О событии
Быть начеку и знать врага в лицо - основа грамотного поведения в Сети сегодня.
Как вооружиться по всем фронтам и не стать жертвой злоумышленников?
Как обезопасить свой проект и сохранить деньги?
Как предотвратить опасность, а не бороться с последствиями атаки?
На эти и множество других вопросов ответит наш спикер, член команды Yii - АЛЕКСАНДР МАКАРОВ.
Митап будет полезен разработчикам, системным администраторам, DevOps инженерам, сетевикам, предпринимателям в сфере IT, студентам технических специальностей и всем, кому интересна тема информационных технологий.
Спикер
Александр Макаров Yii разработчик
10+ лет в IT: Java, PHP, JavaScript etc.
Писатель, докладчик
OpenSource
Член команды Yii, представитель в PHP-FIG
Инженер в Stay.com
Безопасность: от базовых принципов до особенностей PHP
Делая code review различных проектов я не раз замечал одни и те же проблемы с безопасностью несмотря на то, что реализовались проекты опытными командами. Это мотивировало меня рассказать про безопасность. Начать с общих принципов, углубится в особенности PHP и пройтись по типичным ошибкам настройки окружения.
Основные тезисы
- Базовые принципы безопасности.
- Фильтрация и экранирование, белые списки.
- Популярные угрозы.
- Пароли и хеши.
- Утечки информации.
- Случайные числа.
- Процессы и люди.
Отчет о прошедшем мероприятии
В субботу 27 июля в конференц-зале компании Involta состоялся седьмой митап нашего проекта. На этот раз он был посвящен теме WEB-безопасности и защиты от взломов.
Спикером выступил писатель, докладчик, инженер, член команды фреймворка Yii - Александр Макаров.
Основная мысль доклада Александра легко умещается в коротком тезисе: "фильтруй вход, экранируй выход". Под "входом" понимаются различные формы, файлы, заголовки HTTP, под "выходом" - браузер, консоль, базы данных.
Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними.
К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking.
Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы - главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию.
Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны - носители, на которых обычно хранится самая важная и ценная информация.
В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они:
1. OWASP + testing guide
2. статьи и книги Мартина Фаулера про безопасность
3. https://secure.php.net/manual/ru/security.php
4. Q&A на Stack Exchange
После доклада участников ждал кофе-брейк и свободный нетворкинг.
Нашей компании приятно радовать друзей подарками, поэтому каждый участник митапа унёс с собой целый набор брендированной продукции, а самые активные слушатели получили в подарок наши дополнительные фирменные призы.
Мы рады работать и развиваться для вас!
Скоро новый митап! Следите за нашими новостями в социальных сетях.
involta events - твой путеводитель в мире IT 🙂
Спикером выступил писатель, докладчик, инженер, член команды фреймворка Yii - Александр Макаров.
Основная мысль доклада Александра легко умещается в коротком тезисе: "фильтруй вход, экранируй выход". Под "входом" понимаются различные формы, файлы, заголовки HTTP, под "выходом" - браузер, консоль, базы данных.
Опираясь на этот тезис, Александр подробно рассказал о популярных угрозах в Сети, а так же предложил варианты решения проблем, связанных с ними.
К типичным угрозам спикер отнес: XSS, CSRF и DDoS атаки, небезопасный конструктор include, механизм обмана пользователей Clickjacking.
Довольно большую часть своего выступления Александр посвятил проблеме взлома паролей и последствиям этого взлома. Важно понимать, подчеркнул Александр, что, если произошла утечка базы - главное в этом случае а) устранить источник утечки, б) инвалидировать hash и в) попросить пользователей сменить ВСЕ пароли, чтобы лишить злоумышленников возможности использовать полученную информацию.
Немаловажным в процессе защиты проекта от взлома является человеческий фактор. Довольно часто приходится сталкиваться с тем, что и админы ошибаются. Типичные ошибки админов связаны с саппортом программ без предварительной проверки, раздачей прав на продакшн всем разработчикам компании, торчащей наружу memcached. Так же нужно помнить, что люди могут терять флешки, ноутбуки, телефоны - носители, на которых обычно хранится самая важная и ценная информация.
В завершении своего выступления Александр дал ссылки на те ресурсы, где можно подробнее почитать о WEB-безопасности, вот они:
1. OWASP + testing guide
2. статьи и книги Мартина Фаулера про безопасность
3. https://secure.php.net/manual/ru/security.php
4. Q&A на Stack Exchange
После доклада участников ждал кофе-брейк и свободный нетворкинг.
Нашей компании приятно радовать друзей подарками, поэтому каждый участник митапа унёс с собой целый набор брендированной продукции, а самые активные слушатели получили в подарок наши дополнительные фирменные призы.
Мы рады работать и развиваться для вас!
Скоро новый митап! Следите за нашими новостями в социальных сетях.
involta events - твой путеводитель в мире IT 🙂
Организатор
Инвольта - крупный IT-холдинг, специализирующийся на разработке сложных web-систем, интеграции бизнес-процессов в web-среду, разработке мобильных приложений, проектировании и разработке интернет-рекламных систем международного уровня.