X-Wow-Security-Header
Podívejte se raději na online verzi přednášky, slajdy mohly být aktualizovány nebo doplněny.
Detail přednášky
Znáte nějaké HTTP hlavičky? Asi znáte, že. A víte, že některé ty hlavičky dělají Internet a webové aplikace bezpečnějším místem na Zemi? Pravděpodobně to tušíte. A kolik jich znáte? Všechny, jo? Paráda, takže to budu muset asi vymyslet nějaké jiné téma.
UPDATE: Jiné téma se mi nepodařilo vymyslet
Kód z přednášky naleznete na GitHubu a také níže, některé ukázky si můžete rovnou vyzkoušet na mém webu:
- Hlavička
Host - Skrytá administrace – ukázka (404 je schválně), odkrytí
- Nastavení XSS filtru pomocí hlavičky
X-XSS-Protection– ukázka - Příznak
HttpOnlyznemožní čtení cookie se session id pomocí JavaScriptu – ukázka - Content Security Policy k povolení načtení skriptů apod. pouze z daných umístění – ukázka, výpis reportů
- Zakázání načítání stránky do frame pomocí
X-Frame-Options– ukázka - Hlavička
X-Content-Type-Optionspro vypnutí detekce typu dat – ukázka - HTTP Strict Transport Security – pro vyzkoušení nainstalujte např. Fiddler, zapněte dešifrování HTTPS a zkuste načíst Facebook a Twitter a najděte jeden rozdíl
Přijďte si o těchto HTTP hlavičkách popovídat na školení Bezpečnost webových aplikací (nejbližší termín: termín zatím nevypsán).
Datum a akce
23. listopadu 2013, DevFest Praha 2013 (video)
Video záznam
Michal Špaček
Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.