Po-słowie na każdy temat

czyli programowanie i nie tylko

Slowloris, DoS – krótko i na temat

Czasami trzeba urozmaicić sobie życie, prawda? A więc dzisiaj kilka słów o kwestii DDoS i DoS (ataku slowloris). Szczerze pisząc, samego słowa kluczowego slowloris nie skojarzyłbym jeszcze jakiś czas temu. To był czysty przypadek, kiedy natrafiłem na informacje dotyczące tego ataku. Akurat ciekawość zaprowadziła mnie w czeluści Internetu, a mianowicie kwestie dotyczące zabezpieczeń przed DDoS serwera Apache. Tak, wiem to nie moja działka, ale nikt mi nie zabroni, by trochę rozpisać temat 🙂

Czytaj dalej…

PHP7, jako godny następca 5.6

Jeszcze kilka miesięcy temu (ale po wypuszczeniu PHP7) często spotykana wśród mało doświadczonych programistów i PM’ów była niechęć „zaryzykowania” uruchomienia tworzonej aplikacji na PHP7. Niechęć ta jest zupełnie przesadzona, chociaż ma swoje podstawowe uzasadnienie w „możliwości” niepowodzenia. Myślę, że jest to tożsame z wyborem systemu operacyjnego i decyzją, że nie wybieramy „cieplutkiej” nowej wersji, by dokonać tego po roku. Tak stajemy się „ciepłą kluchą” programowania – opóźnienie nie ma większych konsekwencji dla laików i zwykłych użytkowników Internetu, ale dla web developerów stanowi przepaść technologiczną. Należy korzystać z nowinek. Po roku oczekiwania zapewne twórcy pracują już nad nowszą wersją, a nierzadko wprowadzają na rynek nową wersję.

W przypadku PHP już na listopad 2016 planowany jest release wersji 7.1. Tempo stosowne, a dla niektórych nawet za szybkie, wyprzedzające podjęcie decyzji o przejściu z PHP5 na PHP7.

Oczywiście mogą wystąpić małe problemy przy zmianie wersji PHP, ale albo są one łatwe do naprawienia (kwestia jakichś modułów), albo problemy powiązane są z deprecated features lub backward incompatible changes. Informacje o wszelkich zmianach są łatwo dostępne na stronie migracji do PHP7.

O tym co nam daje najnowszy PHP w tym artykule.

Czytaj dalej…

CSP – tryb raportowania

Dzisiaj kolejny, na razie ostatni z serii, artykuł dotyczący zabezpieczenia poprzez CSP. W czasie powstawania aplikacji webowej, gdy zespół programistyczny jest mnogi oraz poziom zrozumienia tematyki CSP zróżnicowany warto we wstępnej fazie wdrożyć CSP w trybie raportowania. Inną sytuacją, która może wiązać się z użyciem trybu raportowania jest dodawanie CSP do już prężnie działającego serwisu. Tak czy inaczej, tryb ten przydaje się. Czy zmienia to coś w technice deklarowania dyrektyw? Nie, zmienia się wyłącznie nazwa pola nagłówka z Content-Security-Policy na Content-Security-Policy-Report-Only.

Czytaj dalej…

CSP – przykłady

Witajcie po małej przerwie spowodowanej natłokiem zadań związanych ze zmianą pracy, pragnieniu wypoczynku i planowaniu urlopu. Nazbierało się trochę tego wszystkiego i nie miałem głowy do kolejnego wpisu. Wybaczcie.

W związku z tym, że obiecałem Wam przykłady do artykułu o CSP, w niniejszym wpisie takie się znajdą. CSP to linia obrony przed kilkoma typami ataków na strony internetowe, więc zachęcam do sukcesywnego wdrażania jej w swoje projekty. Na pewno nic nie stracicie oprócz naprawdę kilku minut na dodanie ochrony i następnie konserwację zabezpieczenia.

Czytaj dalej…