Je až s podivem, že tato zranitelnost i několik let po svém objevení není běžně známá a že jí stále trpí všechny PHP aplikace, které se spolehnou na výchozí nastavení PHP. Principielně se zranitelnost týká i dalších platforem, ale tam není riziko tak vysoké jako právě v PHP.

Local session poisoning objevil Roman Kümmel na konci roku 2015 a snažil se informovat postižené majitele webů, které byly touto technikou zranitelné. Jak dopadl si sami můžete přečíst v článku Bezpečnostní tragikomedie. Zranitelnost byla pravděpodobně poprvé zdokumentována na webu Haxxor Security v září 2011, nicméně nijak světem neotřásla a dosud na internetu najdete jen několik dalších článků o této zranitelnosti.

V tomto díle jsme bez hosta a zpovídám v něm Petra Ferschmanna na téma historie účetnictví FlexiBee a prodeji společnosti ABRA. Petr totiž po dvou letech od prodeje firmy odchází z "aktivní služby" a začíná se věnovat jinému startupu, o kterém si v závěru dílu také něco povíme.

Pro mě osobně je FlexiBee v českých vodách pojmem - ukázalo, že účetnictví se dá dělat moderně a otevřeně. Dnes poodhalíme zákulisí tohoto projektu a i to, že jej provázela řada potíží, které zvenku nejsou vidět. Petr se už na vše dívá zpětně s humorem, ale věřím, že ve chvíli, kdy dochází peníze není nikomu do skoku.

Letos poprvé budu přednášet na "velkých prknech" v rámci konference JavaDays pořádané 14. - 15. listopadu 2016 společností Gopas. Budu přednášet o Spring Security knihovně, která se za léta stala již industry standardem pro řešení autentizace a autorizace v Java projektech. Pokud jste se s touto knihovnou setkali jen letmo nebo vaše znalosti v tomto směru zastaraly, rád vás uvítám na mé přednášce, ve které bych chtěl průřezově projít všechna nejdůležitější zákoutí této knihovny a její novinky z posledních let. Zkušeným programátorům, kteří tuto knihovnu dennodenně používají, mnoho nového nesdělím. Tak je to ale s každou přednáškou na téma, kde jste silní - nejvíce vám dá vždy taková, kde toho v dané oblasti víte nejméně. Přesto se budu snažit vás nenudit a nečím překvapit.

Tento díl obsahuje praktické ukázky základních hackovacích technik jako je SQL injection, cross site scripting a nezabezpečený upload. Jedná se jen o ilustrativní výsek z desítek dalších zranitelností, které můžete na webu potkat.

Cílem bylo především ilustrovat, že útoky nejsou nikterak složité - tím spíš, že již existují automatizované nástroje, které všechno radikálně zrychlí a zdokonalí. Jednoduchost a nebezpečnost těchto útoků by měla nás, tvůrce webových aplikací, motivovat k tomu se v této oblasti vzdělávat a nenechávat vrátka pro hackery otevřená.

Roman Kümmel je známá osoba v oblasti webové bezpečnosti. Stojí za portálem www.soom.cz a tuto problematiku taktéž uceleně školí. V této oblasti se díky evangelizační činosti mj. i Michala Špačka hodně udělalo, ale přesto existuje řada mýtů a podceněných oblastí při vývoji webových aplikací, které se snažíme v tomto díle poodhalit.

Za celým dílem je moje (tj. Novojova) účast na Romanově školení, která mi v řadě oblastí otevřela oči. Např. jsem se dozvěděl, že pomocí reflektovaného XSS útoku lze ukradnout login a heslo napadeného uživatele. Možná nebezpečí reflektovaného XSS překvapí i řadu z vás.

V posledním díle z Warhorse Studios zpovídáme Honzu Zámečníka o nahrávání animovaných scén pomocí motion capture. Animace jsou pro nás, programátory, naprosto španělskou vesnicí, ale o to víc nás rozhovor bavil.

Zkraje se bavíme o tom, co to MoCap je a jak se v průběhu času vyvíjel. Jaká jsou jeho úskalí a co jsou vlastně jeho hlavní benefity. Na závěr dílu si ukážeme jak takový MoCap vypadá v reálné scéně ze hry Kingdom Come: Deliverance.

V druhém díle z Warhorse Studios zpovídáme Tomáše Plcha na téma umělé inteligence ve hře Kingdom Come. Umělá inteligence je v dnešní době skoro buzzwordem a tak nás zajímalo, které techniky konkrétně ve hře využívají a k čemu.

Inteligence protivníků je v dnešní době dělící čarou mezi průměrnými a perfektními hrami. Dá se sice do jisté míry dohnat skriptováním a dobrým designem levelů, ale WOW efekt dokáže vyvolat jen "improvizující", dobře udělaná AI.

Warhorse studios se proslavili svým úspěchem na Kickstarter s RPG hrou situovanou do doby Václava IV. a začínajícího husitství v Čechách - Kingdom Come: Deliverance. A jelikož jim Forresti dělali nový web, slovo dalo slovo a domluvili jsme natáčení přímo v jejich kancelářích, které jsou v Karlíně od nás, co bys kamenem dohodil.

Na úvod jsme vyzpovídali Michala Hapalu, který je jedním prvních zaměstnanců Warhorse a programuje animace, fyziku, hratelnost a “entity”. Jednou z entit v jeho případě je kůň, což je reálnější entita, než s jakou se může setkat většina programátorů, jako jsme například my :)

V tomto technicky hodně odlehčením díle se s Lukášem Hakošem z Clever Monitoru díváme na problematiku mass mailingu z uživatelského pohledu. Probereme s ním zásady, kterých je dobré se držet, pokud chcete využít tento prostředek ke svému prospěchu.

Pokud jste orientovaní na technikálie, můžete tento díl s klidem přeskočit, jelikož v něm nic technického prakticky neuslyšíte. To však neznamená, že by rozhovor s Lukášem nebyl zajímavý a informačně prázdný.

Myslíte si, že na rozesílání e-mailů vůbec nic není? Lukáš Hakoš z Clever Monitoru se vás v tomto díle pokusí přesvědčit o opaku. Pokud vám nic neříkají termíny jako SPF, SRS, DKIM, DMARC, SenderID a další, je tento díl určen právě pro vás.

Díky stále rozšířenému "spam" mailingu byli provozovatelé mail serverů nuceni implementovat celou řadu ochran, do kterých je velmi jednoduché se chytit i v případě, že rozesíláte naprosto legální poštu. Správné rozesílání pošty je v současné době věda, které nemálo lidí věnuje celý svůj profesní život. Pojďte s námi nakouknout do jejich kuchyně a maličko se vzdělat.

Vyzpovídali jsme Martina Strbačku z CZ.NIC ohledně jejich chytrého routeru Turris Omnia, se kterým zabodovali v crowd-fundingové kampani na Indiegogo. V současnosti na jeho vývoj vybrali již více jak 1 mil. dolarů, což je úspěch v českých luzích a hájích nevídaný.
Martina jsme se zeptali na detaily týkající se organizace kampaně, týmu, který za vývojem routeru stojí, ceně a především výhodách oproti běžným routerům. Dozvíte se detaily technické specifikace a také to, jak je nakládáno s daty, které router sbírá. Myslím, že se máte na co těšit!

Apache HttpClient is a popular library that many other frameworks build upon. Naming one for all - you can find it in Spring Framework RestTemplate. It's quite suprising that its not easy to find compherensible walkthroughs how to make it trust server certificates that are not validable by certificate chains baked in standard Java installation. Spending a few hours searching and tweaking the code I've decided to document easy - step by step solution how to do this for emerging Let's Encrypt certificate authority (but it's applicable to any other CA too).

V tomto pokračování rozhovoru s Lukášem Havrlantem se věnujeme technologiím optimalizovaným pro zpracování a analýzu velkého množství událostí. Kafka - distribuovaná replikovaná fronta s možností "vracení se v čase", Samza - stream processor zjednodušující zpracování událostí z časové řady, Druid.io - sloupcová databáze na bázi agregovaných dat.

Lukáš nám osvětlil jak všechny tyto tři technologie pasují dohromady, s jakými těžkostmi se potýkali a jestli se to vyplatilo.

Obsah:

• co v iBillboardu děláte? 0:33
• trendy v online reklamě 5:50
• kdy se začíná vyplácet Kafka, Samza, Druid 7:02
• kdo stojí za zmíněnými technologiemi? 9:20
• jaké úlohy jednotlivé technologie řeší? 10:06
• o Kafce 11:10
• porovnání Kafky s ostatními Queue technologiemi 13:17 (tady jsem mylně uváděl, že ZeroMQ není distribuovaná ... je :)
• strategie pro využití multimaster (write) vlastností Kafky 16:31
• spolehlivost Kafky 20:46
• retence dat v Kafce 24:14
• humorné příhody (faily) ze života :) 25:14
• k čemu slouží Samza 27:52
• hosting 32:29
• poslední díl skládanky - Druid.io 35:21
• problém s počtem unikátních uživatelů 37:55
• HyperLogLog 40:00
• dotazovací jazyk Druida 46:25
• podpora agregačních a statistických funkcí 47:10
• Druid.io - data v paměti nebo na disku? 52:41
• ruid.io - data v paměti nebo na disku? 52:41
• elaborace na téma Lambda / Kappa architekura 54:40

Poděkování

Kdo nezná Lukáš Havrlanta, měl by určitě věnovat nějaký čas jeho článkům na Zdrojáku či lépe přímo na jeho blogu Programio. Čeká ho velmi hutné čtení v oblasti, se kterou se většina z nás často nesetkává - realtime BigData. Sám jsem některé jeho články louskali 2x, abychom se některým závěrům dostali na kloub.

V tomto díle jsme se podívali na zajímavé architektury web aplikací, které pomáhají řešit nově nastupující trend semi-online.

Tento díl přináší pokračování rozhovoru s Davidem Biňovcem a Honzou Matouškem z firmy Automattic. Automattic je firma, jejíž šéf spoluzaložil WordPress a která stojí i za WordPress.com.

V tomto díle se ptáme na technologické otázky spojené s WodPressem, na procesy, které používají pro deployment a v závěru rozebíráme i obchodní věci týkající se plateb a zákonů EU.

• co je hlavní business WordPressu, který je vlastně zdarma 1:02
• infrastruktura, která řeší požadavky 130 mil. unikátních uživatelů 6:02
• kompilace přes HipHop 7:20
• deployment process 8:05
• change process 10:45
• Callypso - začátek technologické revoluce WordPressu? 12:18
• historie vzniku WordPressu 18:36
• bezpečnost WordPressu 21:11
• VersionPress a obecně o verzování 24:45
• performance review a testování 29:45
• Grand Meetup 32:48
• alternativní DB kromě MySQL 38:51
• jaké platební systémy vybírat pro svůj startup 39:46
• DPH v EU pro digitální produkty 45:15

Odkazy:

Ve 4. díle jsme se setkali s David Biňovec a Jan Matoušek z firmy Automattic. Automattic je firma, jejíž šéf spoluzaložil WordPress a která stojí i za WordPress.com.

Tato firma je zajímavá tím, že nemá nikde centrální kanceláře, ale všichni zaměstnanci pracují vzdáleně. Povídali jsme si o tom jaké to je pracovat pro takovouto firmu a také trochu o WordPressu. Příští díl bude věnován především WordPressu a jeho zázemí.

V druhém díle natáčeném v kancelářích Puppet Labs jsme si povídali pouze o technologickém pozadí toho, co v Plzni řeší. Zkoušeli jsme kluky zatáhnout do diskuse na téma konkurenčních nástrojů, ale nechali se :)

Pokud chcete tedy trošku hlouběji nakouknout do technické kuchyňky, ve které se vaří Puppet Enterprise, zastavte se s námi na šálek kávy.

1. co je puppet 1:04
2. použité programovací jazyky 3:16
3. zkouška názoru na docker 5:41
4. konfigurace více serverů 7:26
5. testování předpisů 9:17
6. no-op režim 10:57
7. master jako single point of failure 11:33
8. použití bez master serveru 13:06
9. porovnání s Chefem 14:04
10. frontend v Ember.js 16:18
11. design API 19:25
12. Ember Data, JSON API 21:20
13. škálování 27:03
14. Clojure 28:55
15. Puppet Facter a embeded prostředí 32:30
16. Feršův příběh s klíčema :) 34:25

Kompletní obsah zde: http://kafemlejnek.tv/dil-3-puppet/

V tomto díle jsme zavítali do kanceláří Puppet Labs v Plzni. Čekali nás tam Michal Růžička, Michal Bryxí, Filip Hrbek, kteří nám pověděli něco o tom, jak v Čechách otvírali první světovou pobočku americké firmy Puppet Labs. Povídali jsme si o tom, jak se vyvíjí Puppet Enterprise a co to vlastně znamená pracovat na dálku pro podobnou společnost.

Stručný obsah

1. představení 0:55
2. jak to v Plzni začalo 1:40
3. jak se řeší podepisování smluv z Ameriky 5:45
4. jak zakládá Američan firmu v Čechách 6:30
5. jak funguje komunikace mezi dislokovanými týmy 6:53
6. komunikační praktiky 8:22
7. jaké nástroje se používají 11:33
8. GitHub source repository 13:20
9. code review 14:36
10. práce z domova 20:26
11. výhody a nevýhody práce na dálku 21:04
12. velikost firmy 22:36
13. jazykové bariéry 23:00
14. mzdy u nás a ve světě 24:43
15. kulturní odlišnosti 25:26
16. možnosti kariérního růstu 32:02
17. přijímací pohovor 33:48

Kompletní obsah zde: http://kafemlejnek.tv/dil-2-prace-na-dalku-v-puppet-labs/

Jednoho dne mi zavolal Petr Ferschmann, jestli s ním nechci natáčet videocast o vývojářských tématech. Že by rád něco podobného dělal, ale samotnému se mu do toho nechce. Moje první reakce byla, jestli se náhodou nezbláznil - ani jeden z nás není žádný šoumen a podcastů je to přeci dost. Jenže pak se mi to rozleželo v hlavě.

Těch podcastů zase tolik není - aktivní je v poslední době pouze CzPodcast, kluci z DevMinutes a Brusu kódu trochu polevili. Můj oblíbený zahraniční podcast JavaPosse skončil úplně a Software Engeneering Radio naředilo zajímavý obsah. Pomalu není co u běhání poslouchat :)