Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace. (více o mně, kontakt)

Školím

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu:

Bezpečnost PHP aplikací 12.–13. března 2019 Prahanově 2 dny
HTTPS pro vývojáře a správce 14. března 2019 Praha

Školení v Praze probíhají pravidelně jednou za čtvrt roku, vždy v polovině března, června, září a prosince, v jiných městech nepravidelně.

Firemní školení

Jakékoliv veřejné školení mohu uspořádat také u vás ve firmě. Společnostem nabízím navíc i tyto kurzy:

Bezpečnost pro uživatele

Hledáte kurzy Úvod do PHP, Třídy a objekty v PHP? Předal jsem je Martinovi Hujerovi. Školení Výkonnost webových aplikací jsem ukončil, podobný kurz nabízí Martin Michálek.

Píšu články

Změna URL a skrývání fbclid pomocí JavaScriptu

7. listopadu 2018

Facebook, JavaScript, History API

Přibližně před dvěma týdny začal Facebook přidávat „sledovací“ parameter fbclid (Facebook click id?) do všech externích odkazů, které uživatelé sdílí. A mě se to nelíbilo, tak ten parametr skrývám.

(celý článek…)

Vypněte TLS 1.0 a 1.1 už dnes

16. října 2018

HTTPS, TLS, šifrování, SSL Labs, Chrome, Firefox, Internet Explorer, Edge, Safari

Společnosti Microsoft, Google, Apple i Mozilla včera shodně oznámily, že z jejich webových prohlížečů Internet Explorer, Edge, Chrome, Safari a Firefox počátkem roku 2020 odstraní protokoly TLS 1.0 a TLS 1.1. Návštěvníci vašeho webu už je pravděpodobně stejně nepoužívají a tak je můžete na serveru vypnout už dnes. Pojďme si to pomocí „Handshake Simulation“ v SSL Labs Server Testu ověřit.

(celý článek…)

Prohlížeče postupně skrývají zámeček a je to dobře

15. října 2018

HTTPS, zámeček, šifrování, Forbes, Chrome

Ikoně zámečku 🔒, která označuje „zabezpečené“ stránky, se přisuzují různé kouzelné vlastnosti. Třeba to, že označuje jen důvěryhodné weby, které nezneužijí vaše hesla a data. Zámeček z prohlížečů postupně mizí a je to dobře. A proč vlastně?

(celý článek…)

Všechny články

Přednáším

Oblíbené

HTTP hlavičky, Subresource Integrity a spol. chrání vaše návštěvníky před bezpečnostními chybami
XSS PHP CSP ETC OMG WTF BBQ, o Cross-Site Scriptingu a Content Security Policy
Hlava není na hesla, použijte na ně raději password manager
HTTPS, co, proč, jak, zač, nač, kdy, kde, s kým a proti komu
Webová bezpečnost, popis několika základních útoků i méně známých triků
Jak jsme zlepšili zabezpečení Slevomatu a jak byste měli udělat to samé
Zahashovat heslo, uložit, …, profit!, o správném hashování hesel

Budu přednášet

…třeba na vaší akci nebo konferenci, napište mi!

Přednášel jsem

XSS PHP CSP ETC OMG WTF BBQ
14. ledna 2019, PHP UserGroup Dresden Meetup I/2019 – CTF & Security (45 minut)

Posilujeme defenzivu s Michalem Špačkem aneb Branky, body, bezpečnost
29. listopadu 2018, Livesport Talk VII (30 minut)

Úniky dat, co to vůbec je a jak na ně reagovat
15. listopadu 2018, WebTop100 2018 (25 minut)

Cracking passwords, or why use password_hash()
28. října 2018, phpCE 2018 (50 minut)

Vyhledávejte na netu jako MacGyver
6. října 2018, LinuxDays 2018 (50 minut)

Všechny přednášky

Odpovídám na otázky

Blokování webů a stránek
4. června 2016, Český rozhlas Online Plus

Na 11. srazu Na volné noze
4. června 2016, 11. sraz Na volné noze

Webový vývojář musí mít hackerské myšlení
30. května 2016, Kyberbezpečnost.cz

Hlavní je používat hlavu, ale ne na hesla
3. května 2016, Host Radiožurnálu

Jak zvýšit zabezpečení vašeho webu?
17. února 2016, MladýPodnikatel.cz

Všechny rozhovory