треки / 04
Безпека і криптографія
Безпека — рідна територія каналу: Віктор починав карʼєру в інфобезпеці, згодом вступив на PhD із кібербезпеки, а тезу формулює прямо в qa-and-plans-for-2024 — «майже вся інформаційна безпека — це розуміння того, як речі працюють усередині». Тож канал майже ніколи не викладає безпеку як чекліст. Він викладає нутрощі — як DHCP роздає налаштування, з чого зроблений JWT, що пара ключів може і чого не може — і дає висновкам про безпеку випливати самим, загострюючи їх питаннями з підступом («а JWT зашифрований?»), живими атаками (rogue DHCP-сервер, зібраний за столиком у кавʼярні) та історіями з WebbyLab (адмінський ключ, який перейменував клієнта на «Рауль»). Свідомо центральний елемент — трійця кодування / шифрування / хешування, яку канал викладає саме як набір, бо плутанина між ними — корінь більшості помилок безпеки в розробників.
Порядок перегляду
-
1
почніть із трійці, яку всі плутають, розплутаної питаннями з підступом: JWT підписані, паролі в БД хешовані, Basic Auth — відкритий текст
-
2Як працює Base64 і навіщо він потрібен початковий
канонічне кодування з перших принципів, розкодоване наживо в JWT, заголовках Basic Auth і data URI
-
3
одна концепція пари ключів пояснює HTTPS, SSH, PGP, JWT, гаманці й Authenticator, із робочими демо на Node.js
-
4
криптографія в застосуванні до мережі: HTTPS не врятує вас у ворожій мережі, плюс продовження про Base64, JWT і UUID
-
5
та сама ворожа мережа, зібрана насправді: rogue-DHCP-атака в кавʼярняному Wi-Fi, наживо з dnsmasq і Wireshark
-
6
сантехніка шару довіри: каскад CRLite у Firefox для перевірки відкликаних сертифікатів
-
7
захист через ізоляцію: VM у пісочниці за віртуальним роутером pfSense, щоб не гуляла домашньою LAN
-
8
людський фактор, частина 1: чому розробникам не можна давати адмінські ключі — видалений співзасновник і клієнт «Рауль»
-
9Голосове №4 — як мені дзвонили шахраї початковий
людський фактор, частина 2: реальний шахрайський дзвінок, записаний і розібраний до розвалу сценарію
-
103 речі, які роблять програміста кращим початковий
ширший план: вивчення безпеки як найкращий маршрут до глибокого розуміння; історія з Base64