WEB - безопасность: От базовых принципов до особенностей PHP - Александр Макаров скачать в хорошем качестве

WEB - безопасность: От базовых принципов до особенностей PHP - Александр Макаров

Основная мысль доклада Александра легко умещается в коротком тезисе: "фильтруй вход, экранируй выход". Под "входом" понимаются различные формы, файлы, заголовки HTTP, под "выходом" - браузер, консоль, базы данных. Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними. К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking. Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы - главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию. Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны - носители, на которых обычно хранится самая важная и ценная информация. В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они: 1. OWASP + testing guide 2. статьи и книги Мартина Фаулера про безопасность 3. https://secure.php.net/manual/ru/secu... 4. Q&A на Stack Exchange involta events - твой путеводитель в мире IT 🙂 #involta #yii #web