Martin Michálek Martin Michálek  – 10. 10. 2024

Michal je bezpečnostní expert a Head of Security v Shoptetu. Povídali jsme si o nejen o tom, co aktuálně dělá (prý s námi zrovna natáčí podcast), ale zabrousili jsme hlavně do vod bezpečnosti.

Na základě našich nedávných zkušeností z cestování jsme probrali vícefaktorové (tzv. 2FA) zabezpečení a Michalova doporučení, jak se k němu stavět. Proč je důležité hlásit bezpečnostní chyby a proč tím Michal tráví svůj volný čas?

Vícefaktorové zabezpečení

  • Používejte aplikaci na hesla, které ukládá do cloudu, abyste vše neměli na jednom zařízení a zároveň zálohované. Třeba 1password.
  • Heslovací aplikace by zároveň měla umět generovat dočasné kódy pro 2FA.
  • 2FA je dneska spíše zavedený pojem pro jakékoliv vícekrokové zabezpečení, i když je to nepřesné. Druhý faktor v původním smyslu znamená potvrzování např. na jiném zařízení.

Proč a jak hlásit bezpečnostní chybu?

  • Michal to považuje za dobrý vývojářský i bezpečnostní výcvik. Zároveň tím zamezuje, že na chybu přijde někdo, kdo ji zneužije. Chyby se mu už dneska prý chodí ukazovat samy.
  • Když už něco najdete, nepište to nikam veřejně, nevysmívejte se, data nestahujte, nezneužívejte.
  • Pokuste se kontaktovat autory, i když to bývá náročné, např. hledáním přes kamarády, přes LinkedIn a tak dále…
  • Autorům webů Michal doporučuje mít soubor security.txt s kontakty na důležité osoby.

Podcast

Celá epizoda na videu

Host: Michal Špaček

Michal Špaček

Michal je bezpečnostní expert a Head of Security v Shoptetu. Jistě jej znáte díky jeho početným přednáškám a článkům o bezpečnosti. Píše o sobě také, že je „občasný lovec chyb“, který se může pochlubit úlovky v lesích Googlu, Atlassianu, T-Mobile a mnohých dalších. Dříve pracoval například pro Report URI, Slevomat nebo Skype. Žije na Šumavě.

michalspacek.czXLinkedIn

Obsah po minutách

  • Robinův první tip:State of HTML a<datalist> (0:41)
  • Robinův druhý tip: Technology Connections (4:45)
  • Martinův tip: Speed Brain od Cloudflare (6:50)
  • Představení Michala Špačka (10:45)
  • Špinění konzultantský rukou od práce (13:00)
  • Co Michal dělá v Shoptetu, zavádění 1password atd. (15:30)
  • Jak na dvoufaktorovou autentizaci (19:00)
  • Hory, na kterých chceme umřít: FTP vs. SFTP, CSS vs. CCS (33:00)
  • Optimalizace stránek pro vkládání ze správců hesel (38:00)
  • Atribut passwordrules (42:00)
  • Hlášení bezpečnostních chyb (44:00)
  • K čemu je /.well-known/change-password (56:00)
  • Trolení pomocí phpinfo.php (58:00)
  • Jak je to s odměnami za hlášení chyb (59:45)

Odebírejte podcast ze Vzhůru dolů

SpotifyApple PodcastsTuneInRSS podcastů

Nápad? Chyba? Připomínka? Pochvala? Pište nám na e-mail [email protected] nebo kamkoliv jinam. Hlavně, aby se to k nám dostalo.

Přejeme vám příjemný poslech!

Komentáře

Máte doplnění, komentář nebo jste našli chybu?
Pro přidání názoru se prosím
přihlaste nebo si zřiďte účet.