O bezpečnosti webových aplikací – záznam přednášky z konference EurOpen.cz

Zprávičky ‐ Martin Hassman ‐ Různé ‐ 29. 10. 2008

Mezi přednáškami letošní konference EurOpen.CZ byla i přednáška Petra Ferschmanna o bezpečnosti webových aplikací. Autor její záznam zveřejnil na firemním blogu. Petr ve své přednášce popisuje základní útoky na webové aplikace a jak se jim…

Clickjacking: nebezpečí číhající na uživatele webových aplikací

Zprávičky ‐ Martin Hassman ‐ Různé ‐ 8. 10. 2008

Jedním z nebezpečí číhajících na uživatele je i clickjacking. Michal Zalewski jej v konferenci WHATWG popisuje: Zákeřná stránka na doméně A vytvoří iframe směřující na doménu B, do které je uživatel aktuálně přihlášen pomocí cookies. Stránka skryje…

Simon Willison o bezpečnosti webových aplikací

Zprávičky ‐ Martin Hassman ‐ Různé ‐ 18. 9. 2008

Simon Willison ve své prezentaci Když AJAX útočí na @media AJAX shrnuje typické bezpečnostní problémy, které by měl každý webový vývojář dobře znát, zejména Cross-site Scripting (XSS) a Cross-site Request Forgery (CSRF). Prezentace…

Bezpečnostní problém gadgetů v iframe

Zprávičky ‐ Martin Hassman ‐ Různé ‐ 18. 9. 2008

Michael Mahemoff (spoluautor knihy The Art & Science of JavaScript) se zamýšlí nad bezpečností gadgetů na webových stránkách. Gadgety jsou malé webové aplikace obvykle hostované v iframe jiné webové stránky. Michael upozorňuje, že běh…

TypeScript 7 v Go: rychlejší buildy, chybějící API

Betaverze TypeScriptu 7.0 ukazuje víc než rychlejší tsc. Microsoft převádí kompilátor a jazykovou službu z původní kódové základny psané v TypeScriptu a běžící jako JavaScript do Go, přidává paralelní typovou kontrolu a připravuje novou editorovou část postavenou na LSP. Pro část nástrojů ale nepůjde o prostou výměnu binárky: TypeScript 7 zatím nemá stabilní náhradu dnešního Compiler API.

Data blíž k uživateli: kde naráží local-first web

Schéma synchronizace lokální databáze s cloudem

Local-first web dnes neznamená jednu architekturu, ale několik různých kompromisů: lokální databázi v prohlížeči, repliku čtení z PostgreSQL nebo CRDT model pro souběžné úpravy. Každý přístup posouvá data blíž k uživateli, ale zároveň přidává nové otázky kolem persistence, konfliktů, autorizace a provozu.

Prolog nezmizel. Jen dnes žije v jiných nástrojích

Prolog nezmizel. Jeho hlavní myšlenku dnes potkáváme v nástrojích, které se Prologu na první pohled nepodobají: v CodeQL pro analýzu kódu, v Rego pro policy-as-code, v Z3 pro práci s omezeními a v Leanu pro formální důkazy. Každý řeší jiný problém, ale všechny připomínají totéž: někdy je lepší popsat vztahy, pravidla, omezení nebo tvrzení než vrstvit další if.

Archiv pro štítek: bezpečnost