SlideShare une entreprise Scribd logo

Total Cost of Pwnership

Télécharger en tant que ODP, PDF
Michal Špaček
Michal Špaček

Pětiminutový Ignite Talk o tom, kolik vlastně stojí to zabezpečení webu.

Internet
1  sur  20
Total Cost of Pwnership Michal Špaček www.michalspacek.cz @spazef0rze Kolik vlastně stojí ta webová bezpečnost? Často slyším nebo čtu názor, že bezpečnost je drahá, že ji zákazník nezaplatí nebo že ji dokonce ani nechce! (Tyto slajdy jsou doplňeny mými poznámkami, původní verze je neobsahuje.)
Total Cost of Ownership Název přednášky vychází z pojmu TCO, který znamená celkové náklady na vlastnění něčeho. Ty se liší od pořizovací ceny a mohou být někdy mnohonásobně vyšší.
https://www.flickr.com/photos/didmyself/8340739405/ Představte si to třeba u auta, koupíte nové za půl mega, ročně vás servis stojí 10k a plná nádrž benzínu 2k. Pojištění a voňavý stromečky taky něco stojí, takže rázem jste na dalších 100k ročně.
Fakturujeme Vám Jenže u nějaké základní webové bezpečnosti je to trochu jinak. Klientovi uděláte web, taky za půl mega, a pak mu ještě chcete naúčtovat 100k za to, že mu ho uděláte bezpečný?
WTF? Cože? To jako když jdete k zubaři, tak mu taky strkáte kilo do kelímku na vypláchnutí za to, aby si tu jeho vrtačku nespletl s laparoskopem a nepustil vám ji do břicha? Asi ne, co…
OWASP Top 10 Tak proč by vývojáři měli chtít za aspoň trochu bezpečný web nějaký příplatek? Je to služba navíc? Ne, není. Teď se nebavíme o implementacích bůhvíčeho, ale dejme tomu o základních problémech, které popisuje OWASP Top 10.
{$address} × {!$address} Vždyť jaký je rozdíl mezi výpisem proměnné bez jejího ošetření a výpisem proměnné se správným ošetřením třeba v Nette? Skoro žádný, tak jakejpak příplatek, za co? Jasně, musíte vědět, jak to napsat, ale přesně proto si lidi nechávají dělat weby u webových vývojářů a ne u truhlářů.
$tco++ Ve skutečnosti je celkový náklad na špatně zabezpečený web docela vysoký. Jakmile dojde k nějakému bezpečnostnímu incidentu, a že k němu někdy nejspíš dojde (a když budete mít štěstí, tak se o něm i dozvíte)…
…tak ho musíte vyřešit, co nejrychleji a to jak technicky, tak správnou informovaností zákazníků a obojí stojí nějaké peníze, nehledě na to, že jste se místo toho chtěli třeba někde válet na pláži.
It's not funny when you're next Je jasné, že dříve nebo později každý udělá nějakou tu chybu, to se stává, ale fakt velkýmu průšvihu se dá zabránit, třeba pomocí více vrstev ochrany. Přesně proto hashujeme hesla (ne pomocí MD5 ani SHA-1), chráníme tak naše zákazníky.
https://www.flickr.com/photos/cheukiecfu/3433122784/ Když tedy budete mít to štěstí a nějaký dobrák se rozhodne vám problém vašeho webu nahlásit, jak se nejlépe zachovat tak, aby z toho byla win-win situace, aby všechny strany měli pocit, že to mělo smysl?
Pokud někdo u vás na webu najde nějakou chybu, tak má asi tak milion možností, kam ji ohlásit a to, že si vybere zrovna vás má nějaký důvod a je to docela dobré znamení. Mohl to napsat nejdříve třeba na Twitter nebo Facebook.
OpenPGP Buďte připraveni na to, že vám reporter bude chtít poslat popis chyby nějakým zabezpečeným kanálem (ne, mobilem, textovkou ani Skypem to nebude), mějte po ruce třeba PGP klíč. V každém případě přijetí reportu pokud možno co nejdříve potvrďte.
Pokud víte, jak dlouho bude trvat oprava, rovnou to do potvrzení připište. Pokud je to něco náročnějšího a hned nevíte, dejte to reporterovi vědět a v klidu si to odhadněte a pak pošlete další zprávu s odhadem.
Hmm? Až to opravíte, požádejte reportera o ověření vaší opravy, může se totiž stát, že dva dny budete něco opravovat a nakonec opravíte nějaký úplně jiný problém.
Hmmmm? Pokud náhodou nevíte, co přesně ten reporter myslel nebo jak to opravit, tak se ho zeptejte. Kdyby nechtěl pomoci, tak vám nepíše. A nebojte, zlí hoši vám problémy na vašem webu hlásit nebudou.
Když náhodou někdo ohlásí bug nejdříve vašemu klientovi a ne vám jakožto výrobci webu, tak se na něj nemůžete zlobit. Rozhodně to není neprofesionální. Neprofesionální je nechat na webu triviální bezpečnostní díry.
Nikdo nemá povinnost hlásit chyby vám ani vašemu klientovi, každý si může s nalezenou chybou dělat, co chce. Někdo je používá na školení bezpečnosti jako odstrašující případy. Jsou dokonce celá školení zaměřená jen na exploitování iOS.
Jsou i firmy, které chyby kupují a dál je prodávají různým vládním i nevládním spolkům. Prý je to docela dobrý business.
Bezpečnost je míra ne vlastnost Pamatujte, že bezpečnost je míra a ne vlastnost, snažte se, abyste tuto míru zbytečně nesnižovali. Držím palce! Michal Špaček www.michalspacek.cz @spazef0rze

Recommandé

Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Michal Špaček
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchMichal Špaček
 
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)Michal Špaček
 
HTTPS (a šifrování) všude
HTTPS (a šifrování) všudeHTTPS (a šifrování) všude
HTTPS (a šifrování) všudeMichal Špaček
 
Přechod na HTTPS
Přechod na HTTPSPřechod na HTTPS
Přechod na HTTPSMichal Špaček
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQMichal Špaček
 
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostWebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostMichal Špaček
 
Poučte se z cizích chyb
Poučte se z cizích chybPoučte se z cizích chyb
Poučte se z cizích chybMichal Špaček
 

Recommandé

Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Michal Špaček
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchMichal Špaček
 
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)Michal Špaček
 
HTTPS (a šifrování) všude
HTTPS (a šifrování) všudeHTTPS (a šifrování) všude
HTTPS (a šifrování) všudeMichal Špaček
 
Přechod na HTTPS
Přechod na HTTPSPřechod na HTTPS
Přechod na HTTPSMichal Špaček
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQMichal Špaček
 
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostWebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostMichal Špaček
 
Poučte se z cizích chyb
Poučte se z cizích chybPoučte se z cizích chyb
Poučte se z cizích chybMichal Špaček
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojářeMichal Špaček
 
Medvědí služba
Medvědí službaMedvědí služba
Medvědí službaMichal Špaček
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015tomashala
 
Hashování hesel
Hashování heselHashování hesel
Hashování heselMichal Špaček
 
Zabezpečení Slevomatu
Zabezpečení SlevomatuZabezpečení Slevomatu
Zabezpečení SlevomatuMichal Špaček
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DODDoubry99
 
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingZáklady webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingMichal Špaček
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Michal Špaček
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníMichal Špaček
 
Hlava není na hesla
Hlava není na heslaHlava není na hesla
Hlava není na heslaMichal Špaček
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPressRadek Kucera
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...Michal Špaček
 
WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressVladimír Smitka
 
Smart Cities Brno 2015
Smart Cities Brno 2015Smart Cities Brno 2015
Smart Cities Brno 2015Jan Cibulka
 
Mapy na IHNED.cz
Mapy na IHNED.czMapy na IHNED.cz
Mapy na IHNED.czJan Cibulka
 

Contenu connexe

Tendances

Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojářeMichal Špaček
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015tomashala
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DODDoubry99
 
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingZáklady webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingMichal Špaček
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Michal Špaček
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníMichal Špaček
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)Martin Michálek
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPressRadek Kucera
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...Michal Špaček
 
WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressVladimír Smitka
 

Tendances (20)

Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
 
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojáře
 
Medvědí služba
Medvědí službaMedvědí služba
Medvědí služba
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015
 
Hashování hesel
Hashování heselHashování hesel
Hashování hesel
 
Zabezpečení Slevomatu
Zabezpečení SlevomatuZabezpečení Slevomatu
Zabezpečení Slevomatu
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DOD
 
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingZáklady webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránky
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webů
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
 
Hlava není na hesla
Hlava není na heslaHlava není na hesla
Hlava není na hesla
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
 
Základní pluginy pro WordPress
Základní pluginy pro WordPressZákladní pluginy pro WordPress
Základní pluginy pro WordPress
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...
 
WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPress
 

En vedette

Smart Cities Brno 2015
Smart Cities Brno 2015Smart Cities Brno 2015
Smart Cities Brno 2015Jan Cibulka
 
Mapy na IHNED.cz
Mapy na IHNED.czMapy na IHNED.cz
Mapy na IHNED.czJan Cibulka
 
Mapování kriminality - NMI 14
Mapování kriminality - NMI 14Mapování kriminality - NMI 14
Mapování kriminality - NMI 14Jan Cibulka
 
Právo na informace (sjezd KGK v Berouně)
Právo na informace (sjezd KGK v Berouně)Právo na informace (sjezd KGK v Berouně)
Právo na informace (sjezd KGK v Berouně)Jan Cibulka
 
#DDJ at BabelTalk
#DDJ at BabelTalk#DDJ at BabelTalk
#DDJ at BabelTalkJan Cibulka
 
Search Session 2012
Search Session 2012Search Session 2012
Search Session 2012Jan Cibulka
 
Právo na informace
Právo na informacePrávo na informace
Právo na informaceJan Cibulka
 
Úvod do otevřená geoinfrastruktury
Úvod do otevřená geoinfrastrukturyÚvod do otevřená geoinfrastruktury
Úvod do otevřená geoinfrastrukturyJachym Cepicky
 
Kvalita života z pohledu novin (a GIS)
Kvalita života z pohledu novin (a GIS)Kvalita života z pohledu novin (a GIS)
Kvalita života z pohledu novin (a GIS)Jan Cibulka
 
Otevřená (geo)data v českých i zahraničních redakcích
Otevřená (geo)data v českých i zahraničních redakcíchOtevřená (geo)data v českých i zahraničních redakcích
Otevřená (geo)data v českých i zahraničních redakcíchJan Cibulka
 
Barbora Urbancová - Testování v Seleniu
Barbora Urbancová - Testování v SeleniuBarbora Urbancová - Testování v Seleniu
Barbora Urbancová - Testování v SeleniuDevelcz
 
Petr Kováčik - Personalizace webu
Petr Kováčik - Personalizace webuPetr Kováčik - Personalizace webu
Petr Kováčik - Personalizace webuDevelcz
 
Michal Illich - Big Data Image Compression
Michal Illich - Big Data Image CompressionMichal Illich - Big Data Image Compression
Michal Illich - Big Data Image CompressionDevelcz
 
Tomáš Srnka - História, súčastnosť a budúcnosť spracovania PHP... vieme PHP...
Tomáš Srnka - História, súčastnosť a budúcnosť spracovania PHP... vieme PHP...Tomáš Srnka - História, súčastnosť a budúcnosť spracovania PHP... vieme PHP...
Tomáš Srnka - História, súčastnosť a budúcnosť spracovania PHP... vieme PHP...Develcz
 
Jiří Knesl - Techniky paralelního programování pro 21. století
Jiří Knesl - Techniky paralelního programování pro 21. stoletíJiří Knesl - Techniky paralelního programování pro 21. století
Jiří Knesl - Techniky paralelního programování pro 21. stoletíDevelcz
 
Martin Kopta - UX. Testujte. Hned. Pravidelně. S málem.
Martin Kopta - UX. Testujte. Hned. Pravidelně. S málem.Martin Kopta - UX. Testujte. Hned. Pravidelně. S málem.
Martin Kopta - UX. Testujte. Hned. Pravidelně. S málem.Develcz
 
David Brožík - Škálování týmů, procesů a technologií od 4 developerů po 150
David Brožík - Škálování týmů, procesů a technologií od 4 developerů po 150David Brožík - Škálování týmů, procesů a technologií od 4 developerů po 150
David Brožík - Škálování týmů, procesů a technologií od 4 developerů po 150Develcz
 
Soft(ware) skills (konference Devel.cz, 2013)
Soft(ware) skills (konference Devel.cz, 2013)Soft(ware) skills (konference Devel.cz, 2013)
Soft(ware) skills (konference Devel.cz, 2013)David Grudl
 
Nette: jak rozbít atom?
Nette: jak rozbít atom?Nette: jak rozbít atom?
Nette: jak rozbít atom?David Grudl
 

En vedette (19)

Smart Cities Brno 2015
Smart Cities Brno 2015Smart Cities Brno 2015
Smart Cities Brno 2015
 
Mapy na IHNED.cz
Mapy na IHNED.czMapy na IHNED.cz
Mapy na IHNED.cz
 
Mapování kriminality - NMI 14
Mapování kriminality - NMI 14Mapování kriminality - NMI 14
Mapování kriminality - NMI 14
 
Právo na informace (sjezd KGK v Berouně)
Právo na informace (sjezd KGK v Berouně)Právo na informace (sjezd KGK v Berouně)
Právo na informace (sjezd KGK v Berouně)
 
#DDJ at BabelTalk
#DDJ at BabelTalk#DDJ at BabelTalk
#DDJ at BabelTalk
 
Search Session 2012
Search Session 2012Search Session 2012
Search Session 2012
 
Právo na informace
Právo na informacePrávo na informace
Právo na informace
 
Úvod do otevřená geoinfrastruktury
Úvod do otevřená geoinfrastrukturyÚvod do otevřená geoinfrastruktury
Úvod do otevřená geoinfrastruktury
 
Kvalita života z pohledu novin (a GIS)
Kvalita života z pohledu novin (a GIS)Kvalita života z pohledu novin (a GIS)
Kvalita života z pohledu novin (a GIS)
 
Otevřená (geo)data v českých i zahraničních redakcích
Otevřená (geo)data v českých i zahraničních redakcíchOtevřená (geo)data v českých i zahraničních redakcích
Otevřená (geo)data v českých i zahraničních redakcích
 
Barbora Urbancová - Testování v Seleniu
Barbora Urbancová - Testování v SeleniuBarbora Urbancová - Testování v Seleniu
Barbora Urbancová - Testování v Seleniu
 
Petr Kováčik - Personalizace webu
Petr Kováčik - Personalizace webuPetr Kováčik - Personalizace webu
Petr Kováčik - Personalizace webu
 
Michal Illich - Big Data Image Compression
Michal Illich - Big Data Image CompressionMichal Illich - Big Data Image Compression
Michal Illich - Big Data Image Compression
 
Tomáš Srnka - História, súčastnosť a budúcnosť spracovania PHP... vieme PHP...
Tomáš Srnka - História, súčastnosť a budúcnosť spracovania PHP... vieme PHP...Tomáš Srnka - História, súčastnosť a budúcnosť spracovania PHP... vieme PHP...
Tomáš Srnka - História, súčastnosť a budúcnosť spracovania PHP... vieme PHP...
 
Jiří Knesl - Techniky paralelního programování pro 21. století
Jiří Knesl - Techniky paralelního programování pro 21. stoletíJiří Knesl - Techniky paralelního programování pro 21. století
Jiří Knesl - Techniky paralelního programování pro 21. století
 
Martin Kopta - UX. Testujte. Hned. Pravidelně. S málem.
Martin Kopta - UX. Testujte. Hned. Pravidelně. S málem.Martin Kopta - UX. Testujte. Hned. Pravidelně. S málem.
Martin Kopta - UX. Testujte. Hned. Pravidelně. S málem.
 
David Brožík - Škálování týmů, procesů a technologií od 4 developerů po 150
David Brožík - Škálování týmů, procesů a technologií od 4 developerů po 150David Brožík - Škálování týmů, procesů a technologií od 4 developerů po 150
David Brožík - Škálování týmů, procesů a technologií od 4 developerů po 150
 
Soft(ware) skills (konference Devel.cz, 2013)
Soft(ware) skills (konference Devel.cz, 2013)Soft(ware) skills (konference Devel.cz, 2013)
Soft(ware) skills (konference Devel.cz, 2013)
 
Nette: jak rozbít atom?
Nette: jak rozbít atom?Nette: jak rozbít atom?
Nette: jak rozbít atom?
 

Similaire à Total Cost of Pwnership

New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
 
Rockaway Azure Hackathon 2016 – Kickoff Meeting prezetnace
Rockaway Azure Hackathon 2016 – Kickoff Meeting prezetnaceRockaway Azure Hackathon 2016 – Kickoff Meeting prezetnace
Rockaway Azure Hackathon 2016 – Kickoff Meeting prezetnaceRockawayCapital
 
AI Restart 2024: Petra Stupková - A(I)utorské právo pro všechny
AI Restart 2024: Petra Stupková - A(I)utorské právo pro všechnyAI Restart 2024: Petra Stupková - A(I)utorské právo pro všechny
AI Restart 2024: Petra Stupková - A(I)utorské právo pro všechnyTaste
 
Data Restart 2021: Jiří Štěpán - Keynote
Data Restart 2021: Jiří Štěpán - KeynoteData Restart 2021: Jiří Štěpán - Keynote
Data Restart 2021: Jiří Štěpán - KeynoteTaste
 
Kde je a kam jde real time advertising?
Kde je a kam jde real time advertising?Kde je a kam jde real time advertising?
Kde je a kam jde real time advertising?Matěj Novák
 
StartupClub: Úvod do webdesignu (Jan Řezáč)
StartupClub: Úvod do webdesignu (Jan Řezáč)StartupClub: Úvod do webdesignu (Jan Řezáč)
StartupClub: Úvod do webdesignu (Jan Řezáč)JIC
 
mDevCamp 2014 - Bezpečnost v kontextu internetu věcí
mDevCamp 2014 - Bezpečnost v kontextu internetu věcímDevCamp 2014 - Bezpečnost v kontextu internetu věcí
mDevCamp 2014 - Bezpečnost v kontextu internetu věcíPetr Dvorak
 
Testujem.cz - uživatelské testování stránek
Testujem.cz - uživatelské testování stránekTestujem.cz - uživatelské testování stránek
Testujem.cz - uživatelské testování stránekMarek Gach
 
Linkbuilding a UX - Designéři informačních služeb na KISKu
Linkbuilding a UX - Designéři informačních služeb na KISKuLinkbuilding a UX - Designéři informačních služeb na KISKu
Linkbuilding a UX - Designéři informačních služeb na KISKuTaste Medio
 
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)Jakub Kulhan
 
Současné byznys modely na internetu
Současné byznys modely na internetuSoučasné byznys modely na internetu
Současné byznys modely na internetuMichal Berg
 
Start-up skoro zadarmo
Start-up skoro zadarmoStart-up skoro zadarmo
Start-up skoro zadarmoCollabim
 
Kyber-bezpečnost včera, dnes a zítra
Kyber-bezpečnost včera, dnes a zítraKyber-bezpečnost včera, dnes a zítra
Kyber-bezpečnost včera, dnes a zítraJiří Napravnik
 
Pro koho děláme web
Pro koho děláme webPro koho děláme web
Pro koho děláme webSherpas
 
Hobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webHobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webTomáš Muchka
 
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíSmart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíPetr Dvorak
 
„To my ne, to oni!“ – komponenty třetích stran a rychlost webu
„To my ne, to oni!“ – komponenty třetích stran a rychlost webu„To my ne, to oni!“ – komponenty třetích stran a rychlost webu
„To my ne, to oni!“ – komponenty třetích stran a rychlost webuMartin Michálek
 
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...Sherpas
 
PROČ SERVICE-TO-SALES KAMPANĚ SELHÁVAJÍ? (betaverze k připomínkám)
PROČ SERVICE-TO-SALES KAMPANĚ SELHÁVAJÍ? (betaverze k připomínkám)PROČ SERVICE-TO-SALES KAMPANĚ SELHÁVAJÍ? (betaverze k připomínkám)
PROČ SERVICE-TO-SALES KAMPANĚ SELHÁVAJÍ? (betaverze k připomínkám)Oleg Vojtisek
 
Lucie Radkovičová - Právní přešlapy v onlinu (ShopCamp 2015)
Lucie Radkovičová - Právní přešlapy v onlinu (ShopCamp 2015)Lucie Radkovičová - Právní přešlapy v onlinu (ShopCamp 2015)
Lucie Radkovičová - Právní přešlapy v onlinu (ShopCamp 2015)ShopCamp
 

Similaire à Total Cost of Pwnership (20)

New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
 
Rockaway Azure Hackathon 2016 – Kickoff Meeting prezetnace
Rockaway Azure Hackathon 2016 – Kickoff Meeting prezetnaceRockaway Azure Hackathon 2016 – Kickoff Meeting prezetnace
Rockaway Azure Hackathon 2016 – Kickoff Meeting prezetnace
 
AI Restart 2024: Petra Stupková - A(I)utorské právo pro všechny
AI Restart 2024: Petra Stupková - A(I)utorské právo pro všechnyAI Restart 2024: Petra Stupková - A(I)utorské právo pro všechny
AI Restart 2024: Petra Stupková - A(I)utorské právo pro všechny
 
Data Restart 2021: Jiří Štěpán - Keynote
Data Restart 2021: Jiří Štěpán - KeynoteData Restart 2021: Jiří Štěpán - Keynote
Data Restart 2021: Jiří Štěpán - Keynote
 
Kde je a kam jde real time advertising?
Kde je a kam jde real time advertising?Kde je a kam jde real time advertising?
Kde je a kam jde real time advertising?
 
StartupClub: Úvod do webdesignu (Jan Řezáč)
StartupClub: Úvod do webdesignu (Jan Řezáč)StartupClub: Úvod do webdesignu (Jan Řezáč)
StartupClub: Úvod do webdesignu (Jan Řezáč)
 
mDevCamp 2014 - Bezpečnost v kontextu internetu věcí
mDevCamp 2014 - Bezpečnost v kontextu internetu věcímDevCamp 2014 - Bezpečnost v kontextu internetu věcí
mDevCamp 2014 - Bezpečnost v kontextu internetu věcí
 
Testujem.cz - uživatelské testování stránek
Testujem.cz - uživatelské testování stránekTestujem.cz - uživatelské testování stránek
Testujem.cz - uživatelské testování stránek
 
Linkbuilding a UX - Designéři informačních služeb na KISKu
Linkbuilding a UX - Designéři informačních služeb na KISKuLinkbuilding a UX - Designéři informačních služeb na KISKu
Linkbuilding a UX - Designéři informačních služeb na KISKu
 
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)
#golang @SkrzCzDev (Skrz DEV Cirkus 21.10.2015)
 
Současné byznys modely na internetu
Současné byznys modely na internetuSoučasné byznys modely na internetu
Současné byznys modely na internetu
 
Start-up skoro zadarmo
Start-up skoro zadarmoStart-up skoro zadarmo
Start-up skoro zadarmo
 
Kyber-bezpečnost včera, dnes a zítra
Kyber-bezpečnost včera, dnes a zítraKyber-bezpečnost včera, dnes a zítra
Kyber-bezpečnost včera, dnes a zítra
 
Pro koho děláme web
Pro koho děláme webPro koho děláme web
Pro koho děláme web
 
Hobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webHobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro web
 
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíSmart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
 
„To my ne, to oni!“ – komponenty třetích stran a rychlost webu
„To my ne, to oni!“ – komponenty třetích stran a rychlost webu„To my ne, to oni!“ – komponenty třetích stran a rychlost webu
„To my ne, to oni!“ – komponenty třetích stran a rychlost webu
 
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...
 
PROČ SERVICE-TO-SALES KAMPANĚ SELHÁVAJÍ? (betaverze k připomínkám)
PROČ SERVICE-TO-SALES KAMPANĚ SELHÁVAJÍ? (betaverze k připomínkám)PROČ SERVICE-TO-SALES KAMPANĚ SELHÁVAJÍ? (betaverze k připomínkám)
PROČ SERVICE-TO-SALES KAMPANĚ SELHÁVAJÍ? (betaverze k připomínkám)
 
Lucie Radkovičová - Právní přešlapy v onlinu (ShopCamp 2015)
Lucie Radkovičová - Právní přešlapy v onlinu (ShopCamp 2015)Lucie Radkovičová - Právní přešlapy v onlinu (ShopCamp 2015)
Lucie Radkovičová - Právní přešlapy v onlinu (ShopCamp 2015)
 

Plus de Michal Špaček

Lámání a ukládání hesel
Lámání a ukládání heselLámání a ukládání hesel
Lámání a ukládání heselMichal Špaček
 
Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeFantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeMichal Špaček
 
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseQuality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseMichal Špaček
 
Disclosing password hashing policies
Disclosing password hashing policiesDisclosing password hashing policies
Disclosing password hashing policiesMichal Špaček
 
Operations security (OPSEC) in IT
Operations security (OPSEC) in ITOperations security (OPSEC) in IT
Operations security (OPSEC) in ITMichal Špaček
 
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionHTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionMichal Špaček
 
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyI forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyMichal Špaček
 
The problem with the real world
The problem with the real worldThe problem with the real world
The problem with the real worldMichal Špaček
 
Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Michal Špaček
 
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013Michal Špaček
 

Plus de Michal Špaček (12)

Lámání a ukládání hesel
Lámání a ukládání heselLámání a ukládání hesel
Lámání a ukládání hesel
 
Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeFantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v Opeře
 
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseQuality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
 
Disclosing password hashing policies
Disclosing password hashing policiesDisclosing password hashing policies
Disclosing password hashing policies
 
Operations security (OPSEC) in IT
Operations security (OPSEC) in ITOperations security (OPSEC) in IT
Operations security (OPSEC) in IT
 
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionHTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English version
 
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyI forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
 
HTTP/2
HTTP/2HTTP/2
HTTP/2
 
The problem with the real world
The problem with the real worldThe problem with the real world
The problem with the real world
 
Zapomeňte vaše hesla
Zapomeňte vaše heslaZapomeňte vaše hesla
Zapomeňte vaše hesla
 
Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013
 
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
Bezpečnost webových aplikací Web Inkognito VŠE 05/2013
 

Total Cost of Pwnership

  • 1. Total Cost of Pwnership Michal Špaček www.michalspacek.cz @spazef0rze Kolik vlastně stojí ta webová bezpečnost? Často slyším nebo čtu názor, že bezpečnost je drahá, že ji zákazník nezaplatí nebo že ji dokonce ani nechce! (Tyto slajdy jsou doplňeny mými poznámkami, původní verze je neobsahuje.)
  • 2. Total Cost of Ownership Název přednášky vychází z pojmu TCO, který znamená celkové náklady na vlastnění něčeho. Ty se liší od pořizovací ceny a mohou být někdy mnohonásobně vyšší.
  • 3. https://www.flickr.com/photos/didmyself/8340739405/ Představte si to třeba u auta, koupíte nové za půl mega, ročně vás servis stojí 10k a plná nádrž benzínu 2k. Pojištění a voňavý stromečky taky něco stojí, takže rázem jste na dalších 100k ročně.
  • 4. Fakturujeme Vám Jenže u nějaké základní webové bezpečnosti je to trochu jinak. Klientovi uděláte web, taky za půl mega, a pak mu ještě chcete naúčtovat 100k za to, že mu ho uděláte bezpečný?
  • 5. WTF? Cože? To jako když jdete k zubaři, tak mu taky strkáte kilo do kelímku na vypláchnutí za to, aby si tu jeho vrtačku nespletl s laparoskopem a nepustil vám ji do břicha? Asi ne, co…
  • 6. OWASP Top 10 Tak proč by vývojáři měli chtít za aspoň trochu bezpečný web nějaký příplatek? Je to služba navíc? Ne, není. Teď se nebavíme o implementacích bůhvíčeho, ale dejme tomu o základních problémech, které popisuje OWASP Top 10.
  • 7. {$address} × {!$address} Vždyť jaký je rozdíl mezi výpisem proměnné bez jejího ošetření a výpisem proměnné se správným ošetřením třeba v Nette? Skoro žádný, tak jakejpak příplatek, za co? Jasně, musíte vědět, jak to napsat, ale přesně proto si lidi nechávají dělat weby u webových vývojářů a ne u truhlářů.
  • 8. $tco++ Ve skutečnosti je celkový náklad na špatně zabezpečený web docela vysoký. Jakmile dojde k nějakému bezpečnostnímu incidentu, a že k němu někdy nejspíš dojde (a když budete mít štěstí, tak se o něm i dozvíte)…
  • 9. …tak ho musíte vyřešit, co nejrychleji a to jak technicky, tak správnou informovaností zákazníků a obojí stojí nějaké peníze, nehledě na to, že jste se místo toho chtěli třeba někde válet na pláži.
  • 10. It's not funny when you're next Je jasné, že dříve nebo později každý udělá nějakou tu chybu, to se stává, ale fakt velkýmu průšvihu se dá zabránit, třeba pomocí více vrstev ochrany. Přesně proto hashujeme hesla (ne pomocí MD5 ani SHA-1), chráníme tak naše zákazníky.
  • 11. https://www.flickr.com/photos/cheukiecfu/3433122784/ Když tedy budete mít to štěstí a nějaký dobrák se rozhodne vám problém vašeho webu nahlásit, jak se nejlépe zachovat tak, aby z toho byla win-win situace, aby všechny strany měli pocit, že to mělo smysl?
  • 12. Pokud někdo u vás na webu najde nějakou chybu, tak má asi tak milion možností, kam ji ohlásit a to, že si vybere zrovna vás má nějaký důvod a je to docela dobré znamení. Mohl to napsat nejdříve třeba na Twitter nebo Facebook.
  • 13. OpenPGP Buďte připraveni na to, že vám reporter bude chtít poslat popis chyby nějakým zabezpečeným kanálem (ne, mobilem, textovkou ani Skypem to nebude), mějte po ruce třeba PGP klíč. V každém případě přijetí reportu pokud možno co nejdříve potvrďte.
  • 14. Pokud víte, jak dlouho bude trvat oprava, rovnou to do potvrzení připište. Pokud je to něco náročnějšího a hned nevíte, dejte to reporterovi vědět a v klidu si to odhadněte a pak pošlete další zprávu s odhadem.
  • 15. Hmm? Až to opravíte, požádejte reportera o ověření vaší opravy, může se totiž stát, že dva dny budete něco opravovat a nakonec opravíte nějaký úplně jiný problém.
  • 16. Hmmmm? Pokud náhodou nevíte, co přesně ten reporter myslel nebo jak to opravit, tak se ho zeptejte. Kdyby nechtěl pomoci, tak vám nepíše. A nebojte, zlí hoši vám problémy na vašem webu hlásit nebudou.
  • 17. Když náhodou někdo ohlásí bug nejdříve vašemu klientovi a ne vám jakožto výrobci webu, tak se na něj nemůžete zlobit. Rozhodně to není neprofesionální. Neprofesionální je nechat na webu triviální bezpečnostní díry.
  • 18. Nikdo nemá povinnost hlásit chyby vám ani vašemu klientovi, každý si může s nalezenou chybou dělat, co chce. Někdo je používá na školení bezpečnosti jako odstrašující případy. Jsou dokonce celá školení zaměřená jen na exploitování iOS.
  • 19. Jsou i firmy, které chyby kupují a dál je prodávají různým vládním i nevládním spolkům. Prý je to docela dobrý business.
  • 20. Bezpečnost je míra ne vlastnost Pamatujte, že bezpečnost je míra a ne vlastnost, snažte se, abyste tuto míru zbytečně nesnižovali. Držím palce! Michal Špaček www.michalspacek.cz @spazef0rze