Vermutech #58
Aquesta setmana volia comentar un parell de coses ràpides.
La primera és que aquest cap de setmana he fet una web senzilla per compartir amb la gent. És similar a la nohello.net, però enfocada a fomentar l’ús de reaccions als grups i evitar respostes com “Sí”, “No”, “Jo també”, etc. Es diu noreply.tips, i si et fa gràcia, hi pots col·laborar i compartir-la als grups on estiguis fart de respostes innecessàries ❤️.
També he topat amb un problema relacionat amb la comanda git apply --reject, que fem servir sovint quan apliquem pull requests directament als servidors i no entren “netes”. El problema és que si el fitxer ja existeix, però el pedaç que s’ha d’aplicar el vol crear de nou, dona error però no crea el fitxer .rej. Per evitar-ho, és molt millor fer servir git apply --3way, que utilitza el mecanisme de 3-way merge i funciona de meravella.
Començo amb algunes recomanacions,
💾 Programari
Minimalitics: Un servei mínim per fer tracking d’esdeveniments amb SQLite i un binari que inclou dashboard. Si necessites analitzar ràpidament sense complicacions, aquesta eina pot encaixar molt bé.
🤔 Curiositats
Una col·lecció de dissenys de pàgines d’error 404, si no sabeu què vol dir 404, llegeix el Vermutech #39
📦 Recursos
Un article interessant on explica com, en comptes de complicar-se la vida amb Javascript, ha creat una sèrie de pàgines estàtiques i gestiona tot el dinamisme amb transicions CSS. Una manera elegant de simplificar el frontend.
🌟 El concepte
A les dues últimes newsletters hem parlat de CORS i CSRF, dues vulnerabilitats relacionades amb l’origen i el context de les peticions web. Aquesta setmana tanquem la trilogia amb una eina clau per protegir el navegador: CSP (Content Security Policy).
CSP és una política de seguretat que pots definir des del servidor i que el navegador aplica. Et permet especificar què pot carregar-se a la pàgina (scripts, fonts, imatges, estils...) i des d’on, bloquejant tot allò que no compleixi les regles.
Un dels seus punts forts és que pot bloquejar automàticament molts vectors típics d’XSS, com ara:
Scripts inline
Atributs HTML com
onclick,onmouseoverÚs de
eval()i funcions similars
Amb això, s’aconsegueix reduir dràsticament les possibilitats d’executar codi maliciós dins del navegador, fins i tot si s’aconsegueix injectar-lo.
Aquí tens la documentació oficial on s’explica tot el que permet fer:
👉 https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Content-Security-Policy
T’he de dir que no coneixia el detall de tot el que CSP pot arribar a controlar, i m’ha quedat clar que és un d’aquells temes per aprofundir-hi amb calma. Potser no és senzill d’aplicar d’entrada, però si t’interessa la seguretat web, val molt la pena dedicar-hi temps i anar-ho desplegant a poc a poc.
💖 Feedback
Si t’ha agradat i em vols ajudar, fes arribar aquest contingut a qui creguis que li pot interessar, i entra al canal de Telegram per comentar la publicació.