Nová příručka Browser Security Handbook má upozornit webové vývojáře na bezpečnostní omezení a problémy webových prohlížečů. Jejím autorem je známý bezpečnostní expert Michal Zalewski, který od loňského roku pro Google pracuje. Příručka vás…
Archiv pro štítek: bezpečnost
OpenID je zajímavá technologie pro autentizaci uživatelů a řada velkých internetových hráčů s ní nějakým způsobem koketuje. Nenastal čas, aby ji začaly podporovat přímo webové prohlížeče? Tuto otázku si klade David Recordon v článku Getting…
Proč často u webových aplikací musí uživatelé poskytovat své přihlašovací údaje třetím stranám? V dnešním článku si vysvětlíme, proč je zapotřebí standard pro autentizaci uživatelů. Představíme protokol OAuth, který by mohl zvýšit bezpečnost uživatelských účtů nejen ve Web 2.0 službách a mashupech.
Je vaše webová aplikace zabezpečená proti Cross-Site Request Forgery (CSRF)? V článku se dozvíte, co znamená CSRF. Vysvětlíme, proč se jedná o bezpečnostní riziko nezávisle na tom, zda vaše formuláře používají metodu GET nebo POST. A dále ukážeme způsob, jak se můžete vůči tomuto problému bránit.
V článku SQL Injection Cheat Sheet najdete přehled známých způsobů, kterými může dojít k útoku SQL Injection. V úvahu jsou brány databáze MySQL, SQL Server, PostgreSQL a Oracle. O ideálním řešení problému se můžete dočíst v našem článku…
Během středy a čtvrtka se stala zajímavá událost, která by těm, kdo neznají službu Twitter, unikla. Přesto stojí za zmínění, už jen protože k takové události nedochází často. Kde se vzala, tu se vzala,…
V článku si ukážeme časté bezpečnostní chyby webových aplikací (zej. SQL injection, Cross Site Scripting, Cross Site Request Forgery) a postupy, jak jim předcházet. Soustředíme se na webové aplikace napsané v Javě, zmíněné problémy se ale týkají všech webových aplikací nezávisle na použité platformě.
O vážném bezpečnostním problému zvaném clickjacking jsme se nedávno zmiňovali. Dnes přidáme několik dalších zdrojů. Zajímavou půlhodinovou přednášku, kterou měli Robert Hansen a Jeremiah Grossman na toto téma, najdete na Google Video. Stejní autoři…
Mezi přednáškami letošní konference EurOpen.CZ byla i přednáška Petra Ferschmanna o bezpečnosti webových aplikací. Autor její záznam zveřejnil na firemním blogu. Petr ve své přednášce popisuje základní útoky na webové aplikace a jak se jim…
Jedním z nebezpečí číhajících na uživatele je i clickjacking. Michal Zalewski jej v konferenci WHATWG popisuje: Zákeřná stránka na doméně A vytvoří iframe směřující na doménu B, do které je uživatel aktuálně přihlášen pomocí cookies. Stránka skryje…
