对所在页面的访问权限”==>“控制可以加载哪些插件”。
p237 第一行最后部分,“设置为安全...”==>“带有Secure标记”
p239 最后一段上面的那句示例,“XSS-Protection: 1; mode=block”==>“X-XSS-Protection: 1; mode=block”
p243 “降低HTTP网络开销”一节里,“响应握手”==>“挑战-应答握手认证”
p244 第一行的最后,“不支持序列化查询”==>“查询时不需要对数据进行序列化处理”
p244 "5.页面渲染显示" ==>"5.页面渲染预处理"

展开全文
有用 25 无用 0

您对该书评有什么想说的?

发 表

推荐文章

猜你喜欢

附近的人在看

推荐阅读

拓展阅读

对“中文版纠错表”的回应

dinny 2013-12-23 16:44:11

@danzhu 你错了。ituring社区每本书都有勘误的字段。快亮出真相来拜拜哥哥!

danzhu 2013-12-13 17:24:41

@大头 多谢理解!现在的作译者和出版社,好像都不太作兴提供纠错表,使得读者误以为没有纠错表==没有错误了!真是大谬啊。我是没有能力召回一印的书了,能做的也只有慢慢维护这里了。

大头 2013-12-13 16:29:05

是的,译者和编辑如果有着这样的态度持续维护,也是质量有保证的一个佐证。

danzhu 2013-12-13 14:11:58

@呵呵呵啊呵 啊,楼上的,不好意思呀,吓倒你了!其实真正的错误是置顶的几条,置顶的几条里,有些是印刷问题,只有几条是真正的错译, 我自己觉得其实已经不算很多了。后面详情里的,只是一些漏字和表达不够完美,不算大错,属于不影响理解的。

我觉得如果对这个主题有兴趣,还是值得一看的,上面那些纠错你拿书对着改也不用10分钟。实在是完美主义者的话,可以再等2个月,等市面上卖的都是2印版本时再下手好了(2印已经改过)。价钱嘛,我觉得苏宁就很便宜啊。

题外话:没有纠错表的书不是好书啊!没有一本书一印会没有错误的啊。

AndyRon 2013-12-13 11:34:05

这么多错误啊,犹豫要不要买了,还有那价格颇高啊!不过内容很吸引我啊,看了目录后就像看了~~

danzhu 2013-11-16 21:26:20

@jxxy “源”的3元素这条,确实译得有偏差,我再改改。
但dns劫持的那个,我倒觉得自己的没错。因为如果是攻击者自己输入自己访问的,对他来说没意义啊。应该是攻击者诱使受害者去访问一个dns会解析出错的地址,然后ips机构又做了dns劫持,就把受害者的访问跳到有问题的广告站点上去了。

jxxy 2013-11-16 13:08:05

p147L10,攻击者只要让受害者访问一个不存在的网址……——我怎么感觉是攻击者自己随意输入一个不存在的地址?

jxxy 2013-11-16 12:41:39

p144L8,差不多等同与绕过--->差不多等同于绕过。

jxxy 2013-11-16 10:10:37

P135,第2段L1:这种由协议-域名-端口三元素组合在一起的算法就叫”源“。-->此算法引入的这种“协议-域名-端口”三元组就叫“源。

”源“是这个”三元组“,不是算法。The protocol-host-port tuple introduced by this algorithm is commonly referred to as origin.

danzhu 2013-11-11 12:21:45

恩,会的。那收到后就对这个纠错表,最主要是最上面那几条!

大头 2013-11-11 12:14:49

@danzhu 呃,已经等送货了。二刷会修订错误么?

danzhu 2013-11-11 12:07:22

@大头 如果不急的话,等第二次印刷的吧,汗!

@may五一,事情多,也没看完,这次只能先改这些了。

大头 2013-11-11 12:04:50

昨天在家忙活下单,不留神买了两本,还好来得及取消订单重新下单。

may五一 2013-11-11 11:48:18

非常感动译者如此认真负责,读这本书还有什么不放心的呢。

undefined 2013-10-31 18:05:30

所以说电子书 才是王道@$@,容易纠错修改~~

大头 2013-10-30 11:02:44

关注,买一本!

danzhu 2013-10-25 16:55:33

哈,我也是个人意见,不过你看下去肯定会看到很多这类略有调整的处理,别介意哈。

Ch'enMeng 2013-10-25 16:48:30

@danzhu 额,个人意见……

danzhu 2013-10-25 16:30:01

我再想了想那个approaches,有点想起来我为啥没用更明确的“方法,方案”了。我觉得这里他本来就用得很含糊,既说到了方法,也谈到了理念,所以干脆也用了个很含糊的词。我觉得真用“方法”反而太落到实处了,这章挺务虚的说。

danzhu 2013-10-25 16:24:32

好,我回去再对一下。

Ch'enMeng 2013-10-25 16:23:43

@danzhu "信息安全之道“。第一章的后面实际上是在讲安全的几种评判标准,所以觉得这里的”道路“的感觉没那么明显,”方法、方案、提议“这样子倒是比较合适。

Ch'enMeng 2013-10-25 16:22:33

[TYPO] Sec 1.2.2, Par 2: "如 Cookie", 应为 Cookies.

danzhu 2013-10-25 16:21:08

不过老实说,这类问题我估计有很多。整体来说确实不够很精确对译,反正在不影响理解的前提下,经常怎么顺手怎么来。

danzhu 2013-10-25 16:15:53

我翻成啥了?完全不记得。

Ch'enMeng 2013-10-25 16:10:43

[ADVICE] Sec 1.1, Par 3: Let’s look at some of the most alluring approaches to ensuring information security. 此处 approach 翻译成“方案/方法”似乎更好?From AHD: The method used in dealing with or accomplishing.

Ch'enMeng 2013-10-25 15:44:30

嘛,出版社有时候是应该负责任的。。纠错了姐姐有奖不啊~~~~~~~~