Simon Willison o bezpečnosti webových aplikací

Zdroják » Zprávičky » Simon Willison o bezpečnosti webových aplikací

Nálepky:

Simon Willison ve své prezentaci Když AJAX útočí na @media AJAX shrnuje typické bezpečnostní problémy, které by měl každý webový vývojář dobře znát, zejména Cross-site Scripting (XSS) a Cross-site Request Forgery (CSRF). Prezentace je doplněna příklady problémů, které se v minulosti objevily na známých serverech jako jsou Digg, MySpace, Facebook nebo Gmail.

A i kdyby se autor webové aplikace snažil sebevíc, vždy tu zůstává slabé místo na straně uživatelova prohlížeče:

Nemůžete vaši aplikaci 100% ochránit, vždy je tu šance, že někdo zneužije problém v prohlížeči nebo pluginu.

(Zdroj: Ajaxian.com, Isolani.com.uk)

Martin Hassman

Martin Hassman založil a řadu let vedl magazín Zdroják, absolvoval VŠCHT Praha, pořádal řadu konferencí, pomáhal s rozšířením otevřených technologií, byl u založení projektů CZilla, Dáme roušky a dalších. Vymyslel a dva roky vedl dobrovolnický projekt Movapp pod Česko.Digital. Nyní pracuje jako produktový manažer v datové platformě Golemio.cz.

Komentáře

Odebírat

0 Komentářů

Nejstarší

Nejnovější Most Voted

Inline Feedbacks

Zobrazit všechny komentáře

AI code review nenahradí seniora. Špatně nasazený bot jen přidá další práci

AI code review zvládá první průchod — shrnout diff, najít rutinní vzory a upozornit na chybějící test. Jako náhrada lidského review ale neobstojí: data ukazují vyšší abandonment a často nízký poměr signálu k šumu. Nasazení proto stojí na pravidlech, úzkém mandátu a měření, ne na výběru dodavatele.

OpenTelemetry v JavaScriptu nestačí zapnout. Bez Collectoru rychle ztrácíte kontrolu

OpenTelemetry v JavaScriptu má smysl hlavně v Node.js: stabilní jsou traces a metrics, logs zůstávají ve vývoji a browserová instrumentace je experimentální. SDK ale není architektura observability. Sampling, sanitizaci citlivých atributů, kardinalitu i export má držet Collector, ne samotná aplikace.

Baro vs. Claude Code: Když paralelní agenti prohrají s jedním sezením (a co s tím udělat)

Více agentů musí být rychlejší než jeden, ne? Miodrag Todorović z JigJoy postavil baro - CLI, které paralelně spouští pět Claude sezení místo jednoho - a postavil ho proti novému příkazu /goal v Claude Code. Čekal jasnou výhru paralelismu. Místo toho prohrál v čase, v tokenech i v kvalitě výsledného kódu. Z analýzy tří konkrétních selhání ale vyšel jeden nečekaný závěr: problém nebyl v koordinaci mezi agenty, ale v rozhodnutích, která padla ještě před tím, než se kdokoli z nich probudil. Oprava trvala 200 řádků kódu - a v odvetě baro porazilo /goal o 4 minuty.

Simon Willison o bezpečnosti webových aplikací

Nálepky:

Martin Hassman

Komentáře

AI code review nenahradí seniora. Špatně nasazený bot jen přidá další práci

OpenTelemetry v JavaScriptu nestačí zapnout. Bez Collectoru rychle ztrácíte kontrolu

Baro vs. Claude Code: Když paralelní agenti prohrají s jedním sezením (a co s tím udělat)

Sledujte Zdroják:

Hádej co? Cookies!