концепції / security-practices
Практики безпеки
Безпекова теза каналу, прямо сформульована у Q&A з планами на 2024: «майже вся інформаційна безпека — це розуміння того, як речі влаштовані всередині». Віктор (який починав в інфобезпеці ще до Mail.ua, WebbyLab і Google, а пізніше вступив на PhD з кібербезпеки) трактує безпеку не як чекліст, а як наслідок знання нутрощів: якщо знаєш, як протокол чи механізм справді працює, то знаєш і його властивості, і як його зламати. Саме тому його глибокі розбори протоколів свідомо оформлені як історії про безпеку: відео про DHCP — насправді урок про man-in-the-middle у Wi-Fi в кафе, а трійця Base64/хешування/шифрування існує, щоб зруйнувати хибні уявлення на кшталт «Basic Auth зашифрований, бо це Base64». У відео про три речі, що роблять програміста кращим він навіть радить вивчати безпеку (ін’єкції, XSS/CSRF, переповнення буфера, Heartbleed, Shellshock) як найкращий шлях до глибокого навчання загалом.
Конкретні вердикти, що повторюються від відео до відео: ставтеся до Base64 як до відкритого тексту, а не як до захисту; зберігайте паролі захешованими через scrypt/bcrypt, а не зашифрованими, щоб навіть атакувальник із повною базою і конфігами не міг їх відновити (хешування vs кодування vs шифрування); ніколи не пишіть власну криптографію (він цитує Шнаєра), ніколи не діліться приватними ключами і використовуйте crypto.getRandomValues замість Math.random — як доказ того, що слабка випадковість валить усе, він згадує інцидент із бекдором у RNG від NIST у Windows (асиметричне шифрування і підписи). Про мережі: сам по собі HTTPS не врятує вас у ворожій мережі — через звичайний HTTP атакувальник може на льоту підмінити завантажуваний файл на малвар, а загальний захист — VPN-тунель (Q&A: чи захистить вас HTTPS). Людський бік теж має свої історії: адмінський API-ключ плюс скопійований приклад коду видалили акаунт співзасновника (войс про адмінські ключі → найменші привілеї), а справжні дзвінки банківських шахраїв розібрані у войсі про телефонних шахраїв (соціальна інженерія).
Розібрано у відео
- Що не так з Інтернетом в кафе? Розбираємо DHCP
практичний урок man-in-the-middle: у ненадійному Wi-Fi в кафе будь-хто за сусіднім столиком може підсунути вам шкідливі мережеві налаштування і читати незашифрований трафік
- Як не дати віртуальній машині лазити по вашій домашній мережі (офтоп для спонсорів)
defense-in-depth на практиці: пісочниця для потенційно скомпрометованої VM, щоб вона не пролізла в домашню мережу
- Як працює Base64 і навіщо він потрібен
демо з Basic Auth: заголовок
Authorization: Basicрозкодовується вlogin:passwordбраузернимatob— Base64 ніколи не є захистом - Хешування, кодування, шифрування — у чому різниця?
практичні вердикти: паролі хешуємо (scrypt/bcrypt) і ніколи не шифруємо; не плутаємо кодування із захистом
- Що захищає твої дані й гроші від хакерів? Асиметричне шифрування та цифровий підпис
не пиши власну криптографію, не ділись приватними ключами, використовуй справжню випадковість; історія про бекдор у RNG від NIST
- Питання та відповіді №1: чи захистить HTTPS?
модель загроз ворожої мережі: підміна файлів через звичайний HTTP, VPN як загальний захист
- Голосове №1 — чому не можна давати розробникам адмінські ключі
історія про те, чому креденшели мають бути обмежені рамками задачі
- Голосове №4 — як мені дзвонили шахраї
справжні банки ніколи не просять назвати вголос PIN, паспортні дані чи кодові слова; захист — розпізнавати патерн штучно створеної довіри
- 3 речі, які роблять програміста кращим
безпека як найкращий навчальний матеріал для глибокого розуміння
- Як покращити Code Review? Як це робить Google?
у процесі архітектурного рев’ю WebbyLab безпека має власний чекліст типових помилок
Повʼязане
Соціальна інженерія — людська поверхня атаки, яку не виправить жодна криптографія. Принцип найменших привілеїв — обмежуй креденшели рамками задачі. Шифрування, Хешування, Кодування — трійця, плутанина в якій спричиняє більшість помилок безпеки у розробників. HTTPS і TLS — від чого TLS захищає, а від чого ні. Пісочниці та ізоляція — ізоляція ненадійного коду. Глибоке вивчення фундаментальних речей — безпека як головний тест на розуміння нутрощів.