Podívejte se raději na online verzi přednášky, slajdy mohly být aktualizovány nebo doplněny.

Detail přednášky

Moderní web je trochu jiný, než ten v dobách, kdy na počítačích vládl IE6. Dnes nevěříme ničemu, cokoliv pošle browser může být podvržené např. vloženým JavaScriptem, který je sice dobrý sluha, ale umí být i zákeřný pán. Jsou ale chvíle, kdy můžeme věřit i browseru: v přednášce si povíme o Sec-* hlavičkách a ukážu, jak jsme si díky nim a díky mému oblíbenému Content Security Policy (CSP) z těch třech vrcholů pomyslného trojúhelníku rychle-levně-kvalitně vybrali všechny tři.

CSP se dnes nepoužívá tak často, jak bych si sám přál, možná proto, že často panuje názor „nám se to přece stát nemůže“. Takže když u CSP budeme mluvit, tak zmíním tzv. Magecart útoky, které kradou čísla kreditek přímo z formulářů, do kterých se zadávají. Protože na tom dojít k bankomatu a dát tam skimmer je nejtěžší to dojít k bankomatu, že. Od roku 2025 díky PCI DSS 4.0, standardu pro ochranu dat platebních karet, budeme na platebních stránkách vídat CSP nebo nějakou podobnou věc mnohem častěji, dalo by se skoro říct furt.

Detail přednášky na webu akce

Datum a akce

8. října 2023, LinuxDays 2023 (délka přednášky 50 minut, video)

Slajdy

Místo slajdů jsem se rozhodl obsah publikovat jako články. Tady je první: Co znamená origin, site, eTLD, eTLD+1, public suffix a PSL?

Video záznam

Video záznam

YouTube

Michal Špaček

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu: