Security

Представьте себе: вы находитесь в эксклюзивном ночном клубе (назовём его «API Club»), и у входа стоит вышибала, проверяющий удостоверения личности, а внутри есть ещё один человек, контролирующий доступ в VIP-зоны. Этот вышибала — это аутентификация. Контролёр VIP-зон — это авторизация. И прекрасное взаимодействие между этими двумя концепциями — именно то, что мы сегодня рассмотрим на примере OAuth 2.0 и OpenID Connect. Если вы когда-нибудь задумывались, почему вход в каждое приложение через вашу учётную запись Google работает так плавно, или как Spotify может получить доступ к вашим друзьям из Facebook, не украв секретный рецепт печенья вашей бабушки, то сейчас вы получите ответы....

Представьте: вы только что создали криптографический алгоритм, который, как вам кажется, невозможно взломать. Он элегантен, инновационен и — осмелюсь сказать — sexy математика. Вы внедряете его для защиты пользовательских данных, представляя себе будущие выступления на TED о своём гении. И тут… хлопок. Какой-то 17-летний подросток в подвале на другом конце света взламывает его с помощью зубочистки и вчерашних кофейных зёрен. Проверка реальности: создавать собственную криптографию — это как делать себе нейрохирургическую операцию, потому что WebMD сказал, что вы можете....

Демократизация разработки приложений с помощью таких инструментов, как Bubble.io, похожа на раздачу всем электроинструментов: это революционно, пока кто-нибудь не забудет про защитные очки. В условиях стремительной сборки приложений citizen-разработчиками безопасность часто становится жертвой этой революции low-code. Давайте разберёмся, как благонамеренные создатели случайно создают цифровые минные поля и, что самое важное, как их обезвреживать. Армагеддон аутентификации Представьте, что вы оставили входную дверь незапертой, потому что «район кажется спокойным». Это слабая аутентификация в приложениях Bubble....

Расскажу вам историю о моей первой встрече с сиреневатой песней криптографии. Было три часа ночи, я пил холодный кофе и был убеждён, что изобрёл нерушимый шифр, используя типы покемонов и модульную арифметику. Затем реальность ударила сильнее, чем критический удар от Чармандера 100-го уровня — моё «шедевр» было взломано стажёром во время перерыва на кофе. Сегодня мы разберёмся, почему самодельное шифрование для разработчиков — это как жонглирование живыми гранатами, с примерами кода и проверенными альтернативами....

Представьте: вы построили прекрасный цифровой корабль, отполировали каждую доску кода и уверенно отправились в плавание по океану интернета. И вдруг — плюх — одна строчка незаэкранированного ввода топит всё ваше творение. Добро пожаловать в мир современной безопасности программного обеспечения, где мы все находимся всего в одном sudo rm -rf / от того, чтобы стать предостерегающим твитом. Дыра в вашем цифровом ведре Давайте начнём с универсальной истины — каждый разработчик считает свой код Форт-Ноксом, пока кто-нибудь не покажет ему USB-флешку за 5 долларов....