Braňte své webové aplikace jako když paříte Starcrafta

Abstrakt

Webové aplikace by při stavění ochrany neměly spoléhat jen na vývojáře, že všechno správně oescapuje. A ti by neměli usínat s přáním "tohle není třeba, nás stejně nikdo nehekne". Protože až to přijde, tak už bude pozdě na to něco vymýšlet.

Zmíníme se o návrhu vícevrstvých ochran webů a aplikací, a ukážeme si to konkrétně na Content Security Policy (CSP) a Subresource Integrity (SRI), ale i dalších technologiích, které jsou sice běžně dostupné, ale mohly by se používat mnohem více.

Michal Špaček

Michal je webový vývojář a "security inženýr". Pořádá školení, zajímá ho bezpečnost a výkon, staví, boří a testuje webové aplikace. Přednášel na více než 100 konferencích a akcích, včetně WebExpa v Praze a Passwords v Las Vegas, na obou opakovaně. Pracoval na platebních systémech ve Skype,zlepšoval zabezpečení Slevomatu, pracoval také pro Apiary a v současné době parsuje JSON v agregátoru reportů Report URI. Michal o bezpečnosti rád mluví veřejně, hledá hranice tak, že je posouvá. Chce naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

https://www.michalspacek.cz