Provoz webu na zabezpečeném protokolu https je dnes už téměř nutností. Šifruje spojení mezi webem a návštěvníkem, takže není možné odcizit hesla a jiná data, která návštěvník zadává do formuláře webu. Druhou výhodou…
Archiv pro štítek: bezpečnost
Před 2 lety, přesně 11. ledna 2013 spáchal sebevraždu Aaron Swartz (@aaronsw) – spolutvůrce RSS, Markdownu, proxy Tor2web, licence Creative Commons, redditu a dalších. Aaron byl soudně stíhán za hromadné stažení velkého množství věděckých…
Ve čtvrtek 18. prosince proběhne za podpory společnosti ESET konference na téma IT bezpečnosti pořádaná českou pobočkou mezinárodní neziskové organizace zaměřující se na bezpečnost v IT – OWASP Czech Republic. Na konferenci na půdě pražského…
Dnes vám nabídneme k zamyšlení fiktivní příběh fiktivního člověka. Poselství příběhu už ovšem fiktivní není.
Včera nahlášená chyba v Bashi může být zneužitelná skrze web server – viz průzkum Roberta Grahama. Její rozsah bude podle Roberta srovnatelný s Heartbleed. Princip chyby předvádí následující kód, který kromě bash skriptu spustí…
V dnešním díle se budeme věnovat správě uživatelů a přístupových práv, tedy autentizaci a autorizaci. Pomocí frameworku web.py a rozšiřujícího modulu si vytvoříme jednoduchou aplikaci vyžadující přihlášení. Také si popíšeme základy přechovávání uživatelských jmen a hesel.
V dnešnej dobe plnej webových frameworkov, databázových knižníc a ORM by som tak trochu čakal, že webov náchylných na SQL Injection už nebude veľmi veľa. Opak je však pravdou a zaútočiť na tieto weby pomocou SQL Injection už môže naozaj ktokoľvek, stačí mu len vhodný nástroj a trochu trpezlivosti.
Je to už nějaká chvíle, co se Internetem šířila zpráva o chybě Heartbleed. Mimo jiné ukázala, že autentizace pomocí hesel není dokonalá. Pojďme si ukázat, jak implementovat autentizaci, která hesla nevyžaduje.
Čtvrtkon je pravidelná akce českobudějovické webové komunity. Dnešní, v pořadí páté, setkání nabídne přednášku Michala Špačka o bezpečnostních útocích na webové aplikace a přednášku Tomáše Kuby o moderním workflow tvorby webu. Akce začíná…
Nespoléhejte se na to, že do kódu nezapomenete na všechna místa připsat ošetření dat. Snažte se aplikaci navrhnout tak, aby se na nic zapomenout nedalo. Za cenu o něco složitějšího jádra bude veškerý kód, který ho používá, obvykle taky mnohem jednodušší.