一起來了解 Web Authentication

前言在今年年初的時候,W3C 正式將 Web Authentication (WebAuthn) 列入正式標準,開發者可以透過 API 啟動 FIDO 2 驗證,讓使用者透過行動裝置、指紋辨識或硬體安全金鑰來登入帳號,不需輸入密碼! 雖然目前支援度還不高,但既然已成為標準,沒理由不來認識一下何謂 Web Authentication,以及我們可以如何使用。今天就一起來了解我們能如何使用 Web Authentication,增加網站安全

Read More...

Top issues on OWASP

今天來講講 web application security。基本上這篇講的是所有開發者都要知道的最基本知識。最近電腦工程領域實在太過火紅,網頁開發更是前仆後繼,但並不是每個開發者都對網路安全有 sense,如果你搜尋 “password ext:xls” 就會發現挺多不可思議的連結。 但誰無年少,誰不輕狂。看完後把冷汗擦一擦,讓這篇文章介紹目前最常見的幾個安全問題。 OWASP講到網路安全一定要知道的 Project OWASP:

Read More...

讓我們來談談 CSRF

Update:經過朋友指出文章中缺漏的地方,於 2/26 早上新增一段講 SameSite Cookie 的段落。感謝 shik 的提點。 前言最近剛好碰到一些 CSRF 的案例,趁著這次機會好好研究了一下。深入研究之後才發現這個攻擊其實滿可怕的,因為很容易忽略它。但幸好現在有些 Framework 都有內建防禦 CSRF 的功能,可以很簡單的開啟。 但儘管如此,我認為還是有必要瞭解一下 CSRF 到底在幹嘛,是透過怎樣的手段攻擊,以及

Read More...