Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace. (více o mně, kontakt)

Školím

A takhle to dopadá: Michalovo školení jsem původně domlouval primárně pro svoje kolegy, protože já přece "všechno z osnovy školení znám"... Z omylu mě Michal hned první hodinu prvního dne a pak postupně celé dva dny. Teprve díky tomuto školení jsem některé koncepty útoků/obran pochopil v plné šíři, hloubce a hlavně správném kontextu. — Jan Pospíšil, Senior PHP developer, Český rozhlas

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu:

Školení v Praze (příp. online) probíhají pravidelně jednou za čtvrt roku, vždy v polovině března, června, září a prosince, v jiných městech nepravidelně.

Firemní školení

Jakékoliv veřejné školení mohu uspořádat také u vás ve firmě. Společnostem nabízím navíc i tyto kurzy:

Hledáte kurzy Úvod do PHP, Třídy a objekty v PHP? Předal jsem je Martinovi Hujerovi. Školení Výkonnost webových aplikací jsem ukončil, podobný kurz nabízí Martin Michálek.


Píšu články

Platnost HTTPS certifikátů od uživatelem přidaných CA je v podstatě omezena na 2 roky

Od roku 2020 je platnost HTTPS certifikátů omezena na 1 rok, přesněji 398 dní, o historii a důvodech jsem tu již psal. Ale tohle omezení platí jen pro certifikáty vydané nějakou veřejnou certifikační autoritou (CA), tedy takovou, kterou do úložiště důvěryhodných kořenových certifikátů v operačním systému a prohlížečích přidal výrobce.

(celý článek…)

Přepisování HTTP hlaviček v odpovědích v Chrome
4. května 2023

V prohlížeči Chrome je od verze 113 možné přepisovat HTTP hlavičky v odpovědích ze serveru a lze také nějakou novou přidat. To se může hodit pokud potřebujete upravit třeba nějakou bezpečnostní hlavičku pro testování, protože k přepisu dojde ještě před zpracováním věcí jako např. CSP, takže pro konkrétní stránku můžete upravit Content Security politiku přímo v prohlížeči.

(celý článek…)

Kontrola zranitelných balíčků pomocí composer audit
25. ledna 2023

Když se v nějaké vámi používané PHP knihovně objeví bezpečnostní chyba, tak máte několik možností jak se o ní dozvědět dříve, než bude pozdě. V jednom z předchozích článků jsem popisoval PHP Security Advisories Database a její použití pomocí Roave Security Advisories i několik dalších způsobů. Všechny zmíněné ale vyžadují mít nebo používat nějaký extra balíček nebo nástroj.

(celý článek…)

Všechny články


Přednáším

Oblíbené

Budu přednášet

…třeba na vaší akci nebo konferenci, napište mi!

Přednášel jsem

DOM XSS and Trusted Types anglicky
11. května 2023, OWASP Czech Chapter Meeting (60 minut)

Co zajímá Špačka na nových verzích PHP?
6. října 2022, 51. sraz přátel PHP v Praze v CareCloudu (15 minut)

Každej den je pátek, dejte mi od deployování svátek
3. června 2022, PHP live 2022 (40 minut)

Jak princezna finálně zatočila s (DOM) XSS
17. února 2022, JSDays 2022 (60 minut)

HTTPS není jen ten zámeček
25. listopadu 2021, Webinář Asociace pro elektronickou komerci (APEK) (240 minut)

Všechny přednášky


Odpovídám na otázky

Michal Špaček: Před připojováním na veřejné Wi-Fi sítě už nevaruju
5. září 2022, Lupa.cz

O temné straně UX designu
1. března 2022, BlueGhost Update

Bezpečnost na internetu
2. února 2021, Jak na sítě

Grading How Companies (In)Securely Store Passwords
1. srpna 2019, All Things Auth Podcast

Engage in Continual Learning to Advance your IT Career
3. května 2019, IT Career Energizer

Všechny rozhovory