G

oogle wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (ang. Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na aplikacje webowe.
[ czytaj całość… ]

P

rzeglądarki Chrome oraz Chromium wraz z wydaniem wersji 51 przestały wspierać rozszerzenie protokołu TLS – NPN, który pozwalał na negocjację połączeń za pomocą protokołu SPDY i HTTP/2 z klientami. Mechanizm ten został zastąpiony ALPN. Dobrą decyzją jest przełączenie się z NPN na ALPN, ponieważ wiąże się z tym więcej korzyści niż strat, ale całkowite porzucenie NPN już decyzją dobrą nie jest.
[ czytaj całość… ]

P

trace(2) jest wspaniałym narzędziem do rozwiązywania problemów dla programistów, którzy chcą poznać jak funkcjonują procesy w systemie Linux. Umożliwia odnajdywanie błędów programistycznych, czy wycieków pamięci. Z drugiej strony ptrace może zostać wykorzystane przez osoby o złych intencjach np. w celu debugowania procesu jako nieuprzywilejowany użytkownik, aby odczytać zawartość pamięci programu.
[ czytaj całość… ]

D

NS Prefetching polega na próbie rozwiązania innej nazwy domenowej przed kliknięciem użytkownika na link znajdujący się w tej domenie. Co to oznacza w praktyce? Na przykład strona nfsec.pl hostuje wszystkie swoje pliki graficzne za pomocą usługi CDN (ang. Content Delivery Network) w domenach img(1|2|3).nfsecstatic.pl oraz używa API pod adresem api.nfsec.pl. Jeśli na stronie głównej lub podstronach strony nfsec.pl będą znajdowały się aktywne linki lub zasoby wykorzystujące w/w nazwy domenowe – to dopiero w momencie kliknięcia użytkownika na wybrany link lub odwołanie się do konkretnego zasobu (np. wyświetleniu obrazka) – przeglądarka dokona rozwiązania DNS, czyli przetłumaczenia nazwy domenowej na konkretny adres IP.
[ czytaj całość… ]

G

oogle Chrome posiada możliwość uruchomienia akceleracji GPU, czyli pełne wykorzystanie możliwości karty graficznej podczas oglądania stron internetowych i aplikacji na nich umieszczonych. Na przykład przeprowadzając test w serwisie FishTank bez aktywnej akceleracji GPU, a na procesorze Intel(R) Xeon(R) 5130 @ 2.00GHz i rozmiarze okna 1280 x 909 uzyskano następujące wyniki:
[ czytaj całość… ]

I

gnorancja to błogosławieństwo – nawet w czasach Web 2.0 – istnieją niezliczone mity krążące wokół użytkowników Internetu, dotyczące bezpieczeństwa aplikacji Webowych. Niektóre z starych, ale jarych (np. użytkownik zawsze będzie wiedział kiedy wirus lub koń trojański zaatakuje jego komputer) tworzą to coraz nowsze mity obracające się wokół wyszukiwarki Google, sieci społecznościowych i przeglądarek internetowych. Przewaga krążących informacji na temat bezpieczeństwa Web 2.0 potrafi trochę namieszać w ogólnym, naszym pojęciu o tej technologii. Oto kilka informacji mających na celu próbę wyprostowania niektórych z największych nieporozumień dotyczących bezpieczeństwa aplikacji Webowych.
[ czytaj całość… ]