Přehled všech článků

Neznámá must-have aplikace pro Android?

Jak se nazývá opak zkracovače odkazů?

Představte si aplikaci, která je tak důležitá, že ji ve svém telefonu prostě musíte mít. Jenže ji zatím ani neznáte! :)

A nebo vám ji představím já.

Prodlužovač zkrácených adres

Zní to jistě zvláštně, ale nejsnáze se dá říct, že jde o opak zkracovače adres. A teď hlavně k čemu je to dobré? Především v situacích, kdy máte více aplikací namísto mobilního webu. Což je trend, který jak víme je velmi na vzestupu… mobilní aplikace budou na všechno. I když by to měl být jen webview stejně ho uživatelé chtějí.


Svoboda pro port 80 (na Windows 10)

Anabáze o portu 80 ve Windows 10.

Konečně, po tolika hodinách jsem zjistil, co je konkrétně ve Windows 10 na localhostu na portu 80. Tak ale postupně …

Přeinstalace počítače a je tam! Po čisté instalaci Windows 10 a všech updatů je na portu 80 nějaká 404-ka! Neuvěřitelné, dělá to nějaký ovladač k hardware? Bývají často zbytečně obsáhlé a šílené grafické prostředí tvořené pomocí webview nejsou nic nezvyklého.



Uzamkněte webové formuláře po odeslání :)

TL;DR verze V prohlížečích je zapnuté automatické vyplňování formulářů. Může uživateli uložit špatné hodnoty. Zvlášť v případě přihlášení když uloží špatné jméno/heslo je to velká nepříjemnost. Může se to stát snáze než si myslíte. A i zabránit tomu můžete snadno;

Není moc scriptů u kterých by se dalo říct že jsou univerzální a jsou potřeba na každém webu. Spousta lidí vám řekne že na webu nejsou potřeba žádné javascripty. No a já vás zkusím přesvědčit že jsou. Roky byl hezkým příkladem byl script který otevíral obrázky vložené do stránky metodou přetažení (drag&drop) na místo kde k tomu není dropzone a obslužný javascript. Co to udělalo? No přepsalo aktuální stránku obrázkem. Takže jste přišli o uživatele. Vrátí se? Možná ano, možná ne.


Subresource integrity check u javascriptových modulů

TD;DR verze Javascriptové moduly nemají nástroj jak zkontrolovat integritu souboru vkládaného do vaší stránky. Bezpečnost se ale i tak dá zajistit pomocí směsice unikátního chování modulů, modul se totiž nikdy nevkládá 2x a v případě že první pokus o vložení selže na základě špatné integrity, druhý pokus se již neprovádí. Funguje jak pro klasický tak dynamický import modulu.

Javascriptové moduly? Co to je?

Tento článek pojednává o tom, jak javascriptové moduly zabezpečit pomocí subresource integrity, o tom, co to vlastně je ten modul si můžete přečíst v dnešním důkladně zpracovaný článek na Vzhůru dolů.

Proč? Aneb motivace.

Sice to všichni víme, ale malé opáčko: HTML stránka od počátku standardů do současnosti (kdy už máme jen 1 standard :) ) může skládat z více nezávislých částí. Obrázky, scripty, css, všechno mohou být samostatné soubory, klidně z jiné domény, kterou nemám pod svou správou. Tady právě může nastat problém, když z cizího zdroje vložím něco co potřebuji, může se stát, že za nějaký čas se na tom samém umístění objeví škodlivý kód a já ho stále vkládám a nemám ani nejmenší tušení, co se děje. Stejně tak může škodlivý kód být nějak zapodmínkovaný (třeba zobrazit škodlivý kód podle hlavičky jen uživatelům se starším prohlížečem, který je možné napadnout). A změnu součástí může provést také někdo kdo má přístup ke komunikaci, v případě nešifrovaného spojení… to už se vlastně v dnešní době stát nemůže, tak nic. Ale změnu zdrojů vám může ve vašem PC provést různý malware či nebezpečný plugin do prohlížeče. A že se to skutečně stává, útočníci takto rádi buď integrují těžbu kryptoměn nebo jen změní id toho kdo inkasuje peníze za reklamy na webu, případně vloží spoustu nových dalších reklam, které by na webu jinak neměli co dělat. Možnosti zneužití jsou samozřejmě neomezené a jak se říká fantazii se meze nekradou. Říká se to takhle, ne ?


Startovač vlastní widget do webové stránky

Widget pro zobrazení Startovač projektu na vlastním webu V podstatě obdoba takového okénka od Startovače https://www.startovac.cz/novinky/detail/1222/ jen bez toho iframe, document.write() a dalších nepěkných věcí. Jak na to? Potřebný je tu jediný soubor a to startovacWidgetic.mjs. Ten vložit do stránky a spustit takto nějak: <div id="startovac-canvas" hidden></div> <script type="module" src="…

O CSP v 2020

To je ale nadpis, takových zkratek, ale jde o Content-Security-Policy…

TL;DR verze U CSP jsou nové vlastnosti, jsou zrušené vlastnosti a je změna chování. Plus několik tipů co by se mohly hodit.