Michal S̵̡͕͙̹̭̣̘̩̞̙̗̒̒̓̐͜ͅp̶̧̧̧͈̫̝̥̲͛͜â̵̛͕̜͕͕͍̼̻͔̻̥̻̈c̵̙̖̘̥̲͉͌́͜e̸̛̛͍̽́̀̐̀̎͠ķ̵̨̨̪̼͚͎̋̓̔̿̓͑͠
Zajímá mě bezpečnost webových aplikací, těch mých i těch ne-mých. michalspacek.cz
spazef0rze
Session
Moderní web je trochu jiný, než ten v dobách, kdy na počítačích vládl IE6. Dnes nevěříme ničemu, cokoliv pošle browser může být podvržené např. vloženým JavaScriptem, který je sice dobrý sluha, ale umí být i zákeřný pán. Jsou ale chvíle, kdy můžeme věřit i browseru: v přednášce si povíme o Sec-
hlavičkách a ukážu, jak jsme si díky nim a díky mému oblíbenému Content Security Policy (CSP) z těch třech vrcholů pomyslného trojúhelníku rychle-levně-kvalitně* vybrali všechny tři.
CSP se dnes nepoužívá tak často, jak bych si sám přál, možná proto, že často panuje názor "nám se to přece stát nemůže". Takže když u CSP budeme mluvit, tak zmíním tzv. Magecart útoky, které kradou čísla kreditek přímo z formulářů, do kterých se zadávají. Protože na tom dojít k bankomatu a dát tam skimmer je nejtěžší to dojít k bankomatu, že. Od roku 2025 díky PCI DSS 4.0, standardu pro ochranu dat platebních karet, budeme na platebních stránkách vídat CSP nebo nějakou podobnou věc mnohem častěji, dalo by se skoro říct furt. Proč? No to zatím nevím, ale když se rozhodnete tuhle přednášku navštívit, tak to budu muset zjistit 😅 (j/k)