Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Sekurak/Offline #2 – drugi numer zina o bezpieczeństwie!
Drugi numer Sekurak/Offline to przeszło 60 stron tekstów o bezpieczeństwie aplikacji webowych. Całość w niezmienionej formie: bezpłatnie, w atrakcyjnej oprawie, treściwie i dostępne również na urządzenia mobilne.
Do pobrania również pierwszy pierwszy numer zina
Sekurak/Offline #2
Sekurak/Offline #2 zawiera 9 rozbudowanych tekstów – w szczególności poruszających mniej znane tematy (np. atakowanie mechanizmów crypto spotykanych czasem w aplikacjach webowych czy kwestie bezpieczeństwa związane z mechanizmem Service Workers). Jest też trochę o ochronie – w szczególności polecam rozbudowane opracowanie o ModSecurity.
W każdym razie, jest co czytać – i mam na myśli zarówno początkujących, jak i zaawansowanych.
Subskrypcja na Sekurak/Offline
Do pobrania zina nie wymagamy podania e-maila czy innych swoich danych, choć, aby otrzymywać informacje o najświeższych numerach, można zapisać się poniżej (całość zajmuje 10 sekund).
W ramach subskrypcji możecie też otrzymać okazjonalnie informacje od załogi sekuraka, ale nie ma obaw: maili nie przekazujemy dalej.
[wysija_form id=”4″]
Podobnie, jak w poprzednim numerze, udostępniamy wersję .epub oraz .mobi:
Sekurak/Offline #2 – mobile.
–Michał Sajdak
na 6 stronie w pierwszej kolumnie w akapicie pod obrazkiem podaliście chyba błędny adres, zamiast chrome://serviceworker-internals/ podaliście chrome://inspect/#service-workers ;)
Bardzo fajnie się to czyta. Jedno z lepszych opracowań tematów dotyczących bezpieczeństwa aplikacji webowych w Polsce (i – co ważniejsze – po polsku).
Niemniej wkradł się mały błąd ;)
W artykule o CSP, na liście nowych dyrektyw w CSP 3 można przeczytać:
> manifest-src – restrykcje dotyczące pliku manifestu mechanizmu „HTML5 Offline Web Applications”,
Owszem, restrykcje te dotyczą pliku manifestu, ale… nie tego. AppCache, będące częścią standardu HTML5, jest po prostu martwe (a z przyszłych wersji standardu jest usuwane: https://www.w3.org/TR/html51/browsers.html#offline-web-applications ). ServiceWorker jedynie pozamiatał resztki. Z tego też powodu nikt się tą technologią już nie przejmuje ;) Manifest, o którym tutaj mowa, to manifest webaplikacji: https://www.w3.org/TR/appmanifest/ → potężne ustrojstwo dostarczające wszystkich metadanych aplikacji webowej oraz umożliwiające jej „zainstalowanie” na ekranie startowym telefonu czy pulpicie PC-a.
Co do Service Workera: byłem prawie pewien, że nie da się przechwycić żądań cross-domain. Cóż, myliłem się. W gruncie rzeczy to mechanizm, którego od zawsze chcieli wszyscy developerzy, a z drugiej strony – ciut strach… Dobrze przynajmniej, że HTTPS jest wymogiem. Dobrze też, że W3C pracuje nad tego typu obostrzeniami dla wszystkich „powerful features” (https://w3c.github.io/webappsec-secure-contexts/ ). Przynajmniej jedna wymówka więcej dla HSTS i (przy okazji) HTTP/2 ;)
Dzięki za info – autorzy na pewno już kukają. A co lepsze – jeśli mamy wydanie elektroniczne – erratę możemy robić LIVE :]
Siedziałem kiedyś dużo przy Offline Web Applications — pomagałem wdrażać, szkoliłem w kontekście bezpieczeństwa. Jak widać HTML „The Living Standard” jest niezwykle dynamiczny. Chwilę w temacie nie siedzisz i dowiadujesz się, że w jeden dzień App Manifest to jedno, a w drugi dzień już coś innego.
Piękny urok (a czasem przekleństwo) tej naszej branży IT.
Wielkie dzięki za info. W okresie świątecznym nadrobię zaległości i zamieszczę erratę :-)
No nareszcie, myślałem że porzuciliście pomysł ezina… :(
Czy planujecie zina o bezpieczenstwie stacji roboczych, czyki cos dla zwyklego zjadacza chleba a nie pentestera?
Zobaczymy o czym będzie #3 – jest spora szansa że o monitoringu bezpieczeństwa sieci.
I by był super pomysł. Patrząc na poziom pierwszych zinów, byłoby pomocne.
Świetnie, może poruszycie takie kwestie:
-jak zbudować we własnej sieci bramę opartą na TOR
-jak szyfrować zapytania DNS, bezpieczny serwer DNS na własne potrzeby
-jak bezpiecznie używac VPN
-prywatność przeglądarek
-bezpieczeństwo wirtualizacji na desktopie (długa recenzja Qubes Os po polsku?)
-jak skonfigurować dobry backup na stacji roboczej
-inne dobre praktyki
Pozdrawiam
Super. Dzieki Wam poznałem SecurityOnion, dobry soft, jak na razie nie spotkałem nic lepszego
Jeśli byłaby możliwość, uspójnijcie tagi dla zina.
Próbowałem przejść z pierwszego numeru do drugiego i w tej chwili jedyny spójny tag to „bezpieczeństwao aplikacji webowych”, który w dodatku ma literówkę (ale konsekwentną literówkę).
Anyway dzięki za nowy numer, będę miał lekturę na święta:).
Pozdrawiam
JN
Jest prosta metoda: http://sekurak.pl/offline/
hint o tagach, thx -> poprawione.
„Przeglądarka Chrome ma jeszcze jeden specjalny URL pokazujący listę Service Workerów,
mianowicie: chrome://inspect/#service-workers (rysunek 3). ”
Tutaj wkradł się mały błąd, powinno chyba być chrome://serviceworker-internals
Fajne te wasze klikalne formularze w PDF-ach, ale (a) linki lepsze i (b) zróbcie też zwykły spis treści w metadanych PDF-a.
SHA256: a390f8bcbb406379190e9c6617317d27d4d8d5a7f7dabf817cfdeac17143c602
Nazwa pliku: sekurak-offline-2-final.pdf
Współczynnik wykrycia: 0 / 56
Data analizy: 2016-03-25 07:00:53 UTC ( 0 minut temu )
Można czytać :)
W fikcyjnym serwisie stworzonym na potrzeby artykułu „Czym jest i jak wykorzystać podatność Relative Path Overwrite/Path–Relative Style Sheet Import (RPO/PRSSI)” została użyta zła nazwa gry. Powinno być darkest dungeon zamiast Darkness Dungeon :D
Grunt, że dobra :P
A może sprzedający to… oszust? ;-)
Ja zwróciłam uwagę na tło… podoba mi się Pana poczucie humoru :D
Czyli jednak nie dało rady pozbyć się tego panelu po prawej żeby powstał normalny PDF…?
Pracujemy nad lekko innym layoutem – nawet jakieś próbki już mam. Ale niestety na wszystko nie ma czasu :(
http://storage8.static.itmages.com/i/16/1021/h_1477080945_8756017_656a47e9c6.png
https://github.com/sekurak/offline/raw/master/sekurak-offline-2-final.pdf
Nie działa :(
To działa: http://sekurak.pl/zin/2.pdf