Zdroják » Autoři » Archivy pro Michal Špaček

Archiv autora: Michal Špaček

Michal Špaček

Michal je webový vývojář a bezpečnostní p̶r̶ů̶výzkumník. První webové stránky vytvořil když ještě zuřila První válka prohlížečů, ve které to Netscape Navigator prohrál proti Internet Exploreru. Pořádá školení, zajímá ho bezpečnost a výkon, staví, boří a testuje webové aplikace. Přednášel na více než 70 konferencích a akcích, včetně konference WebExpo v Praze a konference Passwords v Las Vegas, na obou opakovaně.
Před deseti lety nastoupil jako jeden z prvních vývojářů do pražské pobočky Skype, kde pracoval mj. na platebních systémech. Později zlepšoval zabezpečení Slevomatu, pracoval také pro Apiary. Michal o bezpečnosti rád mluví veřejně, hledá hranice tak, že je posouvá. Chce naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Kontrola platnosti TLS certifikátu s SSL Labs, crt.sh a OpenSSL

Existuje několik možností, jak ověřit platnost certifikátu, pojďme si některé ukázat.

Nepoužívám žádnou VPN pro bezpečnost nebo anonymitu

NordVPN, poskytovatel VPN služeb, byl někdy v roce 2018 hacknut. V oficiální reakci stojí, že se jednalo jen o jeden server a že to bylo kvůli nezabezpečenému systému pro vzdálenou správu, který na stroji ponechal správce datacentra.

Změna URL a skrývání fbclid pomocí JavaScriptu

Přibližně před dvěma týdny začal Facebook přidávat „sledovací“ parameter fbclid (Facebook click id?) do všech externích odkazů, které uživatelé sdílí. A mně se to nelíbilo, tak ten parametr skrývám.

Vypněte TLS 1.0 a 1.1 už dnes

Společnosti Microsoft, Google, Apple i Mozilla shodně oznámily, že z jejich webových prohlížečů Internet Explorer, Edge, Chrome, Safari a Firefox počátkem roku 2020 odstraní protokoly TLS 1.0 a TLS 1.1. Návštěvníci vašeho webu už je pravděpodobně stejně nepoužívají a tak je můžete na serveru vypnout už dnes. Pojďme si to pomocí „Handshake Simulation“ v SSL Labs Server Testu ověřit.

Not secure: Chrome a weby na HTTP

Minulý týden vyšla nová verze Chrome 68, která začala označovat všechny weby na HTTP jako Not secure, česky Nezabezpečeno. Zatím tedy jen s šedým (i) v kroužku, bez červeného vykřičníku. Spousta hojně navštěvovaných českých webů ale není připravena. Ukažme si, jak jsme se dostali až sem a co nás čeká.

K čemu je soubor security.txt

Přidejte si na web soubor security.txt a umístěte do něj správné kontaktní údaje, ať lidé, kteří chtějí nahlásit bezpečnostní chyby, nemusí dlouze studovat, kam report poslat. K čemu takové informace jsou, vám ukážu na jednom konkrétním příkladu.

Změna hashování existujících hesel

Používáte pro ukládání uživatelských hesel funkce jako MD5 nebo SHA-1 a chtěli byste to změnit na třeba bcrypt? A chcete to udělat pořádně, aby byla chráněna všechna hesla ve vaší databázi? Pojďme si ukázat, jak to udělat.

Shrnutí soutěže WebTop100 2012

Měl jsem tu možnost a štěstí hodnotit weby i v minulém ročníku soutěže WebTop100, takže toto moje shrnutí bude do jisté míry srovnáním s výsledky mého bádání v roce 2011. Můj názor je totiž ten, že důležitější než současný stav věcí je směr, kterým se ubírají. V tak dynamickém prostředí, které nazýváme Internet, to platí dvojnásob.

Neautorizovaný přístup k datům

V posledních dnech, týdnech a měsících jsem několikrát slyšel a četl o tom, že velkým hráčům unikla nějaká data, případně se někdo dostal k informacím, které vidět neměl, a to naprosto jednoduchým způsobem. „Útočník“ pouze změnil nějaké číslo v adrese stránky a v prohlížeči se mu najednou ukázaly údaje, k jejichž prohlížení nebyl autorizován. Jak je to jen možné?

API proti epidemii – eRouška a další

Jan Šablatura - Mobilní vývoj - 19.10.2020 3

Zastavit epidemii? I na to je tu aplikace. S eRouškou jste se nejspíše už setkali. Jde o projekt, který umožňuje bleskurychle a anonymně upozornit na možnou nákazu COVID-19, a tím zpomalit či zastavit šíření epidemie. Jak přesně funguje? A co je potřeba k tomu si jednu takovou aplikaci naprogramovat?

Ryan stvořil Deno a bylo to dobré

Zdeněk Švarc - JavaScript - 15.10.2020 9

S nadsázkou se dá prohlásit, že vzniku Deno vděčíme hryzavému svědomí Ryana Dahla, autora NodeJS. Za jedenáct let, které dělí první verzi NodeJS a první verzi Deno, se ve světě referenčního JavaScriptu událo mnohé. Následovník NodeJS je proto mnohými vítán.

IKEv2 VPN v cloudu snadno a rychle

Vladimír Smitka - Různé - 28.9.2020 1

Ukázali jsme, jak zprovoznit proxy na Digital Ocean, jak na L2TP VPN v AWS a dnes se podíváme na IKEv2.