API a microservices se často setkávají a ne vždy se hodí pro tvorbu rozhraní microservice použít REST. V této přednášce se podíváme na některé méně tradiční formy přístupu k API, jako třeba event sourcing nebo m-n komunikace a ukážeme si zajímavé možnosti, které nám tyto formy přinášejí. A jak už to ve správném obludáriu musí být, některé exempláře budou opravdu strašidelné.
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
Každý rok se objeví několik desítek nových typů útoků a hackovacích technik na webové aplikace. V loňském roce jich bylo popsáno 31, pojďme si některé nové i starší útoky představit.
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
Každý rok se objeví několik desítek nových typů útoků a hackovacích technik na webové aplikace. V loňském roce jich bylo popsáno 31, pojďme si některé nové i starší útoky představit.
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
Projdeme si postupnými kroky, jak jsme vytvářeli a jak používáme jednu z nejdůležitějších služeb v Mallgroup. Jaký jsme zvolili přístup při návrhu, co nám to přineslo za výhody a co naopak způsobilo za problémy. Podíváme se na nástroje a přístupy, které nám pomáhají k tomu, abychom nasazovali změny několikrát denně a nebáli se toho.
Přednáška z 4. WP konference - bezpečnost Wordpressu. Aktuální statistiky, základní útoky, skenování wordpressu, iThemes Securtiy, Fail2Ban, Web Application Firewall.
Další info na: http://edu.lynt.cz/course/bezpecnost-wordpressu
Webinář je k dispozici ke shlédnutí zde: https://www.youtube.com/watch?v=M4e34Zs6AKM
Jak by mělo vypadat ideální bankovní API? Zeptali jsme se vývojářů na základě zadání z bank a výsledky dotazníku pro vás zpracovali.
Čtvrtkon #71 - Marian Benčat - Angular a NativeScriptCtvrtkoncz
Téma: Angular a NativeScript: Pro enterprise level web, desktop a nativní mobilní aplikace, více info na: http://ctvrtkon.cz/pozvanka-na-ctvrtkon-71-30-srpna-2018/
Na vývoj API se vztahuje mnoho pravidel vývoje SW, nicméně málokdo je aplikuje, z nějakého důvodu jsou pravidla a techniky zapomenuty. Většinou ten kdo API vyrábí není ten kdo ho používá a tak má vývoj API tendenci k „waterfall“ modelu vývoje. Můj příspěvek se pokusí ukázat cesty jak se tomu vyhnout použitím iterací, prototypováním nebo testy a také nástroje, které k tomu slouží. API je most a nikdo nechce používat a stavět špatné mosty.
Tady je prezentace z kick-off meetingu, který proběhl v pondělí 16.11.2015 v HUBu v Brně. Pokud máte nějaké dotazy, určitě nám napište, rádi je zodpovíme.
Projdeme si postupnými kroky, jak jsme vytvářeli a jak používáme jednu z nejdůležitějších služeb v Mallgroup. Jaký jsme zvolili přístup při návrhu, co nám to přineslo za výhody a co naopak způsobilo za problémy. Podíváme se na nástroje a přístupy, které nám pomáhají k tomu, abychom nasazovali změny několikrát denně a nebáli se toho.
Přednáška z 4. WP konference - bezpečnost Wordpressu. Aktuální statistiky, základní útoky, skenování wordpressu, iThemes Securtiy, Fail2Ban, Web Application Firewall.
Další info na: http://edu.lynt.cz/course/bezpecnost-wordpressu
Webinář je k dispozici ke shlédnutí zde: https://www.youtube.com/watch?v=M4e34Zs6AKM
Jak by mělo vypadat ideální bankovní API? Zeptali jsme se vývojářů na základě zadání z bank a výsledky dotazníku pro vás zpracovali.
Čtvrtkon #71 - Marian Benčat - Angular a NativeScriptCtvrtkoncz
Téma: Angular a NativeScript: Pro enterprise level web, desktop a nativní mobilní aplikace, více info na: http://ctvrtkon.cz/pozvanka-na-ctvrtkon-71-30-srpna-2018/
Na vývoj API se vztahuje mnoho pravidel vývoje SW, nicméně málokdo je aplikuje, z nějakého důvodu jsou pravidla a techniky zapomenuty. Většinou ten kdo API vyrábí není ten kdo ho používá a tak má vývoj API tendenci k „waterfall“ modelu vývoje. Můj příspěvek se pokusí ukázat cesty jak se tomu vyhnout použitím iterací, prototypováním nebo testy a také nástroje, které k tomu slouží. API je most a nikdo nechce používat a stavět špatné mosty.
Tady je prezentace z kick-off meetingu, který proběhl v pondělí 16.11.2015 v HUBu v Brně. Pokud máte nějaké dotazy, určitě nám napište, rádi je zodpovíme.
30. GET /comment/123456
{
“articleId”: 98765,
“title”: “Můj názor”,
“name”: “Věra Pohlová”,
“text”: “Tyhle aféry každého jenom otravují. Já
bych všechny ty internety a počítače zakázala.”,
“approved”: false
}
31. PUT /comment/123456
{
“articleId”: 98765,
“title”: “Můj názor”,
“name”: “Věra Pohlová”,
“text”: “Tyhle aféry každého jenom otravují. Já
bych všechny ty internety a počítače zakázala.”,
“approved”: true
}
34. “WE NEED TO BE CAREFUL TO NOT PUSH WORK
INTO THE GAPS BETWEEN SERVICES.”
“…DESIGN APIS IN TERMS OF THE CALLER'S
NEEDS RATHER THAN THE PROVIDER'S VIEW OF
THE WORLD.“
Michael Nygard
HTTP://MICHAELNYGARD.COM/BLOG/2018/04/EVOLVING-AWAY-FROM-ENTITIES/
38. ŘEŠENÍ
VARIANTA 1:
▸ Přidat databázovou tabulku, která definuje vazbu
mezi značkou a výší slevy.
▸ Implementovat její použití v modelu produktu.
▸ Vytvořit administrační rozhraní nové tabulky:
výpis, přidání, editace, smazání.
▸ Napsat dokumentaci, vyškolit uživatele
(HAHAHA!)