Byla objevena bezpečnostní chyba v protokolu OAuth

Zdroják » Zprávičky » Byla objevena bezpečnostní chyba v protokolu OAuth

Nálepky:

V protokolu OAuth, který slouží pro autentizaci aplikací, byla objevena chyba. Chyba tedy nepochází, ze špatné implementace, ale je obsažena přímo ve specifikaci samotného protokolu (tudíž jí trpí všechny správné implementace protokolu OAuth), jen si jí před tím nikdo nevšiml. Na opravě se pracuje. Detailnější popis problému najdete na oauth.net, podrobný popis problému pak v článku Explaining the OAuth Session Fixation Attack. Více o vlastním protokolu OAuth se dozvíte z našeho článku OAuth – nový protokol pro autentizaci k vašemu API.

Martin Hassman

Martin Hassman založil a řadu let vedl magazín Zdroják, absolvoval VŠCHT Praha, pořádal řadu konferencí, pomáhal s rozšířením otevřených technologií, byl u založení projektů CZilla, Dáme roušky a dalších. Vymyslel a dva roky vedl dobrovolnický projekt Movapp pod Česko.Digital. Nyní pracuje jako produktový manažer v datové platformě Golemio.cz.

Komentáře

Odebírat

0 Komentářů

Nejstarší

Nejnovější Most Voted

Inline Feedbacks

Zobrazit všechny komentáře

AI code review nenahradí seniora. Špatně nasazený bot jen přidá další práci

AI code review zvládá první průchod — shrnout diff, najít rutinní vzory a upozornit na chybějící test. Jako náhrada lidského review ale neobstojí: data ukazují vyšší abandonment a často nízký poměr signálu k šumu. Nasazení proto stojí na pravidlech, úzkém mandátu a měření, ne na výběru dodavatele.

OpenTelemetry v JavaScriptu nestačí zapnout. Bez Collectoru rychle ztrácíte kontrolu

OpenTelemetry v JavaScriptu má smysl hlavně v Node.js: stabilní jsou traces a metrics, logs zůstávají ve vývoji a browserová instrumentace je experimentální. SDK ale není architektura observability. Sampling, sanitizaci citlivých atributů, kardinalitu i export má držet Collector, ne samotná aplikace.

Baro vs. Claude Code: Když paralelní agenti prohrají s jedním sezením (a co s tím udělat)

Více agentů musí být rychlejší než jeden, ne? Miodrag Todorović z JigJoy postavil baro - CLI, které paralelně spouští pět Claude sezení místo jednoho - a postavil ho proti novému příkazu /goal v Claude Code. Čekal jasnou výhru paralelismu. Místo toho prohrál v čase, v tokenech i v kvalitě výsledného kódu. Z analýzy tří konkrétních selhání ale vyšel jeden nečekaný závěr: problém nebyl v koordinaci mezi agenty, ale v rozhodnutích, která padla ještě před tím, než se kdokoli z nich probudil. Oprava trvala 200 řádků kódu - a v odvetě baro porazilo /goal o 4 minuty.

Byla objevena bezpečnostní chyba v protokolu OAuth

Nálepky:

Martin Hassman

Komentáře

AI code review nenahradí seniora. Špatně nasazený bot jen přidá další práci

OpenTelemetry v JavaScriptu nestačí zapnout. Bez Collectoru rychle ztrácíte kontrolu

Baro vs. Claude Code: Když paralelní agenti prohrají s jedním sezením (a co s tím udělat)

Sledujte Zdroják:

Hádej co? Cookies!