Віктор Турський про програмування / навігатор

концепції / security-practices

Практики безпеки

Безпекова теза каналу, прямо сформульована у Q&A з планами на 2024: «майже вся інформаційна безпека — це розуміння того, як речі влаштовані всередині». Віктор (який починав в інфобезпеці ще до Mail.ua, WebbyLab і Google, а пізніше вступив на PhD з кібербезпеки) трактує безпеку не як чекліст, а як наслідок знання нутрощів: якщо знаєш, як протокол чи механізм справді працює, то знаєш і його властивості, і як його зламати. Саме тому його глибокі розбори протоколів свідомо оформлені як історії про безпеку: відео про DHCP — насправді урок про man-in-the-middle у Wi-Fi в кафе, а трійця Base64/хешування/шифрування існує, щоб зруйнувати хибні уявлення на кшталт «Basic Auth зашифрований, бо це Base64». У відео про три речі, що роблять програміста кращим він навіть радить вивчати безпеку (ін’єкції, XSS/CSRF, переповнення буфера, Heartbleed, Shellshock) як найкращий шлях до глибокого навчання загалом.

Конкретні вердикти, що повторюються від відео до відео: ставтеся до Base64 як до відкритого тексту, а не як до захисту; зберігайте паролі захешованими через scrypt/bcrypt, а не зашифрованими, щоб навіть атакувальник із повною базою і конфігами не міг їх відновити (хешування vs кодування vs шифрування); ніколи не пишіть власну криптографію (він цитує Шнаєра), ніколи не діліться приватними ключами і використовуйте crypto.getRandomValues замість Math.random — як доказ того, що слабка випадковість валить усе, він згадує інцидент із бекдором у RNG від NIST у Windows (асиметричне шифрування і підписи). Про мережі: сам по собі HTTPS не врятує вас у ворожій мережі — через звичайний HTTP атакувальник може на льоту підмінити завантажуваний файл на малвар, а загальний захист — VPN-тунель (Q&A: чи захистить вас HTTPS). Людський бік теж має свої історії: адмінський API-ключ плюс скопійований приклад коду видалили акаунт співзасновника (войс про адмінські ключінайменші привілеї), а справжні дзвінки банківських шахраїв розібрані у войсі про телефонних шахраїв (соціальна інженерія).

Розібрано у відео

Повʼязане

Соціальна інженерія — людська поверхня атаки, яку не виправить жодна криптографія. Принцип найменших привілеїв — обмежуй креденшели рамками задачі. Шифрування, Хешування, Кодування — трійця, плутанина в якій спричиняє більшість помилок безпеки у розробників. HTTPS і TLS — від чого TLS захищає, а від чого ні. Пісочниці та ізоляція — ізоляція ненадійного коду. Глибоке вивчення фундаментальних речей — безпека як головний тест на розуміння нутрощів.