Zákazníky veřejně málo známé společnosti Cloudflare jsou projekty jako Uber, Zendesk, Yelp Fitbit či zhruba tři tisíce českých webů. Před dvěma týdny se v systému Cloudflare objevila chyba. Jejím důsledkem bylo, že se za určitých okolností mohla náhodně část HTTP požadavku nebo odpovědi dostat do odpovědi jiného zákazníka. Včetně citlivých informací.
Rubrika Bezpečnost
Útok na takzvaný darknet ukázal, že i v šifrovaných sítích dělají lidé stejné chyby. Útočníci získali data několika tisíc serverů a desítky tisíc e-mailových adres. Anonymní útok se chlubí odhalením velkého množství případů zneužívání dětí.
V předchozím článku jsem vám představil certifikační autoritu Let's Encrypt a protokol ACME. Nyní si ukážeme, jak s CA pomocí ACME komunikovat z prostředí .NET aplikace.
Asi jste již zaznamenali, že poslední dobou sílí snaha dostat maximum webů pod HTTPS. A k tomu jsou potřeba certifikáty, vydané důvěryhodnou certifikační autoritou. Řadu let jsem používat a doporučoval certifikační autoritu StartSSL, která vydávala běžné serverové i klientské certifikáty zdarma. Ta bohužel nyní přišla o svou důvěryhodnost v prohlížečích, neboť ji koupila čínská firma a začala vydávat certifikáty v rozporu s uznávanými pravidly. Řešením může být projekt Let's Encrypt, který vám chci představit v malém seriálu článků.
Poslední březnový den se v Praze uskuteční jednodenní konference o počítačové bezpečnosti SecPublica 2016. Jejím heslem je "securitas, res publica – bezpečnost, věc veřejná". Proč jsem se rozhodl ji uspořádat?
Poslední dobou se hodně mluví o *end-to-end encryption*. Někteří (zejména policejní a podobné složky) proti tomu bojují, jiní (zejména aktivisté za ochranu soukromí) to propagují. Ale většina běžných vývojářů neví, co to je. Proto jsem připravil přednášku, na které si ukážeme, jak navrhnout bezpečnou komunikační aplikaci, se kterou si - bude-li správně použita - neporadí ani NSA. A také si povíme, proč ani takové aplikace nebudou znamenat konec policejní práce. Příkklady k prezentaci si můžete stáhnout na http://www.cdn.altairis.cz/Prednasky/20160218-E2E-WTF.zip Záznam akce konané v Praze dne 18. února 2016.
Často se mluví o “HTTPS Everywhere” a jedním z pozitivních trendů dnešní doby je snaha maximálně využívat HTTPS pokud možno všude a pokud možno by default. IIS od verze 8.0 (Windows 2012) disponuje funkcí Centralized SSL Certificates, která dovoluje práci s certifikáty velice výrazně usnadnit. V tomto článku vám ukážu postup krok za krokem, jak tuto funkci nastavit a používat.
Co dělají pro svou bezpečnost na Internetu bezpečnostní profesionálové a co běžní uživatelé? Nejčastější postupy běžných uživatelů jsou v podstatě bezcenné, ačkoliv často uživatele obtěžují. Pojďme se naučit od profíků, které jednoduché zásady dodržovat, aby byl váš pohyb v kyberprostoru co nejbezpečnější. Jakou skutečnou hodnotu má váš antivirový software? Je opravdu třeba heslo měnit co možná nejčastěji? Záznam akce konané v Alza TechZone dne 22. 10. 2015
Říká se, že data bez zálohy nevlastníte, máte je jenom propůjčena. Přežijí vaše data kolaps pevného disku ve vašem počítači? A co lidskou chybu uživatele, požár bytu či kanceláře? Ukončení služeb vašeho cloudového poskytovatele služeb? Přijít o celý digitální život je dnes poměrně snadné. Ale naštěstí je stejně snadné (a navíc poměrně levné a bezpracné) se před takovou chybou ochránit. Záznam akce konané v Alza TechZone dne 24. 9. 2015
V šestém dílu seriálu o vytvoření "zlé maliny" pro útoky sociálním inženýrstvím si ukážeme, jak vytvořit webovou aplikaci, která se bude tvářit jako autentizační captive portál a pokusí se z uživatelů vylákat přihlašovací údaje k populárním službám. Použijeme přitom ASP.NET 5 a MVC 6.