Převyprávění přednášky z JSDays 2022. Detailně a se slidy.

Na konci srpna byla v oblíbeném PHP frameworku Nette objevena a obratem opravena zákeřná chyba. Přestože autor frameworku, David Grudl, udělal snad všechno možné i nemožné, někteří se o ní nedozvěděli včas a nestihli tak aktualizovat své weby a webové aplikace. Prozradím vám pár tipů nejen pro PHP, díky kterým dostanete echo o podobných problémech mezi prvními.

SameSite cookies poskytují mechanismus, jak rozpoznat, co vedlo k načtení stránky. Jestli to bylo prokliknutí odkazu na jiném webu, odeslání formuláře, načtení uvnitř iframe, pomocí JavaScriptu atd.

Existuje několik možností, jak ověřit platnost certifikátu, pojďme si některé ukázat.

Jste v bezpečí před sledováním s vypnutým JavaScriptem? Ne. Máte vypnout i kaskádové styly? Tak ano, můžete. Ale opravdu to dáte? Podíváme se na současné hranice a možnosti sledování uživatelů webu skrze kaskádové styly. A řekneme si něco o Content Security Policy.

Společnosti Microsoft, Google, Apple i Mozilla shodně oznámily, že z jejich webových prohlížečů Internet Explorer, Edge, Chrome, Safari a Firefox počátkem roku 2020 odstraní protokoly TLS 1.0 a TLS 1.1. Návštěvníci vašeho webu už je pravděpodobně stejně nepoužívají a tak je můžete na serveru vypnout už dnes. Pojďme si to pomocí „Handshake Simulation“ v SSL Labs Server Testu ověřit.

Na začátku července jsem se rozhodl udělat průzkum českého internetu, abych zjistil, kolik webů není správně nakonfigurováno a má povolen přístup ke složce .git s repozitářem. Z dřívějška jsem měl v databázi mnoho webů s tímto problémem a zajímalo mne, jaký je skutečný stav. Průzkum se nakonec rozrostl na celý internet.

Útoků na webové aplikace neustále přibývá. Rostoucí počet uživatelů, komplexnější aplikace a nové postupy s sebou nesou nová rizika. OWASP proto aktualizoval seznam deseti nejnebezpečnějších zranitelnosti webových aplikací dneška. Znáte je všechny?

Přidejte si na web soubor security.txt a umístěte do něj správné kontaktní údaje, ať lidé, kteří chtějí nahlásit bezpečnostní chyby, nemusí dlouze studovat, kam report poslat. K čemu takové informace jsou, vám ukážu na jednom konkrétním příkladu.

Kybernetická bezpečnost je tématem, o němž má řada lidí spíše představy než znalosti. Jde o doménu specialistů a běžní uživatelé, ale třeba i správci sítí a „standardní ajťáci“ propadají pocitu, že se ani…