Jak stosować nowoczesne mechanizmy przeglądarkowe w celu zabezpieczenia aplikacji webowej?

Już w najbliższy piątek o 09:00 Michał Bentkowski poprowadzi unikalne szkolenie o wykorzystaniu nowoczesnych mechanizmów przeglądarkowych w celu lepszego zabezpieczenia aplikacji webowych.

W ostatnich latach twórcy przeglądarek wprowadzili szereg mechanizmów, które pozwalają na lepsze zabezpieczenie aplikacji WWW przed atakami i pozwalają na lepsze zabezpieczenie danych użytkowników. Niektóre z nich są jednak w praktyce rzadko używane. Może pora to zmienić? Na szkoleniu pokażemy jak działają te mechanizmy, oraz przed jakimi atakami chronią.

Szkolenie przeznaczone jest dla programistów / testerów / architektów aplikacji oraz osób zajmujących się bezpieczeństwem IT.

Szkolenie odbywa się online 23.07.2021 (start o 09:00). Jeśli nie zdążysz – miesiąc po szkoleniu dostępne będzie również film.

Szkolenie prowadzi Michał Bentkowski.

Agenda

Wprowadzenie

• Omówienie podstawowych ataków przeglądarkowych na aplikację webowe (XSS, CSRF, eksfiltracja danych)
• Omówienie problemów, z jakimi borykają się twórcy przeglądarek w świecie po ujawnieniu podatności Spectre

Content Security Policy (CSP)

• Omówienie podstaw działania mechanizmu CSP,
• Omówienie problemów przy wdrazaniu CSP,
• Przedstawienie kilku przykładowych polityk CSP wraz z ich przypadkami użycia

Flagi i atrybuty Cookies

• Omówienie działania flag HttpOnly i Secure
• Dlaczego atrybut SameSite stanowi dobrą ochroną przed atakiem CSRF?
• Omówienie prefiksów ciasteczek (__Secure i __Host),

Fetch Metadata

• Wykorzystanie danych z Fetch Metadata do lepszego podejmowania decyzji na temat treści zwracanej użytkownikowi

Pomniejsze mechanizmy bezpieczeństwa:

• Clear-Site-Data – skuteczne czyszczenie wszystkich danych aplikacji,
• Cross-Origin-Opener-Policy
• Cross-Origin-Embedder-Policy i Cross-Origin-Resource-Policy
• Feature-Policy / Permissions-Policy

–ms