Ohlasy na školení bezpečnosti

Školení, která pořádám

Školení Bezpečnost PHP aplikací, které jsem pořádal, zdárně proběhlo a já bych rád zveřejnil ohlasy jeho účastníků:

Petr Lněnička, 2 M Studio

S Vaším školením jsem byl velmi spokojen a to jak s kvalitou výuky, tak s jejím obsahem. Sytém teorie, příklad, diskuze ve vašem podání byl opravdu dobrý. Bezpečnost PHP aplikací byla vyložena tak, že jsem schopen nabyté znalosti okamžitě využívat. A mimochodem, díky za oběd, byl skoro tak dobrý jako školení!

Z připomínek snad jen lepší učebnu (lepší monitory a klimatizace). Školení byla dobrá investice a už se těším na další spolupráci.

(V roce 2007 byla učebna vybavena novými monitory a klimatizací.)

Juraj Krivda, JStudio

Dnes som sa zúčastnil školenia Bezpečnost PHP aplikací, ktoré školil p. Jakub Vrána. Priznávam, že sa PHP už nejaký čas venujem, ale školenie bolo pre mňa naozaj veľkým prínosom a za investované peniaze som získal skutočne veľa nových poznatkov. Ďakujem za množstvo užitočných rád, nápadov, trikov.

Petr Fidler, HST Fidler

Dojmy ze školení jsou jednoznačně pozitivní. Po informační stránce splnilo do puntíku to, co jsem očekával, vědomosti přednášejícího byly znát. Všechna témata byla vysvětlena dostatečně podrobně a dotazům byl věnován velký prostor.

Výtky mám dvě a jsou to spíš maličkosti – u útoků přes JS mohl být trochu více rozebrán způsob fungování JS, mám na mysli např. předávání proměnných v JS. Prezentace by mohla být dle mého názoru trochu obsáhlejší, hlavně v částech řešení problémů. Třeba mě by se velmi hodil alespoň popis syntaxe funkcí. Velmi často také funkce v popisu chyběly úplně (mysql_real_escape_string, md5, …). Také mohly být vloženy slajdy, na kterých by byly příklady, které se psaly na tabuli – třeba DELETE FROM tab WHERE id=$id. Problém: $id: 1 OR 1=1. Nicméně jsou to opravdu jen maličkosti, pokud člověk chtěl, mohl si to všechno dopsat, jak jsem to také dělal.

Tak to jsou moje dojmy. Závěr je jednoznačný – pokud někdy bude další školení, které se bude týkat (pro mně) zajímavých témat, nebudu chybět.

(Řešení příkladů je součástí materiálů odesílaných účastníkům.)

Petr Čada

To školení je moc dobré, neměl jsem ucelenou představu o možnostech útoků na PHP skripty a tohle školení mě to ucelilo. Ale až tak moc, že když jsem jel domů autobusem do Brna, mohl jsem zaútočit na jakýkoliv nízkoúrovňový blog, který si píší méně zkušení programátoři. Smutné zjištění.

Petr Tvaroha, JSC Travel

Vaše školení mělo velmi dobrou úroveň a doporučil bych ho všem, kteří nemají velké povědomí o možnostech útoků na PHP aplikace. Sám jsem o mnoha útocích již věděl (také hlavně díky Vašemu blogu), nicméně jsem se dozvěděl i nové informace z této oblasti. Velké plus školení jako takových je možnost rozboru konkrétních problémů/útoků. Zkrátka jsem rád, že jsem ho absolvoval.

Jiří Kalenský

Chtěl bych Vám moc poděkovat za Vaše školení. Zejména pak školení Bezpečnost PHP aplikací pro mě bylo velmi přínosné a chvílemi mě jímala hrůza, co jsem kde zanedbal (Cross-site Request Forgery a Response Splitting), ale alespoň o těchto možných útocích vím a budu pracovat na řešení problému (a pro příště na ně budu myslet dopředu a nebudu pak muset pracně zpětně upravovat aplikace). Navíc jsem se dozvěděl i několik dalších zajímavých „drobností“, které jsem ještě nemusel řešit, ale na které je dobré pamatovat již při vytváření aplikací, čímž mi školení jistě do budoucna ušetřilo spoustu času.

Jitka Moldanová, ČVUT

Ráda bych Vám ještě jednou jménem svým i jménem mých kolegů poděkovala za Váš skvělý výklad, který nám přinesl nové poznatky a pohledy, které určitě využijeme ve své další práci.

Antonín Jílek, JabloCOM

Přestože jsem se již bezpečností PHP aplikací dříve zabýval, bylo pro mě toto školení rozhodně přínosné. Zkonzultoval jsem s lektorem i ostatními posluchači dosavadní zkušenosti a načerpal nové znalosti. Také kladně hodnotím, že se nejednalo pouze o výklad, ale rovnou jsme měli možnost zkusit si některé praktiky na příkladech. Byly připraveny virtuální servery pro jednotlivé posluchače, takže jsme si mohli všichni hackovat své vlastní výtvory. Samozřejmě si člověk nemůže všechno pamatovat a už vůbec si nemůže stihnout všechno poznamenat, takže bylo super, že jsme dostali veškeré materiály v elektronické podobě a v budoucnu se k nim můžeme vrátit.

Jediným nedostatkem bylo vybavení učebny. Staré „kuličkové“ myši bylo docela obtížné přemluvit ke spolupráci, ale lektor přislíbil, že se pokusí o nápravu. Softwarové vybavení (nenainstalován nějaký „normální“ browser a editor) se dalo naštěstí na místě napravit.

Na závěr školení po nás chtěl lektor vytvořit aplikaci pro registraci uživatelů do MySQL a odeslání upozornění emailem. Cílem samozřejmě bylo na vlastním kódu odhalit nedostatky. To je samo o sobě dobrý nápad, ale komu se s tím chce psát, když už to má několikrát hotové a vychytané, že? Kdybych to věděl předem, tak bych si s sebou na „flešce“ vzal všechny svoje skriptíky a bylo by to raz dva.

Školení rozhodně doporučuji jak začátečníkům tak zkušenějším kodérům. Určitě nebudete litovat.

(V roce 2007 byla učebna vybavena novými myšmi.)

Ondřej Hluší, AutoCont CZ

Pokud jde o shrnutí dojmů ze školení, tak jsem spokojen. Dozvěděl jsem se řadu užitečných informací, o které jsem měl zájem. Jen mi přišlo, že probrat všechna zvolená témata v jednom dni vyvolalo zejména ke konci určitou časovou tíseň, kvůli které se posledním tématům nedostalo pozornosti, jakou by si možná zasloužila, a i prostor pro diskusi mohl být trochu větší.

Lukáš Kohout, ComE - computer emergency

Školení bylo velmi dobře připravené. Každá „hackerská“ technika byla probírána samostatně, u každé byl vysvětlený princip fungování následovaný výkladem, jak aplikaci proti takovému útoku ochránit. Některé techniky jsou notoricky známé, ale dozvěděli jsme se i o takových, nad kterými mnozí kroutili hlavami, protože je vůbec neznali. Vše jsme si vyzkoušeli i na připravených příkladech. Školení předčilo mé očekávání a hodnotím ho pro svou další práci jako opravdu hodně přínosné.

Jan Štefl

Srozumitelný výklad s přestávkami „tak akorát“. Pěkné. Výborné bylo i to malé cvičení na závěr, člověk si to tak nějak urovná v hlavě. Dále bych velmi pochválil pořadí jednotlivých témat. Osobně dávám hodnocení asi 90%, byl jsem velmi spokojen.

Ondřej Říha, Digital Solutions

I přes to, že má člověk v oblasti mnoho znalostí a zkušeností, školení mi umožnilo ta nejdůležitější témata znovu otevřít a s odborníkem je rozvést do důsledků. S ohledem na naši současnou práci jsem si tak ujasnil, co děláme dobře a kde je prostor pro zlepšení. Z vydařených školení vždy odcházím plný inspirace a motivace do další práce. Obě školení Jakuba Vrány jednoznačně patřila mezi ně.

Michal Šatal, Univerzita Karlova

I přesto, že se v oblasti už nějaký ten pátek pohybuji, bylo pro mě toto školení přínosem hlavně kvůli čas/informační hodnota. Výborné shrnutí potřebných informací a osvěžení dřívejších znalostí + mnoho informací nových. Za těch pár korun je den skutečně plný užitečných informací. Škoda jen těch příšerných myší ve školící místostí...

(V roce 2007 byla učebna vybavena novými myšmi.)

Jan Straka

S Vaším školením jsem byl velice spokojen. O většině typů útoků jsem již něco věděl, nicméně Vámi připravený výklad mi pomohl utřídit si své dosavadní znalosti a rozšířit obzor zejména v optimálním způsobu řešení předváděných problémů. Příjemnou věcí byla také sleva, kterou poskytujete studentům. Pokud budu moci, určitě se rád zúčastním dalších školení.

Ondřej Vysoký, w3w.cz

Školení bylo perfektně připraveno. Ukázky jednotlivých možností útoku byly velmi dobře popsány a na jednoduchých a přehledných příkladech demonstrovány, samozřejmě včetně popsání možností, jak se těmto útokům bránit. Školení mohu určitě doporučit.

Miloslav Sazima

Jsem velmi rád, že jsem se nakonec rozhodl navštívit právě vaše školení. Přesvědčil jste mne nejen že jste v oboru opravdový odborník, ale především své znalosti dokážete velmi poutavou a srozumitelnou formou prodat. Není k ničemu přednáška od odborníka, na jejímž konci zjistíte, že jste vlastně vůbec ničemu nerozuměl. U vás tomu bylo přesně naopak, výklad jste měl odborný, přesto jste mu dokázal dát lidštější formu a to mi přesně sedělo. Za výbornou přednášku a nové znalosti mnohokrát děkuji. Jednu výtku bych tu přeci jen měl. Máte vůbec představu, jaké to je přijíždět k vám na kurz v blažené nevědomosti a odjíždět s pocitem hrůzy, kolik chyb po sobě budu muset opravit?

Vladimír Bezděk, Vojenská akademie ve Vyškově

Problematika „Bezpečnost PHP aplikací“ je velmi aktuální a tvoří nezbytnou součást firemní IT strategie. Váš výklad byl založen především na praktických ukázkách chování systému při napadení útočníkem, což je u daného tématu nezbytné ke správnému pochopení postupů a snadnějšímu zapracování ochranných opatření při zabránění neoprávněným přístupům k citlivým informacím. Absolvoval jsem nespočetně kurzů, seminářů a školení, ale Váš přístup byl opravdu příkladný. Je zřejmé, že výuka je Vaší „profesí“, protože umíte informace podat. Seznámil jsem se i s Vaším blogem, který je velmi inspirativní a reaguje pružně na aktuální problémy LAMP. Budu i nadále sledovat nabídky Vašich kurzů a dožadovat se účasti, když už ne pro sebe, tak pro své kolegy.

Petr Sýkora, Symbio

Školení „Bezpečnost PHP aplikací“ v podání Jakuba Vrány je výborným shrnutím dané problematiky. Pojetí výkladu podléhá striktnímu rozvrhu – vysvětlení problému, vysvětlení ochrany, příklad. Jakubova jistota pramení z perfektních znalostí oboru, kvalita lektorské části je pak dána jeho zkušenostmi s pořádáním těchto školení i z akademické půdy. Ve spojení s diskusí na každé téma, s vyměňováním zkušeností jednotlivých přítomných vývojářů, se jedná o neocenitelně strávený den.

Ondřej Brejla, ProFiTux.cz

Školení bylo koncipováno přesně, jak jsem si představoval, že by mělo vypadat. Výklad byl podaný velice profesionálně, přesto naprosto srozumitelně. Rozdělení jednotlivých částí výkladu na „první teorie a v zápětí příklad“ bylo velice příjemné. Člověk nemusel pátrat v paměti, o čem jsme se to vlastně bavili před třemi hodinami. Počet účastníků (9) je akorát. Spousta času na dotazy a „rodinná atmosféra“. Celkový dojem je tedy více než kladný. Navíc se mi podařilo to, s čím jsem tam šel. Ucelení a prohloubení znalostí o bezpečnostních rizikách a k tomu postupy, jak jim předejít a jak je potlačit. Mohu tedy každému jedině doporučit.

Ing. Karel Uhlík, ApliTax

Školení Bezpečnost PHP aplikací bylo bezvadně připravené. Model vysvětlení problematiky, způsob obrany a praktický příklad je přesně to, jak by podobná školení měla vypadat. Výklad by podán profesionální formou a přesto pro všechny srozumitelně. Mnohokrát děkuji za množství nápadů, tipů a triků, jak udělat PHP aplikace bezpečnější.

Pavel Böhm, Univerzita Karlova

Školení bylo dobře připravené a profesionálně vedené. Velmi oceňuji, že jste byl ochoten domluvit se s námi mimo standardní vypisované termíny, přijet na naše pracoviště v důležitý státní svátek a zůstat o hodinu déle oproti původnímu plánu. Ačkoliv už jsem o tématu (bezpečnost PHP skriptů) něco málo předtím věděl, zklamán jsem rozhodně nebyl, protože jsem si plno věcí ujasnil a mnohé další se dověděl. Kromě toho bylo moc fajn tu a tam (třeba o přestávkách) zabrousit i do jiných oblastí. Myslím, že se nám to všem dost hodilo. Moc se mi líbilo, že jste na konec zařadil test a podrobně jej s námi prošel. Dokonale to korespondovalo s praktickým pojetím celého školení.

Jan Koupil, Univerzita Karlova

Školení bylo pro mne hodně inspirativní. O většině druhů bezpečnostních rizik jsem sice v „teoretické rovině“ věděl, třeba proto, že se snažím příležitostně číst populárnější články zabývající se touto tématikou na českém webu (Lupa.cz, Zdroják), nicméně některé způsoby, jak je zneužít – a samozřejmě jak se bránit – by mne skutečně nenapadly. Školení má velmi uspořádanou, přehlednou a promyšlenou strukturu a témata, kterých se dotýká, ilustruje na příkladech včetně řešení problémů, což je velice užitečné. Osobně jsem si odnesl ze školení i spoustu nápadů typu „jak něco udělat“ či „jak navrhovat koncepci webu“. Bylo velmi příjemné, že školitel se orientuje v problematice doširoka a ne jen u bezpečnosti a umí (a nebrání se) odpovědět na většinu dotazů, které jdou nad rámec školení.

Roman Šlancar, Omega Design

Školení bylo nad mé očekávání! Bylo okořeněno spoustou příkladů, které mě u jiných školení chybělo. Výklad byl podán velice srozumitelně. Individuální přístup ke každému. Závěrečný testík byl velice přínosný pro pochopení probírané problematiky z celého dne..

Jiří Kroupa, Famico

Děkuji za materiály a vlastní školení, ze kterého jsem byl nadšený. Hltal jsem každé slovo, dokonce i po obědě, kdy si většinou musím dávat sirky do očí, abych vydržel. Na internetu je sice spousta informací o této problematice, ale nikde jsem je neviděl takto komplexně pohromadě a hlavně s reálnými příklady, které dají mnohem více než sáhodlouhý popis. Určitě jsme se neviděli naposled, můžete se mnou počítat na školení Výkonnost webových aplikací.

Dušan Šimek

Co se týká školení, já prostě nemám, co bych mohl záporně zkritizovat. Na bezpečnosti mě ale překvapilo, že jsem se nesetkal s lidmi ze školení z Úvodu do PHP. Já se učím pomalu, ale když už se něco učím, tak mám rád, když vím, že to je správný a to pro mě znamená i bezpečný. Nevím, jak ostatní, ale mě dá největší práci zbavit se špatných návyků. I když je pravda, že na Úvodu se základy bezpečnosti taky probíraly. Myslím si, že to je velice důležitý pro profesionály, protože si moc dobře pamatuji, kolik rukou se zvedlo, když jste se zeptal, jestli to někdo používá. Ne vždy se zvedly všechny ruce.

Pokud byste o školení měli také zájem, vyplňte prosím registrační formulář a domluvíme se na dalším termínu.

Jakub Vrána, Školení, 1.5.2006, diskuse: 14 (nové: 0)

Diskuse

sylpheed:

Také bych se rád zúčastnil, ale ta cena je pro mě jako pro studenta střední školy nepřijatelná... Škoda, opravdu bych o to stál.

xadam:

2990 nieje vysoka cena, myslim ze je prijatelna v porovnani so skoleniami ktore sa robia napriklad s Oracle alebo Java.

bukaJ:

Souhlas s sylpheed. Nejsem sice už student, ale nynější plat mi nestačí na to, abych mohl zaplatit takoý kurs. Stál bych o to, aby byly k dispozici se slevou třeba záznamy z onoho školení. 1000Kč za to dám, pokud to bude mít vypovídací hodnotu.

bahara:

Cena je v pořádku. (pro vysvětlení, sám nemám jen tak z fleku tolik peněz, ale přednášející, technika, místnost, to vše něco stojí). A co jsem četl, tak to za to i stojí! Jdu šetřit :)

sylpheed:

To je dobrý nápad, ty záznamy. Asi bych je také za ∼ 1000 korun bral…

sylpheed:

Jů, oni tu nemají rádi pěkné typograficko-friendly entity :-) Tak tedy, ∼ je vlnovka (přibližně) a … je výpustka (tři tečky).

ikona Jakub Vrána OpenID:

Typografické znaky můžete zapisovat přímo: ~ (vlnovka), … (výpustka).

Petr Lněnička:

Jen poznámka k ceně - jste-li zaměstnánec a pracujete jako programátor v PHP a v bezpečnosti PHP aplikací nemáte jasno, pak si váš šef NEMŮŽE DOVOLIT VAŠÍ NEÚČAST na tomto školení. Pokud se živíte programováním v PHP jako soukromník (a zatím bezpečnost neřešíte) pak si zase vy nemůžete dovolit se nezůčastnit. A pokud vás to neživý, pak vám říkám, že účast na tomto školení bude vaše nejlepší investice, hned po investici do dobrého kurzu angličtiny ;-) .

markon:

Důvod, proč bych si toto školení klidně nechal ujít je jednoduchý, není na něj rozumná komerční reference. Mě nezajímá doporučení lidí, kteří ani nevím kde pracují... Mě zajímá jestli nějaká opravdu profi vývojářská firma je ochotna tam lidi poslat, a pak to využít, a to si myslím, že stěží.

Ono je hezké mít teoretickou bezpečnost a školit jak od návrhu zabezpečit aplikace, ale 99% firem má jiný problém, mají děravou aplikaci v ostrém provozu a potřebují jí co nejlevněji zabezpečit a řešit tohle je kumšt.

František:

Měl bych otázku. Jak velké zkušenosti musím mít?
(x)HTML to zvládám na 100% (není na tom co nezvládat)
pak umím css (tam snad taky umím vše)
javascript - zde se dá říct, že zde mám velké nedostatky .. zvládám syntaxi, pár funkcí, ale to je asi tak vše ..
php - to sem se naučil z knihy někdy v unoru a do dnes pročítám různé blogy, vytvářím různé aplikace .. a od té doby, co jsem se dozvěděl, že hodně aplikací jde hacknout jen přes obrázek (se scriptem) sem začal trochu číst články o bezpečnosti. v mysql sand umím také vše co je v manuálu a taky to využít ..

chci se tedy zeptat, byl by tento kurz (bezpečnost v php) pro mě, jako méně zkušeného programátora? jestli bych tam nebyl za osla, co třeba nebude moc chápat?

díky za radu

ikona Jakub Vrána OpenID:

Za osla byste určitě nebyl. Z JavaScriptu stačí znát úplné základy (že existuje značka <script> a že se kód dá napojit na obsluhu událostí jako onmouseover), z PHP je dobré mít povědomí o cookies a session proměnných. Na školení se všechno předvádí, takže ani není nutné znát přesnou syntaxi - stačí mít povědomí o tom, že něco takového existuje.

František:

V tom případě bych se rád zůčastnil.

ikona Jakub Vrána OpenID:

Vyplňte tedy prosím registrační formulář a jakmile vypíšu další termín, tak vás budu kontaktovat.

Lucas.Glib:

Dobry den. Bych jen dotaz jestli vas nenapadlo vyrobit neco jak navrhoval sylpheed.. Tedy zaznam, i na tom se da vydelat. Lynda.com, VTC... (snad to nevypada jako reklama na dane firmy, spiš jako doporučení.)

Vložit komentář

Používejte diakritiku. Vstup se chápe jako čistý text, ale URL budou převedeny na odkazy a PHP kód uzavřený do <?php ?> bude zvýrazněn. Pokud máte dotaz, který nesouvisí s článkem, zkuste raději diskusi o PHP, zde se odpovědi pravděpodobně nedočkáte.

Jméno: URL:

avatar © 2005-2018 Jakub Vrána. Publikované texty můžete přetiskovat pouze se svolením autora. Ukázky kódu smíte používat s uvedením autora a URL tohoto webu bez dalších omezení Creative Commons. Můžeme si tykat. Skripty předpokládají nastavení: magic_quotes_gpc=Off, magic_quotes_runtime=Off, error_reporting=E_ALL & ~E_NOTICE a očekávají předchozí zavolání mysql_set_charset. Skripty by měly být funkční v PHP >= 4.3 a PHP >= 5.0.