-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Sekurak/Offline #2 – drugi numer zina o bezpieczeństwie!

02 kwietnia 2016, 18:48 | Offline | komentarze 23

Drugi numer Sekurak/Offline to przeszło 60 stron tekstów o bezpieczeństwie aplikacji webowych. Całość w niezmienionej formie: bezpłatnie, w atrakcyjnej oprawie, treściwie i dostępne również na urządzenia mobilne. 

Do pobrania również pierwszy pierwszy numer zina
Sekurak/Offline #2

Sekurak/Offline #2

Sekurak/Offline #2 zawiera 9 rozbudowanych tekstów – w szczególności poruszających mniej znane tematy (np. atakowanie mechanizmów crypto spotykanych czasem w aplikacjach webowych czy kwestie bezpieczeństwa związane z mechanizmem Service Workers). Jest też trochę o ochronie – w szczególności polecam rozbudowane opracowanie o ModSecurity.

W każdym razie, jest co czytać – i mam na myśli zarówno początkujących, jak i zaawansowanych.

Subskrypcja na Sekurak/Offline

Do pobrania zina nie wymagamy podania e-maila czy innych swoich danych, choć, aby otrzymywać informacje o najświeższych numerach, można zapisać się poniżej (całość zajmuje 10 sekund).
W ramach subskrypcji możecie też otrzymać okazjonalnie informacje od załogi sekuraka, ale nie ma obaw: maili nie przekazujemy dalej.

[wysija_form id=”4″]

Podobnie, jak w poprzednim numerze, udostępniamy wersję .epub oraz .mobi:

 

Sekurak/Offline #2 - mobile

Sekurak/Offline #2 – mobile.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Krzysiek

    na 6 stronie w pierwszej kolumnie w akapicie pod obrazkiem podaliście chyba błędny adres, zamiast chrome://serviceworker-internals/ podaliście chrome://inspect/#service-workers ;)

    Odpowiedz
  2. Bardzo fajnie się to czyta. Jedno z lepszych opracowań tematów dotyczących bezpieczeństwa aplikacji webowych w Polsce (i – co ważniejsze – po polsku).

    Niemniej wkradł się mały błąd ;)

    W artykule o CSP, na liście nowych dyrektyw w CSP 3 można przeczytać:

    > manifest-src – restrykcje dotyczące pliku manifestu mechanizmu „HTML5 Offline Web Applications”,

    Owszem, restrykcje te dotyczą pliku manifestu, ale… nie tego. AppCache, będące częścią standardu HTML5, jest po prostu martwe (a z przyszłych wersji standardu jest usuwane: https://www.w3.org/TR/html51/browsers.html#offline-web-applications ). ServiceWorker jedynie pozamiatał resztki. Z tego też powodu nikt się tą technologią już nie przejmuje ;) Manifest, o którym tutaj mowa, to manifest webaplikacji: https://www.w3.org/TR/appmanifest/ → potężne ustrojstwo dostarczające wszystkich metadanych aplikacji webowej oraz umożliwiające jej „zainstalowanie” na ekranie startowym telefonu czy pulpicie PC-a.

    Co do Service Workera: byłem prawie pewien, że nie da się przechwycić żądań cross-domain. Cóż, myliłem się. W gruncie rzeczy to mechanizm, którego od zawsze chcieli wszyscy developerzy, a z drugiej strony – ciut strach… Dobrze przynajmniej, że HTTPS jest wymogiem. Dobrze też, że W3C pracuje nad tego typu obostrzeniami dla wszystkich „powerful features” (https://w3c.github.io/webappsec-secure-contexts/ ). Przynajmniej jedna wymówka więcej dla HSTS i (przy okazji) HTTP/2 ;)

    Odpowiedz
    • Dzięki za info – autorzy na pewno już kukają. A co lepsze – jeśli mamy wydanie elektroniczne – erratę możemy robić LIVE :]

      Odpowiedz
    • Siedziałem kiedyś dużo przy Offline Web Applications — pomagałem wdrażać, szkoliłem w kontekście bezpieczeństwa. Jak widać HTML „The Living Standard” jest niezwykle dynamiczny. Chwilę w temacie nie siedzisz i dowiadujesz się, że w jeden dzień App Manifest to jedno, a w drugi dzień już coś innego.

      Piękny urok (a czasem przekleństwo) tej naszej branży IT.

      Wielkie dzięki za info. W okresie świątecznym nadrobię zaległości i zamieszczę erratę :-)

      Odpowiedz
  3. Nitro

    No nareszcie, myślałem że porzuciliście pomysł ezina… :(

    Odpowiedz
  4. tom

    Czy planujecie zina o bezpieczenstwie stacji roboczych, czyki cos dla zwyklego zjadacza chleba a nie pentestera?

    Odpowiedz
    • Zobaczymy o czym będzie #3 – jest spora szansa że o monitoringu bezpieczeństwa sieci.

      Odpowiedz
      • Ninja

        I by był super pomysł. Patrząc na poziom pierwszych zinów, byłoby pomocne.

        Odpowiedz
      • tom

        Świetnie, może poruszycie takie kwestie:
        -jak zbudować we własnej sieci bramę opartą na TOR
        -jak szyfrować zapytania DNS, bezpieczny serwer DNS na własne potrzeby
        -jak bezpiecznie używac VPN
        -prywatność przeglądarek
        -bezpieczeństwo wirtualizacji na desktopie (długa recenzja Qubes Os po polsku?)
        -jak skonfigurować dobry backup na stacji roboczej
        -inne dobre praktyki

        Pozdrawiam

        Odpowiedz
      • tom

        Super. Dzieki Wam poznałem SecurityOnion, dobry soft, jak na razie nie spotkałem nic lepszego

        Odpowiedz
  5. Jurek

    Jeśli byłaby możliwość, uspójnijcie tagi dla zina.
    Próbowałem przejść z pierwszego numeru do drugiego i w tej chwili jedyny spójny tag to „bezpieczeństwao aplikacji webowych”, który w dodatku ma literówkę (ale konsekwentną literówkę).

    Anyway dzięki za nowy numer, będę miał lekturę na święta:).

    Pozdrawiam
    JN

    Odpowiedz
  6. red

    „Przeglądarka Chrome ma jeszcze jeden specjalny URL pokazujący listę Service Workerów,
    mianowicie: chrome://inspect/#service-workers (rysunek 3). ”

    Tutaj wkradł się mały błąd, powinno chyba być chrome://serviceworker-internals

    Odpowiedz
  7. Fajne te wasze klikalne formularze w PDF-ach, ale (a) linki lepsze i (b) zróbcie też zwykły spis treści w metadanych PDF-a.

    Odpowiedz
  8. Bolse

    SHA256: a390f8bcbb406379190e9c6617317d27d4d8d5a7f7dabf817cfdeac17143c602
    Nazwa pliku: sekurak-offline-2-final.pdf
    Współczynnik wykrycia: 0 / 56
    Data analizy: 2016-03-25 07:00:53 UTC ( 0 minut temu )

    Można czytać :)

    Odpowiedz
  9. Pawel

    W fikcyjnym serwisie stworzonym na potrzeby artykułu „Czym jest i jak wykorzystać podatność Relative Path Overwrite/Path–Relative Style Sheet Import (RPO/PRSSI)” została użyta zła nazwa gry. Powinno być darkest dungeon zamiast Darkness Dungeon :D

    Odpowiedz
  10. Deanna Troi

    Ja zwróciłam uwagę na tło… podoba mi się Pana poczucie humoru :D

    Odpowiedz
  11. Czyli jednak nie dało rady pozbyć się tego panelu po prawej żeby powstał normalny PDF…?

    Odpowiedz
    • Pracujemy nad lekko innym layoutem – nawet jakieś próbki już mam. Ale niestety na wszystko nie ma czasu :(

      Odpowiedz

Odpowiedz