Dotaz, který se objevuje velmi často (příklad, na diskusi JakPsátWeb z toho vzniká celý řetěz: Začněte třeba zde, vyhledejte na stránce text padl obdobný dotaz, následujte nalezený odkaz, vyhledejte text padl obdobný dotaz, a tak dále).

Smyslem tohoto zápisku není poradit o čem psát (to říkám rovnou), ale spíš nad čím se při volbě tématu zamyslet.

Při vytváření uživatelského účtu v počítači nebo u nějaké služby je jistě důležité si zvolit dostatečně silné heslo (o tom jsem ostatně psal, jak z pohledu uživatele, tak z pohledu programátora). Jenže, co je „dostatečně silné heslo“ závisí i na tom k čemu ten účet slouží.

Například e-mailový účet může být „hlavní adresa“, kde budou časem citlivé a důležité údaje a bezpečnost je velmi na místě, nebo účet zřízení jen kvůli registraci někam kam nechcete zadávat tu hlavní adresu. Pak jsou samozřejmě nároky na bezpečnost úplně jinde.

Paradoxně je někdy slabé heslo bezpečnější. Větší problém než potenciální „uhodnutí“ hesla (to se, hlavně na webu, děje málokdy) je totiž používání téhož hesla všude (vtipně podáno zde). Hacker napadne nějakou nedůležitou špatně zabezpečenou službu (nebo dokonce služba sama je jen zástěrka) a stejné přihlašovací údaje pak použije pro ty důležité. Přitom většina lidí nedokáže vytvořit a pamatovat si větší počet silných hesel. Pak je lepší, když ta silná hesla používají pro kritické služby a nikde jinde. Mít pro kritické věci silná hesla (nejlépe různá) a slabá snadno zapamatovatelná hesla pro ty vedlejší je bezpečnější, než mít jedno velmi silné heslo a používat ho všude.

Potíž je, že provozovatelé webů to často vidí jinak. Přece ta jejich služba je nejdůležitější, takže uživatel musí mít to nejsilnější možné heslo. Podle mého názoru to je hloupá strategie. Uživatel by měl být upozorněn že zadává slabé heslo, ale přesto by mu mělo být nakonec umožněno takové heslo mít. Navíc ty požadavky jsou často přehnané. Podle mého názoru kombinovat velká a malá písmena, číslice a symboly sice teoreticky mnohonásobně zvyšuje počet kombinací, ale protože málokdo bude útočit na heslo hrubou silou, bude prakticky heslo třeba „qqqqqqqqq“ na podobné úrovni bezpečnosti jako hesla splňující všechny ty požadavky.

Po dlouhé době (přesně po dvou letech) se mi konečně povedlo zkompletovat různá vylepšení pro JoresTemplate do nové verze. Tady na webu byla dosud ke stažení verze 1.0, pro své účely jsem už dříve používal trochu vylepšenou verzi 1.1, ale než jsem se dostal k otestování, vyčištění kódu a sestavení dokumentace, přibyly ještě další změny.

Budiž tedy verze 1.1 tady na webu přeskočena a nová verze je 1.2. Ve zbytku článku následuje seznam změn.

PS.: Chtěl bych poděkovat kolegovi s přezdívkou Pooky za pomoc s testováním a odhalováním chyb. I od ostatních uvítám hlášení případných chyb a náměty na novou funkčnost!

Použití šablonovacího systému je cesta, jak oddělit prezentační část webu (HTML kód) od samotné aplikace, čímž se obojí zpřehlední, zjednoduší údržba stránek a často i zrychlí přidávání nových stránek. Je ovšem jasné, že režie šablonovacího systému o něco zpomalí zpracování stránky. Proto jsem se rozhodl udělat jednoduchý test a ověřit následující argumenty v debatě o šablonovacích systémech:

• Šablony zpomalí zpracování stránky. To je jistě pravda, ale jak výrazné to zpomalení bude?
• Když oddělím prezentaci do zvláštního PHP souboru, tj. jeden skript připraví proměnné a druhý skript bude vpodstatě jen HTML kód s vloženými příkazy pro výpis těch proměnných, bude prezentace a aplikace alespoň zčásti oddělená a přitom to bude stále rychlé.
• Řešením podle předchozího bodu zbytečně zpomalí skript. Bude lepší celou stránku vypsat přes PHP z jednoho souboru.
• Jednoduchý šablonovací systém má sice menší možnosti, ale většinou stačí jednoduché šablony, pro které bude rychlejší.
• Složitější robustní šablonovací systém umí předkompilování šablony, takže po pomalejším prvním zpracování bude pak rychlejší, než jednodušší šablonovací systém. Bude tedy lepší využít robustní šablonovací systém i pro jednoduché šablony.

Kdysi jsem tu napsal článek o zabezpečení hesla z pohledu uživatele. Volba silného hesla na straně uživatele je samozřejmě jen jedna část, to hlavní je na programátorovi. Tak nějak jsem předpokládal, že programuje-li někdo nějakou serioznější webovou aplikaci, alespoň nějaký pokus o zabezpečení vždy udělá. Byl jsem vyveden z omylu.

Protože jsem nenašel článek shrnující nějaké základy zabezpečení hesel pro programátory (když už nějaký je, obvykle rozebírá jednu konkrétní metodu), zkusím takový souhrn napsat sám.

Zaměřím se na hesla na webových stránkách. Nepůjde o nějaké objevné informace, spíš shrnutí základů. Předpokládejme, že máme webovou aplikaci, heslo se ukládá v nějakém úložišti (typicky databáze) odděleně od samotného kódu aplikace.

Chcete si dát na web třeba diskusní fórum a najdede nějaké, u kterého je napsáno "Toto fórum je k dispozici pod licencí GNU GPL". Nojo, ale co to znamená?

Anebo naopak vytvoříte třeba obrázek nebo skript a chcete ho dát k dispozici ostatním a přemýšlíte, jak nejlépe definovat podmínky.

V takových situacích může pomoci tento článek. Zabývá se některými rozšířenými licencemi, pod kterými je distribuován "volný" obsah. Konkrétně bude řeč o GNU GPL a LGPL, MIT (neboli X11) a Creative Commons licencích.

Už pár let navštěvuji diskusní fórum na diskuse.jakpsatweb.cz (plus některá další). Za tu dobu jsem si všiml, že spousta lidí má talent formulovat dotaz buď tak, že ho nikdo nepochopí, nebo tak, že nikdo nemá chuť na něj vůbec odpovídat.

V tomto článku se pokusím shrnout nejčastější chyby, které jsem u otázek viděl, a tipy, jak se jich vyvarovat.

(22.9.2009: Rozšířil jsem bod 5 o dvě "základní otázky")
(8.12.2010: Pro usnadnění odkazování přímo na jednotlivé chyby -a jako připomínku, že to jde- jsem na přidal rychlou navigaci)

Podle žebříčku Amerického PC Magazine je nejčastějším heslem v USA slovo "password", tedy "heslo" (česká zprávička na Lupě). Nečekal bych, že uživatelé v ČR na tom budou o mnoho lépe. Administrátor řeší problém, aby uživatelé měli pokud možno bezpečná hesla. Uživatelé řeší problém, aby měli co nejlépe zapamatovatelná hesla. Zdánlivě protichůdné možnosti- složité heslo se přece bude špatně pamatovat. Přesto to tak nemusí být vždy a jsou způsoby, pomocí kterých jde vytvořit bezpečné a současně snadno zapamatovatelné heslo.

V diskusích o tvorbě webových stránek se často objevují dotazy typu "Jak zabránit návštěvníkovi stránky zobrazit zdrojový kód?", "Jak zabráním návštěvníkovi uložit si obrázek z mojí stránky?" a podobně. Jak tedy na to? Jde to vůbec udělat? A je vůbec rozumné se o to snažit?