Napsal jsem

Co znamená origin, site, eTLD, eTLD+1, public suffix a PSL?
20. listopadu 2023

Říkáme tomu různě: weby, stránky, domény, servery, sajty, internety a spoléháme se na to, že tomu ten druhej bude rozumnět. Možná a možná ne, ale to se dá vždy doladit doplňujícím „počkej, jak jako server, nemyslíš spíš web?“ Jenže různé specifikace a technické dokumenty tuto vymoženost nemohou využít a tak se snaží věci nazývat správnými jmény a jednotně. A to navíc tak skvěle, že pojmy jako origin, site, same origin, same site, eTLD a public suffix se normálně ani nepřekládají, protože pak by tomu zas nikdo nerozuměl. A jak s tím souvisí atraktivita subdomén?

(celý článek…)

Přepisování obsahu HTTP odpovědí v Chrome
5. října 2023

Prohlížeč Chrome (a další, např. Edge) umožňuje přepisovat obsah i hlavičky HTTP odpovědí. O přepisování HTTP hlaviček pro testovací účely jsem psal již dříve, jak přepsat i samotné tělo odpovědi si ukážeme níže. Od Chrome 117 (vyšel v září 2023) se to navíc značně zjednodušilo.

(celý článek…)

Platnost HTTPS certifikátů od uživatelem přidaných CA je v podstatě omezena na 2 roky

Od roku 2020 je platnost HTTPS certifikátů omezena na 1 rok, přesněji 398 dní, o historii a důvodech jsem tu již psal. Ale tohle omezení platí jen pro certifikáty vydané nějakou veřejnou certifikační autoritou (CA), tedy takovou, kterou do úložiště důvěryhodných kořenových certifikátů v operačním systému a prohlížečích přidal výrobce.

(celý článek…)

Přepisování HTTP hlaviček v odpovědích v Chrome
4. května 2023 (aktualizováno 5. října 2023)

V prohlížeči Chrome (a dalších, např. v Edge) je od verze 113 možné přepisovat HTTP hlavičky v odpovědích ze serveru a lze také nějakou novou přidat. To se může hodit pokud potřebujete upravit třeba nějakou bezpečnostní hlavičku pro testování, protože k přepisu dojde ještě před zpracováním věcí jako např. CSP, takže pro konkrétní stránku můžete upravit Content Security politiku přímo v prohlížeči.

(celý článek…)

Kontrola zranitelných balíčků pomocí composer audit
25. ledna 2023

Když se v nějaké vámi používané PHP knihovně objeví bezpečnostní chyba, tak máte několik možností jak se o ní dozvědět dříve, než bude pozdě. V jednom z předchozích článků jsem popisoval PHP Security Advisories Database a její použití pomocí Roave Security Advisories i několik dalších způsobů. Všechny zmíněné ale vyžadují mít nebo používat nějaký extra balíček nebo nástroj.

(celý článek…)

Zkoumání HTTPS provozu z iOS na Windows s Fiddlerem
1. prosince 2020 (aktualizováno 9. února 2024)

Před nějakou dobou jsem si změnil heslo do Googlu. Na mém iPadu mě to odhlásilo z Google účtu a tak Fotky, Chrome a další aplikace po mě chtěly zase zadat heslo, aby mě přihlásily zpátky. Jediný problém bylo to, že místo Googlovo přihlašovacího formuláře jsem viděl prázdnou bílou stránku, nebo chybovou hlášku, která říkala jen -- (NSURLErrorDomain: -999).

(celý článek…)

Ať vás bezpečnostní chyby nenachytají na švestkách
9. listopadu 2020 (aktualizováno 19. září 2023)

Na konci srpna byla v oblíbeném PHP frameworku Nette objevena a obratem opravena zákeřná chyba. Přestože autor frameworku, David Grudl, udělal snad všechno možné i nemožné, někteří se o ní nedozvěděli včas a nestihli tak aktualizovat své weby a webové aplikace. Prozradím vám pár tipů nejen pro PHP, díky kterým dostanete echo o podobných problémech mezi prvními.

(celý článek…)

Přihlaste se na online školení bezpečnosti a HTTPS
9. června 2020

V druhé půlce června pořádám další kolo školení, tentokrát online. Vždy odpoledne, za půl peněz.

(celý článek…)

Kontrola platnosti TLS certifikátu s SSL Labs, crt.sh a OpenSSL

Prohlížeče se o zneplatnění (revokaci) certifikátu převážně nedozví a tak byste to možná chtěli zkusit ověřit ručně. Existuje několik možností, jak se zeptat Online Certificate Status Protocol (OCSP) serveru, tak si pojďme některé ukázat. Budete potřebovat browser (a nástroj openssl).

(celý článek…)

Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok
21. února 2020 (aktualizováno 2. září 2020)

Apple v únoru 2020 na setkání zástupců certifikačních autorit a prohlížečů CA/B Forum v Bratislavě (a později oficiálně) oznámil, že od 1. září 2020 bude maximální délka platnosti TLS certifikátů v Safari (a nejspíš i v celém macOS a iOS a všech aplikacích na nich spuštěných) pouze 1 rok, přesněji 398 dní. V létě toho roku se pak ke stejnému kroku odhodlal i Chrome a Mozilla. A to je skvělé, ale proč vlastně?

(celý článek…)

Nepoužívám žádnou VPN pro bezpečnost nebo anonymitu
23. října 2019

NordVPN, poskytovatel VPN služeb, byl někdy v roce 2018 hacknut. V oficiální reakci stojí, že se jednalo jen o jeden server a že to bylo kvůli nezabezpečenému systému pro vzdálenou správu, který na stroji ponechal správce datacentra. Unikly nějaké privátní klíče (to je špatné), podobný problém se prý týkal i dalších poskytovatelů VPN (to je taky špatné), ale o tomhle vlastně psát nechci (to je fajn), o tom si přečtěte jinde.

(celý článek…)

10 nejlepších značek kávy podle Have I Been Pwned

10 nejlepších značek kávy podle toho, jak moc se jejich názvy používají jako hesla. Protože ne každý výzkum hesel musí být k něčemu dobrý.

(celý článek…)

Bezpečnostní klíč pro 2FA rovnou v Androidu
11. dubna 2019 (aktualizováno 15. ledna 2020)

Google včera představil další Security Key, který se dá použít pro dvoufaktorovou autentizaci (2FA, Two-Factor Authentication, někdy též dvoufázové ověření, 2-step verification, 2SV) pro Gůglí služby. Tenhle je rovnou vestavěný v Androidu 7+, takže ho už možná máte v kapse, používá Bluetooth (ale není třeba nic párovat) a funguje zatím jen v Chrome a prohlížečích postavených na Chromiu – Google to sám označuje za beta verzi. A to je v podstatě všechno co o tom víme. Používám 2FA všude kde se dá, doporučuji to kudy chodím, takže jsem to prostě musel zkusit.

(celý článek…)

Slovenské weby v databázi uniklých hesel „Collection #1“ a dalších
23. ledna 2019

Včera jsem hledal české weby v databázi „Collection #1“ a dalších („Collection #2“ až „Collection #5“, „BigDB“), dnes jsem se podíval na ty slovenské. Některé slovenské stránky používají i čeští uživatelé a tak mi to přišlo jako dobrý nápad.

(celý článek…)

České weby v databázi uniklých hesel „Collection #1“ a dalších
22. ledna 2019

Minulý týden se hojně psalo o úniku 773 milionů účtů, kterému se přezdívá „Collection #1“. Ve skutečnosti to je několik let stará kompilace předchozích úniků, ale i tak stojí za to se podívat, které české (a slovenské) weby v této a dalších databázích („Collection #2“ až „Collection #5“, „BigDB“) jsou.

(celý článek…)

Změna URL a skrývání fbclid pomocí JavaScriptu
7. listopadu 2018

Přibližně před dvěma týdny začal Facebook přidávat „sledovací“ parameter fbclid (Facebook click id?) do všech externích odkazů, které uživatelé sdílí. A mě se to nelíbilo, tak ten parametr skrývám.

(celý článek…)

Vypněte TLS 1.0 a 1.1 už dnes
16. října 2018 (aktualizováno 23. března 2021)

Společnosti Microsoft, Google, Apple i Mozilla včera shodně oznámily, že z jejich webových prohlížečů Internet Explorer, Edge, Chrome, Safari a Firefox počátkem v polovině roku 2020 odstraní protokoly TLS 1.0 a TLS 1.1. Návštěvníci vašeho webu už je pravděpodobně stejně nepoužívají a tak je můžete na serveru vypnout už dnes. Pojďme si to pomocí „Handshake Simulation“ v SSL Labs Server Testu ověřit.

(celý článek…)

Prohlížeče postupně skrývají zámeček a je to dobře
15. října 2018 (aktualizováno 21. října 2023)

Ikoně zámečku 🔒, která označuje „zabezpečené“ stránky, se přisuzují různé kouzelné vlastnosti. Třeba to, že označuje jen důvěryhodné weby, které nezneužijí vaše hesla a data. Zámeček z prohlížečů postupně mizí a je to dobře. A proč vlastně?

(celý článek…)

Únos resetu hesel na Lítačce

Před pár týdny byl v Praze a Středočeském kraji spuštěn nový Regionální dopravní systém PID Lítačka. Ten umožňuje kupovat jízdné mobilní aplikací, nahrávat kupóny na platební karty (resp. je spolu spárovat) a ty pak přikládat k náhodným zařízením v dopravních prostředcích. A taky uměl získat odkaz na reset hesla jakéhokoliv uživatele přímo z jeho browseru.

(celý článek…)

Not secure: Chrome a weby na HTTP
25. července 2018 (aktualizováno 13. září 2023)

Včera, na moje narozeniny, vyšla nová verze Chrome 68, která začala označovat všechny weby na HTTP jako Not secure, česky Nezabezpečeno (pěknej dárek, díky!). Zatím teda jen s šedým (i) v kroužku, bez červeného vykřičníku. Spousta hojně navštěvovaných českých webů ale není připravena. A jak jsme se vlastně dostali až sem a co nás čeká?

(celý článek…)

O přidávání a mazání kódu aneb Moje práce na Report URI
30. června 2018

Začal jsem pracoval na Report URI, na nástroji, který sbírá reporty z prohlížeče v reálném čase. A to už vlastně před rokem. 27. června 2017 jsem totiž udělal první změnu v kódu. O té doby jsem přidal 709 402 řádků a odstranil jich 1 981 599.

(celý článek…)

K čemu je soubor security.txt
9. dubna 2018 (aktualizováno 28. července 2023)

Přidejte si na web soubor security.txt a umístěte do něj správné kontaktní údaje, ať lidé, kteří chtějí nahlásit bezpečnostní chyby, nemusí dlouze studovat kam report poslat. K čemu takové informace jsou vám ukážu na jednom konkrétním příkladu.

(celý článek…)

Školení od Martina Hujera, Péhápkařů a zvýšení cen

Ve školeních Úvod do PHP a Objektové PHP pokračuje Martin Hujer, další pokročilejší školení pořádají Péhápkaři. Související info: od března zvyšuji ceny školení bezpečnosti i slevy pro studenty.

(celý článek…)

Crackování hesel z úniku Mall.cz
2. ledna 2018

Hesla se dnes již necrackují pomocí „rainbow tables“ ani hrubou silou. Takže tohle nejspíš nebyl únik hesel v čitelné podobě, ale někdo těch 750 tisíc hesel vylámal a nahrál na web. Taky jsem je zkusil cracknout.

(celý článek…)

Takhle by měla vypadat reakce na nahlášení chyby
22. prosince 2017

Nahlásil jsem bezpečnostní zranitelnost typu Stored XSS a chyba byla ověřena, opravena, a záplata otestována a vydána do hodiny. V pátek. Před Vánoci.

(celý článek…)

Poslední veřejná školení Úvod do PHP a Třídy a objekty v PHP
10. října 2017 (aktualizováno 1. března 2018)

Po šesti letech jsem se rozhodl ukončit veřejné školení Úvod do PHP a Třídy a objekty v PHP, v prosinci tedy bude poslední veřejný termín. Připravuji však nějaké nové kurzy.

(celý článek…)

Změna hashování existujících hesel
5. září 2017 (aktualizováno 2. srpna 2019)

Používáte pro ukládání uživatelských hesel funkce jako MD5 nebo SHA-1 a chtěli byste to změnit na třeba bcrypt? A chcete to udělat pořádně, tedy ještě před únikem, aby byla chráněna všechna hesla ve vaší databázi? Pojďme si ukázat jak to udělat.

(celý článek…)

Chrome, ERR_SPDY_PROTOCOL_ERROR a chybná HTTP hlavička
28. srpna 2017 (aktualizováno 25. ledna 2023)

Při přesunu vašeho webu na výkonnější protokol HTTP/2 se může stát, že Chrome najednou stránku nenačte a místo toho zobrazí jen This site can’t be reached s chybou ERR_SPDY_PROTOCOL_ERROR. SPDY byl protokol, ze kterého HTTP/2 vychází, nejspíš proto chyba HTTP/2 vůbec nezmiňuje. Ukážu vám, jak to vyřešit pomocí chrome://net-export.

(celý článek…)

Čtvrté číslo newsletteru (2017, 22.-33. týden)
21. srpna 2017

Čtvrté (a poslední) číslo newsletteru převážně o bezpečnosti, bezpečném vývoji převážně webových aplikací a bezpečnosti převážně uživatelů je konečně tu.

(celý článek…)

Z letenky na Facebooku až k unesenému účtu
16. srpna 2017 (aktualizováno 16. října 2017)
Potřebujete mít web na HTTPS?
10. srpna 2017
Správce hesel jako firemní benefit
6. června 2017 (aktualizováno 26. srpna 2019)

„Náš vývojář používal to stejné heslo i na GitHubu“. Šak co se může stát, ne… kurva docela dost.

(celý článek…)

Třetí číslo newsletteru (2017, 21. týden)
29. května 2017

Třetí číslo newsletteru převážně o bezpečnosti, bezpečném vývoji převážně webových aplikací a bezpečnosti uživatelů.

(celý článek…)

Druhé číslo newsletteru (2017, 20. týden)
22. května 2017

Druhé číslo newsletteru převážně o bezpečnosti, bezpečném vývoji převážně webových aplikací a bezpečnosti uživatelů.

(celý článek…)

První číslo newsletteru (2017, 19. týden)
15. května 2017 (aktualizováno 1. srpna 2017)

První číslo newsletteru převážně o bezpečnosti, bezpečném vývoji převážně webových aplikací a bezpečnosti uživatelů.

(celý článek…)

Nulté číslo newsletteru (2017, 18. týden)
8. května 2017

Začal jsem sbírat odkazy a témata na newsletter. Tady je jeho nulté číslo.

(celý článek…)

UR browser: „VPN“ a další pohádky
25. dubna 2017 (aktualizováno 1. června 2020)

UR je rychlý a bezpečný webový prohlížeč. Díky vestavěné VPN, blokování reklam, antiviru a dalším vlastnostem vám UR pomáhá chránit vaše soukromí.

Tedy až na to, že nepomáhá. Ta „VPN“ je jenom proxy a navíc spojení mezi prohlížečem a proxy serverem není ani šifrované.

(celý článek…)

Smazané nebo „překlepové“ e-maily českých účtů na LinkedInu
3. dubna 2017

Mohl jsem unést 629 účtů na LinkedInu zaregistrováním smazaných neaktivních e-mailových adres (nebo adres s překlepy) na Seznam.cz. Ale neudělal jsem to, samozřejmě.

(celý článek…)

Kam zmizel druhý faktor ze SMS zpráv
10. února 2017

Ověřování přihlášení pomocí SMS se nedá moc považovat za „two-factor authentication“ (2FA), protože k získání kódu nepotřebuji konkrétní telefon, ani konkrétní SIM kartu. Na pozadí jedné diskuze popíšu proč a jaké jsou jiné varianty. Něco z toho byste měli používat, pokud to vámi používané služby nabízí, a je celkem jedno jestli tomu budeme říkat 2FA nebo ověřování přihlášení.

(celý článek…)

Zabezpečení přenosu dat na webu? Piánko…
18. ledna 2017

Proč jsou důležité šifrované přenosy dat na Internetu – jako třeba HTTPS – se pokusím vysvětlit bez jediného technického výrazu. Samotné „HTTPS“ zmíním až v samotném závěru.

(celý článek…)

„Jak ukládáme hesla vám z důvodu bezpečnosti neprozradíme“
14. října 2016
Když na otázku „jak ukládáte hesla?“ dostanete neurčitou odpověď nebo když vám to někdo nechce prozradit, spíš očekávejte, že vaše hesla nejsou v bezpečí.

(celý článek…)

Opera představila VPN, která vlastně není VPN. Takhle funguje
25. dubna 2016
Opera Software ve své tiskové zprávě tvrdí, že jejich „VPN“ je lepší, než tradiční VPN. No, jak se to vezme.

(celý článek…)

Jak se stahovala Sobotkova pošta? Využíval se software Hacking Teamu?
15. ledna 2016
Dělat screenshoty umí malware, který se označuje jako RAT (Remote Access Trojan), ten umí také třeba zaznamenávat stisknuté klávesy atd. Nemusí to být zrovna „špičkový software“, takových programů je určitě spousta a dělat screenshoty patří do jejich základní výbavy. Ostatně, dělat screenshoty umí i sám browser pomocí JavaScriptu.

(celý článek…)

Viděl jsem Specifikaci projektu Elektronická evidence tržeb
21. prosince 2015
„Viděl jsem věci, kterým byste vy, lidé, nevěřili“, tak začíná monolog Roye Battyho ve filmu Blade Runner a já mám po přečtení Specifikace projektu Elektronická evidence tržeb velmi podobný pocit.

(celý článek…)

Seznam s HTTPS zaspal, weboví špioni si mnou ruce
26. října 2015
Viděli jste špionážní film nebo seriál odehrávající se v posledních letech nebo blízké budoucnosti? Mizera prohlíží něco na počítači, zatímco agenti mu do počítače nahrají program, který jim ho pak pomůže vystopovat. Podobné scény se dostaly už i do South Parku. Schválně nemluvím o sci-fi filmech, protože podobné triky již do této kategorie dávno nepatří.

(celý článek…)

Seznam a weby na HTTPS – dobrá i špatná zpráva
7. října 2015
Kterou chcete slyšet první? To je jedno, já vám stejně povím nejdřív tu dobrou. Seznam vyřešil jeden z problémů s horším umístěním webů na HTTPS ve výsledcích vyhledávání. Přesun na HTTPS ale doporučuje odložit na příští rok.

(celý článek…)

Co se stalo LastPass a jak vytvářet silná a zapamatovatel­ná hesla
25. června 2015
O bezpečnostním problému oblíbeného správce hesel LastPass jste už asi zaslechli a možná si o něm i něco přečetli. Po incidentu vyšla spousta článků s informacemi pro uživatele, a poněvadž se o hesla tak trochu zajímám, tak jsem jich pár přečetl, a dokonce jsem se začetl i do komentářů, což obvykle nedělám.

Pokusím se shrnout, co o problému víme, a zabrousím i trochu do technických detailů fungování LastPassu, a tím se pokusím aspoň trochu vyvrátit některé fámy a mýty. Na závěr uvedu pár dobrých rad, jak LastPass více zabezpečit.

(celý článek…)

Mobilní aplikace Seznam – zabezpečení neznám
25. února 2015
Že Seznam kromě přebarvených nebo jinak vylepšených verzí Opery, Firefoxu a Internet Exploreru nabízí svůj vlastní prohlížeč, to jste už asi zaslechli. Že v době vydání na tom byl se zabezpečením dost mizerně, to jste se možná už taky dočetli.

A víte, že Seznam má i vlastní mobilní prohlížeče, jak pro Android, tak pro iOS? Přestaňte jásat a zadržte. Než si je do svých chytrých telefonů a jiných pádel nainstalujete, přečtěte si, co jsem o jednom z nich zjistil. Pojďme se tedy podívat, co je na webovém prohlížeči také důležitého a co může nepříjemně ovlivnit vaše soukromí. V závěru se lehce podíváme i na mobilní aplikaci Email.cz.

(celý článek…)

Informace důvěrné jako rozhovor
3. února 2015
Před pár dny jsem vyprávěl kamarádovi o zabezpečení přenosu informací po internetu. Chtěl popsat, co všechno bych mohl se špatně zabezpečeným tokem dat dělat, kdybych byl mizera. Kamarád sice provozuje internetový obchod, ale nerozumí všem těm technickým výrazům a zkratkám, a tak chtěl, abych mu na nějakém příkladu popsal, proč je to vlastně důležité a k čemu se nezabezpečená data mohou někomu hodit, zkrátka abych to k něčemu přirovnal. A já jsem si vzpomněl na jeden takový příběh, na kterém bych problematiku šifrování přenosu dat rád přiblížil i vám.

(celý článek…)

Nejčastější bezpečnostní chyby na českých webech, vysvětleny „pro lidi“
20. ledna 2015
V závěrečném shrnutí hodnocení soutěže WebTop100 2013 jsem popisoval, jak takové hodnocení vypadá (to je ten článek, kde jsme se naučili, kolik nul má kvintiliarda), kolik si u toho porotce užije legrace a kam všude mu zablokují přístup.

No, víte, ono to zas taková sranda není, takže o co bude dnešní článek méně zábavný, o to bude stejně (málo) technický. Tak nějak lidsky v něm popíšu pár nejčastějších problémů zabezpečení webů, abyste si pod těmi nulami v hodnocení dokázali představit, jak malé nebo velké problémy se na webech dají nalézt. Skočte si zalít to instantní kafe a pojďme na to.

(celý článek…)

Zdálo se mi o WebExpo 2014
28. srpna 2014
Holky a kluci, co dělají tento rok WebExpo požádali garanty a vůbec všechny, aby se podělili o svůj průchod WebExpem. Už se podělil Riki FridrichJirka Sekera, u mě byla touha podělit se dokonce tak silná, že se mi dneska v noci zdálo o tom, jak bude WebExpem prolítávat Špaček. Musím si to zapsat, abych ho náhodou nezapomněl a pak si 14. září večer neříkal „jakou přednášku jsem to vlastně chtěl vidět?“ Ten sen vypadal tedy nějak takhle…

(celý článek…)

The Reason I Built “We Bleed” and How I Did It
16. května 2014
It’s already been a month since we first heard about the Heartbleed Bug. In this article I’d like to share the results of a small weekend research project I’ve been working on.

(celý článek…)

Jak jsem ukradl sezení administrátorovi a objednal ruskou vodku za kvintiliardu
7. listopadu 2013
Zabezpečení mnoha tuzemských e-shopů je tragické. Všechny mnou hodnocené online obchody v letošním ročníku soutěže WebTop100 získaly za oblast bezpečnosti nula bodů.

(celý článek…)

Shrnutí souteže WebTop100 2012
30. srpna 2013
Měl jsem tu možnost a štěstí hodnotit weby i v minulém ročníku soutěže WebTop100, takže toto moje shrnutí bude do jisté míry srovnáním s výsledky mého bádání v roce 2011. Můj názor je totiž ten, že důležitější, než současný stav věcí, je směr, kterým se ubírají. V tak dynamickém prostředí, které nazýváme Internet, to platí dvojnásob.

(celý článek…)

CZ Podcast 75 Errata
2. dubna 2013
Před pár dny jsem konečně zjistil, kolik lidí slyšelo CZ Podcast o bezpečnosti webových aplikací, ve kterém jsem byl hostem. To číslo samozřejmě znám úplně přesně a dokonce všechny tři posluchače znám i jménem. Byl jsem to totiž já, Ondřej Mirtes a Jakub Vrána. Poslední tři jmenovaní mě zároveň upozornili na několik faktických chyb a nepřesností. Důvody, proč k těm chybám a nepřesnostem došlo nejsou podstatné, ale omlouvám se za ně. Rád bych tedy v tomto článku tyto tiskové chyby opravil.

(celý článek…)

Skype, Joltid a core technology
27. března 2013
V posledních dnech se hodně mluví a píše o Yahoo a koupi Summly. A taky o tom, že Summly nevlastní svoji “core technology”, ale že si ji pronajímá. Nevím, co tou akvizicí Yahoo sleduje a celkem je mi to jedno, ale tato situace tu není poprvé. Před pár lety se stalo něco podobného v mnohem větší míře, za víc peněz s větším rizikem.

(celý článek…)

Neautorizovaný přístup k datům
23. ledna 2013
V posledních dnech, týdnech a měsících jsem několikrát slyšel a četl o tom, že velkým hráčům unikla nějaká data, případně se někdo dostal k informacím, které vidět neměl, a to naprosto jednoduchým způsobem. „Útočník“ pouze změnil nějaké číslo v adrese stránky a v prohlížeči se mu najednou ukázaly údaje, k jejichž prohlížení nebyl autorizován. Jak je to jen možné?

(celý článek…)

České weby jsou uživatelsky příjemná bezpečnostní katastrofa
15. října 2012
Napsat dobře web není žádná legrace. Je třeba k tomu mnoho umět, dát si pozor na mnohá úskalí a překonat řadu překážek a chyb. Naučili se už konečně čeští programátoři dělat web pořádně? Na to odpoví jeden z porotců soutěže WebTop100, kterému rukama prošly dvě stovky webů. Radost vám udělá jen napůl.

(celý článek…)

Today is your lucky day
10. září 2012
O tom, že když se budete trochu snažit a trochu makat, tak dosáhnete toho, co chcete. O tom, že občas musíte být ve správnou dobu na správném místě. A taky o tom, že se vyplatí otevřít pusu nejen proto, abyste do ní nalili pivo.

(celý článek…)

Bezpečnost je míra, ne vlastnost
28. května 2012
Chtěl bych se s vámi podělit o jeden příběh, který se nedávno odehrál. A poněvadž nebyl vyroben kdesi v Hollywoodu, ale napsal ho sám vývojářův život, tak není moc veselý. Na jeho konci se totiž místo závěrečných titulků rolujících po plátně za zvuku dojemných melodií objeví přístupové údaje k databázi jedné české a mnou oblíbené (a někdy od roku 2015 již nefunkční) webové služby na sdílení obrázků Twio.cz.

(celý článek…)

WebExpo 2012 Call for Papers
21. května 2012
Necelou minutu před deadline jsem odeslal přihlášku svých dvou příspěvků na WebExpo 2012. Potvrzující e-mail, který přišel zpět má čas 23:59:53 a samotného by mě zajímalo, kolik lidí přihlášku odeslalo po mě. Díky patří organizátorům WebExpa i Jeanne Trojan, za to, že mě zcela nezištně dokopali k tomu, abych aspoň jedno téma přihlásil.

(celý článek…)

FPD aneb Full Path Disclosure
29. dubna 2012
FPD je jedna z přibližně 17576 třípísmenných zkratek používaných na Internetu a jedna z mála, kde písmeno F neznamená, hmm, třeba friend. Význam zkratky, o kterém bych vám rád povyprávěl je však důležitý pro bezpečnost webových aplikací. FPD totiž v oblasti webové bezpečnosti znamená Full Path Disclosure, do češtiny přeloženo například jako odhalení, nebo raději lépe prozrazení úplné cesty.

(celý článek…)

Mass Assignment v PHP
27. března 2012
Počátkem března se Rails komunitou prohnal hurikán jménem @homakov. Škod naštěstí nenapáchal mnoho, jenom se lehce otřel o GitHub a odnesl střechu a plot. Mohl si vzít cokoliv, ale asi by to neunesl (a to asi ani psychicky).

(celý článek…)

PHP 4 a PHP 5 zároveň na jednom fyzickém serveru s Windows XP
20. listopadu 2005
Důvod, proč provozovat PHP 4 a zároveň PHP 5 je vskutku jednoduchý, prostě to tak chceme. Ať už kvůli tomu, že budeme ohýbat staré (čti dříve napsané) aplikace (čti skripty) a zároveň psát nové a ty staré prostě nechceme, nebo nemůžeme upravovat na nové verzi PHP a ty nové, ač můžeme, tak na staré verzi PHP psát nechceme.

(celý článek…)