Security

Помните то самодовольное чувство, когда ваш код компилируется с первой попытки? То приятное ощущение, когда все тесты проходят успешно? Что ж, приготовьтесь, потому что я собираюсь разрушить этот пузырь быстрее, чем сюжетный поворот в мыльной опере. Ваш код не так надёжен, как вам кажется, и, честно говоря, мой тоже. Давайте начнём с отрезвляющей проверки реальности: 25 февраля 1991 года небольшая ошибка округления — речь идёт о потере точности на 0,000000095 секунды каждые десятые доли секунды — накопилась за 100 часов и привела к тому, что ракета «Пэтриот» не смогла перехватить ракету «Скад»....

Представьте: вы создаёте что-то новое и грандиозное, и вдруг вам нужно зашифровать конфиденциальные данные. Ваш внутренний разработчик кричит: «Да чего тут сложного? Это же просто математика!» Друг мой, именно такое мышление держит специалистов по кибербезопасности на работе, а кофейни — в бизнесе. Вот неприятная правда: шифрование на первый взгляд обманчиво просто, но на самом деле катастрофически сложно. Это как айсберг в смокинге — сверху выглядит элегантно, но под водойline скрывается огромная, острая, способная потопить «Титаник» катастрофа....

Представьте себе: вы находитесь в эксклюзивном ночном клубе (назовём его «API Club»), и у входа стоит вышибала, проверяющий удостоверения личности, а внутри есть ещё один человек, контролирующий доступ в VIP-зоны. Этот вышибала — это аутентификация. Контролёр VIP-зон — это авторизация. И прекрасное взаимодействие между этими двумя концепциями — именно то, что мы сегодня рассмотрим на примере OAuth 2.0 и OpenID Connect. Если вы когда-нибудь задумывались, почему вход в каждое приложение через вашу учётную запись Google работает так плавно, или как Spotify может получить доступ к вашим друзьям из Facebook, не украв секретный рецепт печенья вашей бабушки, то сейчас вы получите ответы....

Представьте: вы только что создали криптографический алгоритм, который, как вам кажется, невозможно взломать. Он элегантен, инновационен и — осмелюсь сказать — sexy математика. Вы внедряете его для защиты пользовательских данных, представляя себе будущие выступления на TED о своём гении. И тут… хлопок. Какой-то 17-летний подросток в подвале на другом конце света взламывает его с помощью зубочистки и вчерашних кофейных зёрен. Проверка реальности: создавать собственную криптографию — это как делать себе нейрохирургическую операцию, потому что WebMD сказал, что вы можете....

Демократизация разработки приложений с помощью таких инструментов, как Bubble.io, похожа на раздачу всем электроинструментов: это революционно, пока кто-нибудь не забудет про защитные очки. В условиях стремительной сборки приложений citizen-разработчиками безопасность часто становится жертвой этой революции low-code. Давайте разберёмся, как благонамеренные создатели случайно создают цифровые минные поля и, что самое важное, как их обезвреживать. Армагеддон аутентификации Представьте, что вы оставили входную дверь незапертой, потому что «район кажется спокойным». Это слабая аутентификация в приложениях Bubble....