Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
Víte, že nevíte, že já vím, že nevíte?
Po přednášce už budete vědět. Ukážu vám pár chyb, které možná již znáte, jen netušíte, že kvůli nim zrovna váš web opouští data vaše nebo vašich uživatelů. A že budete bezpečnost webu řešit až se něco stane a že se ještě nic nestalo? Jasně, tak hlavně přijďte :-)
Základy webové bezpečnosti pro PR a marketingMichal Špaček
Na dotazy ohledně ukládání hesel raději odpovídejte až zhlédnutí této přednášky. Proč je důležité správné ukládání hesel a co se pod tím vlastně skrývá? Nebojte se, do zbytečných technických detailů zabíhat nebudeme. Podíváme se také na šifrovaný přenos přihlašovacích údajů, bezpečnostní otázky a na příkladech si ukážeme špatné odpovědi na různé zapeklité otázky ohledně zabezpečení některých webů. Po této přednášce byste měli vědět, jak na sociálních sítích správně odpovídat nejen na moje dotazy.
Ukládáš hesla do databáze jen tak, v čitelné podobě? Nebo používáš MD5? Nebo snad SHA-1? Vsadím se, že nevíš, co je to salt. Taky tajně doufám, že neposíláš hesla e-mailem. Jednoho krásného dne se někde na webu objeví obsah databáze tvojí webové aplikace a její uživatelé nebudou mít radost. Nevystavuj je zbytečnému nebezpečí a raději si rezervuj místo v první řadě a já ti ukážu, jak se se svým webem nedostat do hlavního zpravodajství TV Nova.
Zajímá vás správné ukládání hesel? Přijďte si o tom popovídat na školení Bezpečnost PHP aplikací: http://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaci
Securitas, res publica.
V posledních pár letech se s bezpečnostními incidenty roztrhl pytel. Tady unikl seznam uživatelů, tady i jejich hesla, tady jen jejich objednávky. V této přednášce spojíme moje dvě oblíbená rčení a to, že každý web je dostatečně dobrý na hacknutí a že opakování je matkou moudrosti. Zopakujeme si, koho už u nás hacknuli a poněvadž by to byla nekonečně dlouhá přednáška, tak se raději zaměříme jen na zveřejněné případy.
Bezpečnost, věc veřejná.
Jak jsme zlepšili zabezpečení Slevomatu.
Chceš zlepšit zabezpečení webu a nevíš kde začít a kdy skončit? Ukážu ti, co jsme udělali na Slevomatu, co všechno jsme museli vyřešit, čemu jsme se divili a co plánujeme. Třeba tě to trochu taky nakopne.
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
Víte, že nevíte, že já vím, že nevíte?
Po přednášce už budete vědět. Ukážu vám pár chyb, které možná již znáte, jen netušíte, že kvůli nim zrovna váš web opouští data vaše nebo vašich uživatelů. A že budete bezpečnost webu řešit až se něco stane a že se ještě nic nestalo? Jasně, tak hlavně přijďte :-)
Základy webové bezpečnosti pro PR a marketingMichal Špaček
Na dotazy ohledně ukládání hesel raději odpovídejte až zhlédnutí této přednášky. Proč je důležité správné ukládání hesel a co se pod tím vlastně skrývá? Nebojte se, do zbytečných technických detailů zabíhat nebudeme. Podíváme se také na šifrovaný přenos přihlašovacích údajů, bezpečnostní otázky a na příkladech si ukážeme špatné odpovědi na různé zapeklité otázky ohledně zabezpečení některých webů. Po této přednášce byste měli vědět, jak na sociálních sítích správně odpovídat nejen na moje dotazy.
Ukládáš hesla do databáze jen tak, v čitelné podobě? Nebo používáš MD5? Nebo snad SHA-1? Vsadím se, že nevíš, co je to salt. Taky tajně doufám, že neposíláš hesla e-mailem. Jednoho krásného dne se někde na webu objeví obsah databáze tvojí webové aplikace a její uživatelé nebudou mít radost. Nevystavuj je zbytečnému nebezpečí a raději si rezervuj místo v první řadě a já ti ukážu, jak se se svým webem nedostat do hlavního zpravodajství TV Nova.
Zajímá vás správné ukládání hesel? Přijďte si o tom popovídat na školení Bezpečnost PHP aplikací: http://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaci
Securitas, res publica.
V posledních pár letech se s bezpečnostními incidenty roztrhl pytel. Tady unikl seznam uživatelů, tady i jejich hesla, tady jen jejich objednávky. V této přednášce spojíme moje dvě oblíbená rčení a to, že každý web je dostatečně dobrý na hacknutí a že opakování je matkou moudrosti. Zopakujeme si, koho už u nás hacknuli a poněvadž by to byla nekonečně dlouhá přednáška, tak se raději zaměříme jen na zveřejněné případy.
Bezpečnost, věc veřejná.
Jak jsme zlepšili zabezpečení Slevomatu.
Chceš zlepšit zabezpečení webu a nevíš kde začít a kdy skončit? Ukážu ti, co jsme udělali na Slevomatu, co všechno jsme museli vyřešit, čemu jsme se divili a co plánujeme. Třeba tě to trochu taky nakopne.
Jak vytvářet hesla, co je to password manager a proč ho nutně potřebujete.
Zapomínáte hesla? Já taky ne. Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Pokud ano, tak to není moc dobrý nápad. Prozradím vám, jak to dělat lépe.
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
HTTP Strict Transport Security (HSTS), zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS (SSL Strip). HSTS je HTTP hlavička, kterou posílá server. Browser poté bude po X sekund interně přesměrovávat http:// na https://.
Tato přednáška byla doplněna a nahrazena novější přednáškou "Hlava není na hesla", prohlédněte si raději tu. Najdete ji na https://www.michalspacek.cz/prednasky/hlava-neni-na-hesla-barcampjc
Odkazy z článku jsou také na http://www.michalspacek.cz/prednasky/zapomente-vase-hesla-new-media-inspiration
Přednáška s podtitulkem Jak vytvářet, ukládat, používat hesla, jaké nástroje k tomu používat a proč proboha.
Používáte hesla? Kolik jich máte? Asi dost, co. Znáte nějaký program pro správu a pamatování hesel nebo snad používáte jedno heslo na více místech? Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Šmarjá, opravdu? Když náhodou takové službě unikne databáze emailů a hesel, včetně toho vašeho, tak pak případný zlý hoch může získat přístup i k dalším službám, protože do vaší emailové schránky vám chodí např. zapomenutá hesla nebo odkazy na nastavení hesel nových. Pokud k tomu tedy dojde, tak vás může zachránit už jen dvoufaktorová autentizace, víte, co to je? To je otázek, že… ale nebojte, mám i odpovědi.
Jako odborníci v IT už asi víte, že máte používat nějaký password manager, že? Ale jaký a jaké jsou rozdíly mezi nimi? A v čem se liší 1Password od LastPassu, tedy kromě ceny?
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
Každý rok se objeví několik desítek nových typů útoků a hackovacích technik na webové aplikace. V loňském roce jich bylo popsáno 31, pojďme si některé nové i starší útoky představit.
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...New Media Inspiration
Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
Jak si nejprodávanější WordPress šablony stojí s rychlostí frontendu? Zjistil jsem, že to moc testovat nejde a tak kupujete zajíce v pytli. V přednášce tedy dostanete seznam nejčastějších problémů a stručný návod k jejich odstranění.
Jak vytvářet hesla, co je to password manager a proč ho nutně potřebujete.
Zapomínáte hesla? Já taky ne. Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Pokud ano, tak to není moc dobrý nápad. Prozradím vám, jak to dělat lépe.
… a chtělo svoje útoky zpět. Útok Cross-Site Scripting (XSS) byl poprvé popsán v roce 1999 a od té doby je tu stále s námi. Proč je tak nebezpečný a jak se mu bránit, když to vývojáři evidentně nezvládají?
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
WordPress prý používá 27 % webu. Na následujících slajdech bych chtěl naznačit, co bychom ve WordPressu mohli zlepšit z pohledu bezpečnosti,protože když to uděláme, tak se zvýší zabezpečení poměrně hodně webů. Já vím, ne všichni aktualizují, ale o tom někdy jindy.
HTTP Strict Transport Security (HSTS), zajistí zabezpečený „převoz“ informací bez možnosti odstranění HTTPS (SSL Strip). HSTS je HTTP hlavička, kterou posílá server. Browser poté bude po X sekund interně přesměrovávat http:// na https://.
Tato přednáška byla doplněna a nahrazena novější přednáškou "Hlava není na hesla", prohlédněte si raději tu. Najdete ji na https://www.michalspacek.cz/prednasky/hlava-neni-na-hesla-barcampjc
Odkazy z článku jsou také na http://www.michalspacek.cz/prednasky/zapomente-vase-hesla-new-media-inspiration
Přednáška s podtitulkem Jak vytvářet, ukládat, používat hesla, jaké nástroje k tomu používat a proč proboha.
Používáte hesla? Kolik jich máte? Asi dost, co. Znáte nějaký program pro správu a pamatování hesel nebo snad používáte jedno heslo na více místech? Používáte heslo pro přístup k vašemu emailu i pro přístup k jiným službám? Šmarjá, opravdu? Když náhodou takové službě unikne databáze emailů a hesel, včetně toho vašeho, tak pak případný zlý hoch může získat přístup i k dalším službám, protože do vaší emailové schránky vám chodí např. zapomenutá hesla nebo odkazy na nastavení hesel nových. Pokud k tomu tedy dojde, tak vás může zachránit už jen dvoufaktorová autentizace, víte, co to je? To je otázek, že… ale nebojte, mám i odpovědi.
Jako odborníci v IT už asi víte, že máte používat nějaký password manager, že? Ale jaký a jaké jsou rozdíly mezi nimi? A v čem se liší 1Password od LastPassu, tedy kromě ceny?
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
Jak se pomocí více úrovní obrany bránit proti notoricky známému útoku Cross-Site Scripting (XSS). Jaké vrstvy zabezpečení existují a kdy se používají. O vlastnostech prohlížečů a Content Security Policy (CSP).
Pár praktických ukázek, ve kterých ukážu, proč se věnovat zabezpečení e-shopů a co se stane, když se na to vykašlete. A že když to budete řešit, až se když se něco bude dít, tak už může být pozdě.
Lehce osvětová přednáška o tom, proč by HTTPS mělo být úplně všude, nejen na přihlašovacím formuláři. A že šifrování není jenom o HTTPS. Jako obvykle si něco i ukážeme.
Každý rok se objeví několik desítek nových typů útoků a hackovacích technik na webové aplikace. V loňském roce jich bylo popsáno 31, pojďme si některé nové i starší útoky představit.
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla.
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...New Media Inspiration
Prezentace z třetího ročníku konference New Media Inspiration (http://nminspiration.cz), který se konal 8. 2. 2014 v hlavní budově FF UK pod vedením @petrkou, @simindr a @josefslerka.
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Michal Špaček
Útoků na webové aplikace existují desítky. Představíme si tři základní, ukážeme si, jak takový útok provést a jak webovou aplikaci proti danému útoku zabezpečit. Na závěr si ukážeme, jak bezpečně ukládat uživatelská hesla a pár špeků, kterým byste se měli obloukem vyhnout.
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
Jak si nejprodávanější WordPress šablony stojí s rychlostí frontendu? Zjistil jsem, že to moc testovat nejde a tak kupujete zajíce v pytli. V přednášce tedy dostanete seznam nejčastějších problémů a stručný návod k jejich odstranění.
Češi jsou na internetu jako ryby ve vodě. Marketéři musí být o krok vepředu.
Jinak nemají šanci uspět. A pokud jsou zákazníci doma na internetu, marketéři musí znát důkladně znát všechna jeho zákoutí.
Přendnáška na pěti zcela konkrétních případových studiích představí nejpoužívanější nástroje současného internetového marketingu: SEO, UX (CRO), PPC, sociální sítě a emailový marketing. Podívejte se na reálné příklady z praxe jak pomocí internetového marketingu vydělávat nebo měnit politiku.
Jak pomocí machine learningu vytěžovat data z RTB i v CRM?Taste Medio
Jakub Štěch a Eliška Králová na konferenci Data Restart 2019.
Co se skrývá pod buzzwordem “machine learning” a jak nám může pomoci zvýšit výkon kampaní? Na případu České spořitelny ukážeme, jak jsme optimalizovali nákup RTB a online data začala pomáhat i ve světě CRM kampaní.
Poslední středa - SEO / UX na javascriptových a jiných moderních webech - Pav...H1.cz
Oblíbená webová řešení, od jednostránkových webů až po tzv. SPA - single-page aplikace, naráží na všelijaká úskalí jak z pohledu SEO, tak při nastavování webové analytiky. Jak ošetřit, aby vyhledávací roboti našli a oblíbili si všechny informace, které potřebujete?
Nebudeme procházet kódy a skripty, ale hlavní oříšky, na které si jako zadavatelé nebo projektoví manažeři musíte při tvorbě webů dát pozor.
Jak nám vývojáři hážou klacky pod nohy?Taste Medio
Během přednášky jsme se snažili poukázat, že všichni máme často klapky na očích a vidíme pouze ten náš obor. Ukazovali jsme pár tipů a triků, které jsou z naší strany jednoduché a potřebné a často se s nimi u klientů nesetkáváme.
Podklady k přednášce na BarCampu 2017 v Plzni. Celou přednášku najdete zde: https://www.youtube.com/watch?v=ZHOoLx25PsM
Z praxe a pro začátečníky: 17 tipů jak zvýšit návštěvnost stránek, bez utrácení peněz na PPC kampaně. Nezaměřím se pouze na SEO, ale tipy se budou týkat i e-mailového amrketingu, obsahu a sociálních sítí (LinkedIn, Facebook, Twitter).
Nepůjde o bla-bla-bla-(omáčka)-bla-bla, ale reálná čísla a konkrétní věci z praxe online markeťáka.
Komu je přednáška určena?
- začínajícím podnikatelům
- lidem na volné noze
- majitelům malých a středních firem
- markeťákům
- vedoucím projektů (aby byly v "obraze")
- blogerům, kteří chtějí zvýšit návštěvnost stránek
- lidem, kteří chtějí vydělávat na internetu
Přístupnost je přínosná nejen pro uživatele se zdravotním handicapem. Prezentace na několika příkladech ze života a případových studiích ukazuje, jak je přístupnost velmi úzce provázána s dalšími oblastmi webu a jak pomáhá skutečně všem uživatelům.
V prezentaci se také dozvíte, že přístupnost nemusí být nákladná a ani náročná na implementaci a také to, že často i drobná a finančně i časově nenáročná úprava může přístupnosti webu hodně pomoci.
Mnoho majitelů webových stránek stále žije v zajetí mnoha SEO mýtů a praktik, které již mnoho let nefungují a naopak mohou webové stránce v mnohém uškodit. Proto jsem SEPSAL E-BOOK na téma "Nejčastější SEO mýty", kde jednotlivé SEO mýty vyvracím jasnou argumentací a fakty.
Hobby Developer 3.0: Tipy a triky pro webTomáš Muchka
Develop functional useful webpages, not monsters with the size of classic games. This presentation will guide you through all stages of modern web page development with tons of examples from his a real hobby project: http://lan.strazov.cz
Vše co potřebuje markeťák vědět o rychlostní optimalizaci webůMartin Michálek
Proč vlastně řešit rychlost načtení? Proč v souvislostí s rychlostí nemluvit jen o rychlosti načtení stránky? Jak zjistit nedostatky webu související s rychlostí? A co chtít po kodérech, když je objevíte?
http://www.vzhurudolu.cz/prednaska/seologer-178
Fantom Opery, "VPN" a Secure Proxy v OpeřeMichal Špaček
Jak jsem pomocí prohlížeče přišel na to, že Opera VPN není VPN aneb co všechno na sebe Chrome prozradí v chrome://net-internals/ a jak to můžete použít pro ladění nebo zkoumání různých udělátek a extenzí.
Would you voluntarily share how your web app stores passwords? Some companies indeed do share, for example Facebook and LastPass to name just a few. Some share involuntarily. Some don't share at all because they feel that it will make them more vulnerable. Here's why you should do that and how.
Operations security (OPSEC) is a term originating in U.S. military jargon. In IT, it says what to do to protect your servers, developers, information, and other resources. Targeting developers, new trend in computer security, is becoming increasingly common because they usually have access to production servers and other critical infrastructure.
HTTP Strict Transport Security (HSTS), English versionMichal Špaček
HTTP Strict Transport Security (HSTS) provides secure transport of data, by removing the possibility of HTTPS stripping. HSTS is an HTTP header issued by the server. After receiving such header, the browser will perform internal redirects from http:// to https:// for given amount of seconds.
I forgot my password – what a secure password reset needs to have and whyMichal Špaček
Users often forget their passwords, so applications often must have a password reset mechanism. There are several options for how to do it; some of them are good, most of them not so good. Generate a password and send it in an email? No. Security questions? No way. Reset passwords via a phone call? Rather not. This talk presents some really creative examples of botched password reset implementations, as well as a proven method for resetting passwords securely.
From unsalted SHA-1 to bcrypt, from generated passwords sent in e-mails to just links and other stories of securing user passwords at your regular e-commerce site from web developer's point of view.
Video of the talk available at http://www.michalspacek.cz/prednasky/the-problem-with-the-real-world-passwords
1. aneb technické chyby vašeho webu, které vás připraví o peníze
Michal Špaček
www.michalspacek.cz
@spazef0rze
Konference WebTop100, Praha, 25. října 2012
2. Ačkoliv nejběžnější chyba, která vás připraví o peníze, tak čistě technicky, tahle aspoň stojí za to.
Myslím samozřejmě tu jízdu. V tom autě. S takovým vozem člověk o peníze přijde snad i rád. Ale
pojďme si něco říci o chybách, kvůli kterým přijdete o peníze a … nebudete rádi.
@spazef0rze www.michalspacek.cz
3. Návštěvník í
up
eko
kter c n
ý si ni
Mít vysoký počet návštěvníků je určitě fajn pocit. Pokud část návštěvníků provozovateli e-shopu
nenechá aspoň kousek své težce vydělané výplaty, tak dělá něco špatně. Ten provozovatel.
Naděje na získání objektů z předchozí stránky mu tak nenávratně mizí v dáli.
@spazef0rze www.michalspacek.cz
4. Když se návštěvníkovi pomalu načítá váš web, tak se nakonec ani návštěvníkem stát nemusí,
natožpak aby si něco koupil. Zkrátka, pauza na oběd v práci není tak dlouhá, jak se zdála a
návštěvník odejde k „rychlejší“ konkurenci a své peníze nechá jim.
@spazef0rze www.michalspacek.cz
5. 5 sec
Web by se měl komplet zobrazit třeba do 5 vteřin. Po uplynutí této doby by mělo jít stránku
používat, klikat na tlačítka apod. U každého oboru a návštěvníka je tato doba jinak dlouhá a
každého, koho se zeptáte vám řekne jiné číslo. Jedno je ale jasné: čím dřív, tím líp.
@spazef0rze www.michalspacek.cz
6. 6 sec
Všichni návštěvníci samozřejmě stránku neopustí po pěti vtěřinách, většina jich asi zůstane, ale
pokud nemáte „tvrdá“ čísla, o kolik peněz přijdete, když načtení stránky prodloužíte, tak nad tím
asi mávnete rukou a půjdete dělat něco užitečnějšího, než zrychlovat o milisekundy.
@spazef0rze www.michalspacek.cz
7. 100ms = 1%
*
1s = $1,6 mld
*
zdroj: Internet
Tak například Amazon tvrdí, že za každých 100 ms, o které se jejich stránky načítají pomaleji
klesnou prodeje o 1 %, řečí peněz to pak znamená, že načítání stránky zpomalené o 1 vteřinu
znamená ztrátu 1,6 miliardy USD ročně na obratu. Docela dost babek.
@spazef0rze www.michalspacek.cz
8. Pro představu, toto je podle http://www.pagetutor.com/trillion/index.html prý miliarda USD ve
stodolarových bankovkách. To se do krabice od vína nevejde, jen tak mimochodem. Přidejte ještě
šest palet a máte 1,6 mld USD. Teda vlastně spíš nemáte.
@spazef0rze www.michalspacek.cz
9. *
500ms navíc = 20% návštěvnosti
*
zdroj: také Internet
Google zase říká, že 500 ms navíc při načítání stránky ho připraví o 20 % návštěvnosti jeho
vyhledávače. Díky tomu tak návštěvníci vidí méně reklam a Google vidí méně peněz na svých
účtech.
@spazef0rze www.michalspacek.cz
10. Na Google je hezky vidět, jak se zrychluje. Díky Google Instant http://www.google.com/instant/
vidíte výsledky vyhledávání hned, když píšete dotaz. Google také zcela vypustil titulní stránku
vyhledávače, která zmizí hned, jakmile začnete psát svůj dotaz.
@spazef0rze www.michalspacek.cz
11. S P D Y
SPDY je protokol vyvíjený primárně Google. Zrychluje načítání stránek obecně, z prohlížečů ho
podporuje Chrome a Firefox a na webových serverech ho používá Google pro svoje vyhledávání,
Gmail, ale používá ho také například i Twitter.
@spazef0rze www.michalspacek.cz
12. A co uděláte pro zrychlení stránek právě vy?
@spazef0rze www.michalspacek.cz
13. Návštěvník
který chce nakoupit a ušetřit
Druhou hrozbou, díky které můžete přijít o nějaké ty drobné, je návštěvník, který chce nakoupit,
ale zároveň ušetřit a trochu se v tom vyzná. Takový návštěvník může zneužít chyby ve vaší
webové aplikaci ve svůj prospěch takovým způsobem, že na to nikdy nikdo nepřijde.
@spazef0rze www.michalspacek.cz
14. Bez znalosti uživatelského jména a hesla se může přihlásit do administrační sekce vašeho
obchodu a změnit si stav objednávky, případně si ji rovnou nechat odeslat i bez nutnosti za zboží
platit. Tyto akce provádí pod jménem administrátora, takže vše vypadá v pohodě.
@spazef0rze www.michalspacek.cz
15. Nebo si například může vygenerovat slevové kupóny, díky kterým sníží celkovou cenu objednávky
tak nízko, že se dostane pod vaši nákupní cenu. Může si je také jednoduše najít ve vaší databázi.
Pokud je pak použije, tak také na nic nepřijdete a budete mu muset zboží poslat.
@spazef0rze www.michalspacek.cz
16. ' ← apostrof
A to třeba jenom proto, že tvůrce vaší aplikace zapomněl ošetřit tento speciální znak, apostrof,
někdy nazývaný též jako jednoduchá uvozovka. Tento znak má pro databázový server speciální
význam a díky této chybě je možné provádět uvedené triky. Jeden znak a jakou nadělá paseku.
@spazef0rze www.michalspacek.cz
17. zpětné lomítko → '
Ošetřit tento speciální znak ale není nic složitého. Jedna z možností je v uživatelem zadaných
datech před každý apostrof dát zpětné lomítko, zjednodušeně řečeno. Záleží na konkrétním
případě, někdy ošetření může být trochu jiné, ale další možnosti jsou přibližně stejně složité.
@spazef0rze www.michalspacek.cz
18. Dávejte si také velký pozor, co na váš web nahráváte. Informace, které jsou nebezpečné tam
vůbec neumisťujte, dají se totiž najít třeba Googlem a to i přesto, že na ně nevede z vašeho webu
žádný odkaz. Dané informace se totiž dají použít někde jinde nebo se dají prostě prodat.
@spazef0rze www.michalspacek.cz
19. Za kolik se dají prodat? To nevím, ale pojďme to zkusit. Kolik nabízíte za databázi uživatelů webu
bushmanshop.cz? Obsahuje přes 300 ověřených uživatelů a jejich dat, jako třeba emailových
adres, ale i ulic a měst a telefonů.
@spazef0rze www.michalspacek.cz
20. Ta databáze nemá velkou cenu, je totiž volně ke stažení na webu bushmanshop.cz. Stačí se
podívat do souboru robots.txt a dále pak do adresářů, které tam jsou vypsány. Obsahují
zajímavé věci, které si může kdokoliv stáhnout. A nejspíš už si je i někdo stáhnul.
@spazef0rze www.michalspacek.cz
21. A takhle bezpečně
my tady žijem.
Michal Špaček
www.michalspacek.cz
@spazef0rze
22. Použité fotografie a obrázky:
1. Another sign of the times, Rebecca Wilson
2. Svjetlana BMW Z4 Shoot, paulStarPics
3. Moonrise, Michele Molinari
8. http://www.pagetutor.com/trillion/index.html
10. http://www.google.com/instant/
11. Bugatti Veyron Super Sport, J.Smith831
12. Turbo, Matthew Hine
13. Food for the wallet, _Dinkel_
19. With a little help from my friends…, Daniele Margaroli
@spazef0rze www.michalspacek.cz