 fox
II/IDEC networks :: habra.14 :: / (Не)безопасный frontend
|
Login |
[#]
(Не)безопасный frontend
habrabot(difrex,1) — All
2015-06-09 21:30:02
#
Не так давно я выступал на конференции [FrontendConf 2015][1] (РИТ++) с темой данной статьи. И при подготовке доклада начал искать информацию, а кто вообще выступал на данную тему и что есть в Сети на данный момент. Оказалось, что информации совсем немного, более-менее можно было бы отметить доклад [mikewest.org/2013/09/frontend-security-frontendconf-2013][2] от Mike West из компании Google, но какой-то «непентестерский» взгляд и уж совсем мало материала. И [www.slideshare.net/eoftedal/web-application-security-in-front-end][3] где тема раскрыта более детально, но выступление 2011 года. А за 4 года технологии и атаки на месте не стояли. Долго и сложно выбирая темы, что же все-таки рассказать разработчикам фронтендов про безопасность, при этом минимум касаясь бекэнда (местами все-таки это неделимо), получился доклад, а здесь — его текстовый пересказ.
#
А действительно, о чем тут вообще можно разговаривать? Говоря про взломы и безопасность невольно приходят в голову тезисы — слили базу, получили доступ к выполнению команд ОС на сервере, прочитали чужую переписку. Но это все — server side код. А что ж может «нагородить» фронтэндер? Главная опасность, конечно же, в обходе атакующим SOP — Same Origin Policy, главной политики безопасности браузеров, которая регулирует работу в разных Origin. Но не только, давайте разбираться. [Читать дальше →][4]
[1]: http://frontendconf.ru/2015/abstracts/1769
[2]: https://mikewest.org/2013/09/frontend-security-frontendconf-2013
[3]: http://www.slideshare.net/eoftedal/web-application-security-in-front-end
[4]: http://habrahabr.ru/post/259389/#habracut
habrabot(difrex,1) — All
2015-06-09 21:30:02
#
Не так давно я выступал на конференции [FrontendConf 2015][1] (РИТ++) с темой данной статьи. И при подготовке доклада начал искать информацию, а кто вообще выступал на данную тему и что есть в Сети на данный момент. Оказалось, что информации совсем немного, более-менее можно было бы отметить доклад [mikewest.org/2013/09/frontend-security-frontendconf-2013][2] от Mike West из компании Google, но какой-то «непентестерский» взгляд и уж совсем мало материала. И [www.slideshare.net/eoftedal/web-application-security-in-front-end][3] где тема раскрыта более детально, но выступление 2011 года. А за 4 года технологии и атаки на месте не стояли. Долго и сложно выбирая темы, что же все-таки рассказать разработчикам фронтендов про безопасность, при этом минимум касаясь бекэнда (местами все-таки это неделимо), получился доклад, а здесь — его текстовый пересказ.
#
А действительно, о чем тут вообще можно разговаривать? Говоря про взломы и безопасность невольно приходят в голову тезисы — слили базу, получили доступ к выполнению команд ОС на сервере, прочитали чужую переписку. Но это все — server side код. А что ж может «нагородить» фронтэндер? Главная опасность, конечно же, в обходе атакующим SOP — Same Origin Policy, главной политики безопасности браузеров, которая регулирует работу в разных Origin. Но не только, давайте разбираться. [Читать дальше →][4]
[1]: http://frontendconf.ru/2015/abstracts/1769
[2]: https://mikewest.org/2013/09/frontend-security-frontendconf-2013
[3]: http://www.slideshare.net/eoftedal/web-application-security-in-front-end
[4]: http://habrahabr.ru/post/259389/#habracut