Na poslední konferenci WebExpo Jindřich Karásek, seniorní výzkumník kybernetických hrozeb a renomovaný odborník na kognitivní válku, měl inspirativní přednášku s názvem „Ohromující síť kognitivní války“. Jeho prezentace odhalila složitosti kognitivní války, tématu často…

Používáte službu polyfill.io? Nedávno došlo k rozsáhlému zneužití této služby. Namísto distribuce oblíbené knihovny Polyfill.js začala služba odesílat podvržený kód, který přesměrovával návštěvníky na nežádoucí stránky.

Při útoku XML External Entity Injection (XXE) může útočník na místo jím vytvořené entity v XML souboru vložit obsah nějakého jiného souboru, třeba takového, ke kterému nemá jinak přístup. Co se stane pak záleží především na vás a vaší aplikaci. O XXE ale píšu hlavně proto, abych na konkrétním příkladu ukázal proč aktualizovat na novější PHP verze spíš rychleji, než pomaleji, protože tenhle problém se už v roce 2020 defaultně vyřešil tak nějak sám vydáním PHP 8.0.

Převyprávění přednášky z JSDays 2022. Detailně a se slidy.

Na konci srpna byla v oblíbeném PHP frameworku Nette objevena a obratem opravena zákeřná chyba. Přestože autor frameworku, David Grudl, udělal snad všechno možné i nemožné, někteří se o ní nedozvěděli včas a nestihli tak aktualizovat své weby a webové aplikace. Prozradím vám pár tipů nejen pro PHP, díky kterým dostanete echo o podobných problémech mezi prvními.

SameSite cookies poskytují mechanismus, jak rozpoznat, co vedlo k načtení stránky. Jestli to bylo prokliknutí odkazu na jiném webu, odeslání formuláře, načtení uvnitř iframe, pomocí JavaScriptu atd.

Existuje několik možností, jak ověřit platnost certifikátu, pojďme si některé ukázat.

Jste v bezpečí před sledováním s vypnutým JavaScriptem? Ne. Máte vypnout i kaskádové styly? Tak ano, můžete. Ale opravdu to dáte? Podíváme se na současné hranice a možnosti sledování uživatelů webu skrze kaskádové styly. A řekneme si něco o Content Security Policy.

Společnosti Microsoft, Google, Apple i Mozilla shodně oznámily, že z jejich webových prohlížečů Internet Explorer, Edge, Chrome, Safari a Firefox počátkem roku 2020 odstraní protokoly TLS 1.0 a TLS 1.1. Návštěvníci vašeho webu už je pravděpodobně stejně nepoužívají a tak je můžete na serveru vypnout už dnes. Pojďme si to pomocí „Handshake Simulation“ v SSL Labs Server Testu ověřit.

Na začátku července jsem se rozhodl udělat průzkum českého internetu, abych zjistil, kolik webů není správně nakonfigurováno a má povolen přístup ke složce .git s repozitářem. Z dřívějška jsem měl v databázi mnoho webů s tímto problémem a zajímalo mne, jaký je skutečný stav. Průzkum se nakonec rozrostl na celý internet.