Bezpečnost

Jsem hacker a chci váš server. Přečtěte si, jak postupuji, čeho se snažím vyvarovat a jak mě naopak můžete odhalit. Možná jsem se přes bezpečnostní díru ve formuláři dostal na vaše SSH. Jako root. Nebo jenom k celé databázi, to přes sql injekce. Dnes začnu přípravou průniku. Pojďte mi nakouknout přes rameno.

S rozšířením VPS a podobných služeb se stále častěji stává, že se o webový server stará ten, kdo k tomu má ve firmě nejblíž, tedy nějaký správce sítě (to bývá ten lepší případ) nebo vývojář. V článku si ukážeme základní metody zabezpečení LAMP serverů, takový základní bezpečnostní check list…

Přihlášení uživatele k webové aplikaci je přece tak snadné: zadá jméno a heslo, odešle a – voila! – je přihlášen. Ale co je za tím? A co by za tím mělo být? Přinesou nové technologie nějaké změny v téhle oblasti? Oprášíme staré známé technologie, nebo vzniknou nové?

Bezpečnost webů je velmi široké téma, mnohokrát probírané a diskutované. Pojďme se dnes zaměřit především na rizika a hrozby, které přináší nové technologie z rodiny HTML5. S nimi totiž přichází i celá řada nových zranitelných míst, která jsou o to nebezpečnější, že o nich tvůrci webů zatím ještě nevědí.

Provozujete diskusní fórum, blog nebo jinou službu, kam mohou lidé vložit odkaz? Pokud ano, tak jste se jistě setkali se spamovými odkazy na hotely, kasina či léky. V poslední době se ale rozmáhají i odkazy na kompromitované stránky či stránky s malware. V článku si ukážeme, jak takový podezřelý odkaz poznat.

Recurity Labs vytvořili implementaci OpenPGP v JavaScriptu. Implementace s názvem GPG4Browsers je k dispozici v alfaverzi jako plugin pro Chrome. Autoři počítají s využitím pro webmaily, ovšem jak někteří upozorňují, nebude to tak snadné. Více

Mozilla na svých stránkách nabízí obsáhlý návod k vytváření bezpečných webových stránek – Secure Coding Guidelines. Dokument pokrývá široké spektrum problémů, od autentizace přes správu session či validace vstupních dat až po problematiku CSRF, XSS a podobých útoků. Více

Dle oficiálních informací Facebooku vzniká od 1. října 2011 povinnost využití protokolu HTTPS pro všechny Facebook aplikace. Facebook aplikace a tedy i veškeré vstupní stránky, Facebook eshopy a další iframe obsah na Faceoboku musí běžet na doméně… Více

Tohle pravidlo je mezi vývojáři notoricky známé – nebo by mělo být. Přesto nezaškodí si ho jednou za čas připomenout. Tentokrát na webu WebSpecies článkem Never trust your sources Více

Společnost Context IS na svém blogu představila možné bezpečnostní riziko technologie WebGL, která umožňuje pracovat s (akcelerovanou) 3D grafikou ve webových prohlížečích. Podle zprávy může útočník pomocí specifického postupu zaútočit na úrovni… Více