1. Total Cost of Pwnership Michal paek www.michalspacek.cz @spazef0rze Kolik vlastn stoj ta webov bezpenost? asto slym nebo tu nzor, e bezpenost je drah, e ji zkaznk nezaplat nebo e ji dokonce ani nechce! (Tyto slajdy jsou dopleny mmi poznmkami, pvodn verze je neobsahuje.)

2. Total Cost of Ownership Nzev pednky vychz z pojmu TCO, kter znamen celkov nklady na vlastnn neho. Ty se li od poizovac ceny a mohou bt nkdy mnohonsobn vy. 3. https://www.flickr.com/photos/didmyself/8340739405/ Pedstavte si to teba u auta, koupte nov za pl mega, ron vs servis stoj 10k a pln ndr benznu 2k. Pojitn a voav stromeky taky nco stoj, take rzem jste na dalch 100k ron. 4. Fakturujeme Vm Jene u njak zkladn webov bezpenosti je to trochu jinak. Klientovi udlte web, taky za pl mega, a pak mu jet chcete natovat 100k za to, e mu ho udlte bezpen? 5. WTF? Coe? To jako kdy jdete k zubai, tak mu taky strkte kilo do kelmku na vyplchnut za to, aby si tu jeho vrtaku nespletl s laparoskopem a nepustil vm ji do bicha? Asi ne, co 6. OWASP Top 10 Tak pro by vvoji mli chtt za aspo trochu bezpen web njak pplatek? Je to sluba navc? Ne, nen. Te se nebavme o implementacch bhveho, ale dejme tomu o zkladnch problmech, kter popisuje OWASP Top 10. 7. {$address} {!$address} Vdy jak je rozdl mezi vpisem promnn bez jejho oeten a vpisem promnn se sprvnm oetenm teba v Nette? Skoro dn, tak jakejpak pplatek, za co? Jasn, muste vdt, jak to napsat, ale pesn proto si lidi nechvaj dlat weby u webovch vvoj a ne u truhl. 8. $tco++ Ve skutenosti je celkov nklad na patn zabezpeen web docela vysok. Jakmile dojde k njakmu bezpenostnmu incidentu, a e k nmu nkdy nejsp dojde (a kdy budete mt tst, tak se o nm i dozvte) 9. tak ho muste vyeit, co nejrychleji a to jak technicky, tak sprvnou informovanost zkaznk a oboj stoj njak penze, nehled na to, e jste se msto toho chtli teba nkde vlet na pli. 10. It's not funny when you're next Je jasn, e dve nebo pozdji kad udl njakou tu chybu, to se stv, ale fakt velkmu prvihu se d zabrnit, teba pomoc vce vrstev ochrany. Pesn proto hashujeme hesla (ne pomoc MD5 ani SHA-1), chrnme tak nae zkaznky. 11. https://www.flickr.com/photos/cheukiecfu/3433122784/ Kdy tedy budete mt to tst a njak dobrk se rozhodne vm problm vaeho webu nahlsit, jak se nejlpe zachovat tak, aby z toho byla win-win situace, aby vechny strany mli pocit, e to mlo smysl? 12. Pokud nkdo u vs na webu najde njakou chybu, tak m asi tak milion monost, kam ji ohlsit a to, e si vybere zrovna vs m njak dvod a je to docela dobr znamen. Mohl to napsat nejdve teba na Twitter nebo Facebook. 13. OpenPGP Bute pipraveni na to, e vm reporter bude chtt poslat popis chyby njakm zabezpeenm kanlem (ne, mobilem, textovkou ani Skypem to nebude), mjte po ruce teba PGP kl. V kadm ppad pijet reportu pokud mono co nejdve potvrte. 14. Pokud vte, jak dlouho bude trvat oprava, rovnou to do potvrzen pipite. Pokud je to nco nronjho a hned nevte, dejte to reporterovi vdt a v klidu si to odhadnte a pak polete dal zprvu s odhadem. 15. Hmm? A to opravte, podejte reportera o oven va opravy, me se toti stt, e dva dny budete nco opravovat a nakonec opravte njak pln jin problm. 16. Hmmmm? Pokud nhodou nevte, co pesn ten reporter myslel nebo jak to opravit, tak se ho zeptejte. Kdyby nechtl pomoci, tak vm nepe. A nebojte, zl hoi vm problmy na vaem webu hlsit nebudou. 17. Kdy nhodou nkdo ohls bug nejdve vaemu klientovi a ne vm jakoto vrobci webu, tak se na nj nemete zlobit. Rozhodn to nen neprofesionln. Neprofesionln je nechat na webu triviln bezpenostn dry. 18. Nikdo nem povinnost hlsit chyby vm ani vaemu klientovi, kad si me s nalezenou chybou dlat, co chce. Nkdo je pouv na kolen bezpenosti jako odstraujc ppady. Jsou dokonce cel kolen zamen jen na exploitovn iOS. 19. Jsou i firmy, kter chyby kupuj a dl je prodvaj rznm vldnm i nevldnm spolkm. Pr je to docela dobr business. 20. Bezpenost je mra ne vlastnost Pamatujte, e bezpenost je mra a ne vlastnost, snate se, abyste tuto mru zbyten nesniovali. Drm palce! Michal paek www.michalspacek.cz @spazef0rze