| 0:00:20 | tam je nad nimi snaží snadný je to tam že neví |
|---|
| 0:00:25 | čímž přitom celebritu síť ale buně a v |
|---|
| 0:00:30 | sonet internetu je prostě plný nul že |
|---|
| 0:00:33 | a |
|---|
| 0:00:34 | je fakt že pučil chceme být shiller chráněný tady musim misie měl na bezpečnost tom |
|---|
| 0:00:40 | fyzickou jsme dělali vtom kybernetického |
|---|
| 0:00:43 | no a |
|---|
| 0:00:45 | a to zabezpečit symbol svoje webové aplikaci pro tím unk režim hrozbám |
|---|
| 0:00:50 | tak to nám prosím úvěr matouš krypta a zaklade zakladatel společností než hides to nás |
|---|
| 0:00:57 | zasnoubená vývoj russian liší webových a moduly aplikací |
|---|
| 0:01:03 | matušku třeba |
|---|
| 0:01:09 | jedna dva |
|---|
| 0:01:10 | asi je teda slyšet což s |
|---|
| 0:01:13 | a možná mě vorek je |
|---|
| 0:01:15 | takže nazdar lidi sem rád že se tolik z vás zajímalo bezpečno tepe úžasné |
|---|
| 0:01:24 | a |
|---|
| 0:01:27 | von no floor jakoby dělá taky dobrý nástroje pro bezpečnost pro monitorování provozu soše souvisí |
|---|
| 0:01:36 | s bezpečností ale super je super například vyjeli self korporaci začne šířit nějaký dvě |
|---|
| 0:01:42 | cože strašně zajímavý takle se to projeví na tý síťový vestoje kde třeba v tom |
|---|
| 0:01:48 | formanů díky tomu von to zjistíte a zastavíte to |
|---|
| 0:01:51 | a je neskutečně těžkých korporaci kráva několik stovek lidí říct všem aby přestali otevírat maily |
|---|
| 0:01:58 | jo |
|---|
| 0:02:01 | ale t jedna |
|---|
| 0:02:04 | tady vlastně není tady tadle přednáška bude o aplikační bezpečnosti které se teda bezpečnost se |
|---|
| 0:02:11 | jakoby může rozdělit na tu síťovou aplikační |
|---|
| 0:02:14 | kde ta síťové třeba ten von jsou to nějaký fakt nedupal nicí zkruty nastavený konfigurace |
|---|
| 0:02:20 | těch routerů aktualizace routerů spousta věcí kolem toho do s útoky taky velké téma |
|---|
| 0:02:25 | ale my budeme řešit aplikační tu kterou ovlivní programátor vývojář kerý to aplikací vyrábí takže |
|---|
| 0:02:34 | takže takhle jo |
|---|
| 0:02:35 | a dyž se řekne ta bezpečnost |
|---|
| 0:02:37 | tak si někteří vývojáře jako řeknou dobrý to se mně netýká jsem programátor ale my |
|---|
| 0:02:42 | tady ve řeší právě tu která se to programátora týká |
|---|
| 0:02:46 | troška s teorie je to asi jediná věta kterou tady řeknu s teorie je že |
|---|
| 0:02:51 | ta bezpečnost l se skládá jakoby z důvěrností dostupnosti a integrity |
|---|
| 0:02:56 | kdy |
|---|
| 0:02:56 | tady tohle je asi strašně dobrý když vyvinete jakou aplikaci a jako nějak vás napadne |
|---|
| 0:03:01 | je to bezpečný tak se na to kouknout tady těchto třech hledisek |
|---|
| 0:03:05 | jo |
|---|
| 0:03:06 | to znamená důvěrnost jsou ty data nějakým způsobem prostě za ta jenny nikdo se nedostane |
|---|
| 0:03:10 | k těm datům které by měl integrita je zajištěný to že mi ty data někdo |
|---|
| 0:03:15 | nějak nezmění |
|---|
| 0:03:17 | a tak dál a poslední tady máme tu dostupnost a to je z hlediska byznysu |
|---|
| 0:03:22 | a spouštění produktu na globální úrovni strašně důležitý |
|---|
| 0:03:25 | a kolikrát to nesouvisí ani s tím že by někdo chtěl tu aplikaci vyloženě zniči |
|---|
| 0:03:31 | ale máte větší trefíme ste očekávali taková ta klasika když je nějak |
|---|
| 0:03:37 | prostě stavíte ten produkt r přijde za klienta řekne |
|---|
| 0:03:41 | dobrý a dokoupit nějaký železo jaký server mám koupit jo a vy víte úplný pert |
|---|
| 0:03:46 | jaký tam bude traffic tak řeknete něco prostě mu řeknete vám to koupi a pak |
|---|
| 0:03:51 | prostě na to udělá ocas prostě |
|---|
| 0:03:54 | kampaň jako prase |
|---|
| 0:03:56 | a při je tam takový trefíte že to prostě |
|---|
| 0:03:59 | položí jako ten server takže ale ta dostupnost je součást bezpečnosti |
|---|
| 0:04:06 | a klasických praxi využívá se proto to nějaký klaudy prostě amazon a tak dále kde |
|---|
| 0:04:11 | jenom |
|---|
| 0:04:12 | teda pohnete tím progress barem že chcete více výpočetních prostředků |
|---|
| 0:04:16 | je to sice asi jako by mi ze čtyři krát dražší ale |
|---|
| 0:04:19 | je to asi byste doporučil když není dopředu znám i traffic |
|---|
| 0:04:24 | dobrý |
|---|
| 0:04:26 | a teď tá zásadní otázka |
|---|
| 0:04:28 | jestli vůbec řešit bezpečnost jo |
|---|
| 0:04:32 | protože vy často se těch společnostech a u toho vývoje není část řešit bezpečnost separátně |
|---|
| 0:04:38 | tuto otázku bezpečnosti řešit a teď otázka jako řešit to vůbec |
|---|
| 0:04:44 | co je blbý je že ví o podařené mu toku se můžete dozvědět až za |
|---|
| 0:04:48 | několik let typicky když je vykradená jak a databáze hesel tak se to prostě provalí |
|---|
| 0:04:55 | do internetu třeba za tři roky jo mezitím někdo firmy účty a údaji uživatelů prostě |
|---|
| 0:05:00 | pracuje a vy o tom ani nemusíte vědět |
|---|
| 0:05:02 | takže pokuď vy provoze té nějakou aplikaci tak už dávno může být napadená a vykradená |
|---|
| 0:05:08 | a vy o tom prostě nevíte na někde na týdne se to dostane prostě za |
|---|
| 0:05:12 | čtyři roky |
|---|
| 0:05:16 | no a další docela blbá věc je že je někdo může dlouhodobě zneužívat tu aplikaci |
|---|
| 0:05:23 | například jsme se setkali s informační systém prostě |
|---|
| 0:05:27 | nějaký pokladní systém |
|---|
| 0:05:29 | a který je který jako kdyby se tam registruje té podívané nějaký pokladny máte tam |
|---|
| 0:05:35 | přístup do nějakýho backend u |
|---|
| 0:05:36 | no a tak bylo to závažným i bezpečnostními chybami ve výsledku kterých vy můžeté vidět |
|---|
| 0:05:43 | veškeré tržby o konkurence |
|---|
| 0:05:46 | jo a těch í to prostě neví a jen to úplně jedno a |
|---|
| 0:05:51 | prostě ale ten systém takový je jo |
|---|
| 0:05:53 | takže a teď otázka jestli se ste s tím houkej nebo s tím oukej prostě |
|---|
| 0:05:56 | nejste |
|---|
| 0:05:57 | to je otázka na ten menenžment samozřejmě |
|---|
| 0:06:01 | no a |
|---|
| 0:06:02 | kolikrát se řekne jako žádné že není tady ba že ciras bezpečnosti ale tak |
|---|
| 0:06:07 | asi to není úplně nejlepší |
|---|
| 0:06:10 | no a teď že a teď jak máme zkušenosti mi e s těmi vývojáři krizí |
|---|
| 0:06:14 | vlastně třídou třeba k nám letech nic |
|---|
| 0:06:17 | a jakým způsobem se uchází o pozici vývojáře |
|---|
| 0:06:21 | dávají nějaký úkol testovací kde implementuju jakou velmi jednoduchou webovou aplikaci a je zajímavé vidět |
|---|
| 0:06:29 | ty rozdíly a to jak někdy ten vývojář příde prostě směrovou aplikací |
|---|
| 0:06:34 | strašně blbý je když přijde vývojář postaví na koleně prostě nějakou tu a prvků |
|---|
| 0:06:39 | a prostě má tam zavedený třeba haskell níže všem jo |
|---|
| 0:06:44 | řekli že z toho že prostě dnešní době asi by se tohle nemělo dít ale |
|---|
| 0:06:48 | prostě tím víc těch univerzit vycházejí takto naučení nebo respektive ne naučení |
|---|
| 0:06:54 | a vytváří aplikace s takovými chybami |
|---|
| 0:06:58 | vy když vlastně děláte na ničem strašně zajímavém třeba stavíte nějaký produkt a hodně vás |
|---|
| 0:07:02 | to baví vidíte nějakou aplikaci |
|---|
| 0:07:05 | a potom se pustí do světa a nějaký podrobených rekr vám to prostě zruší tak |
|---|
| 0:07:09 | máte po práci a prostě je to škoda |
|---|
| 0:07:12 | takže |
|---|
| 0:07:13 | doporučit používat hlavně frymburk ještě se k tomu dostaneme |
|---|
| 0:07:18 | není |
|---|
| 0:07:19 | další věc |
|---|
| 0:07:22 | nestavte ty věci moc na koleně jo když dáte nějakou aplikaci koukněte se co prostě |
|---|
| 0:07:29 | už existuje a použijte to co existuje protože |
|---|
| 0:07:32 | ty freiburg jako takové řeší spoustu věcí za vás pracují není desítky lidí a tak |
|---|
| 0:07:37 | dále a právě i tady tu bezpečnost nějaký jsem se jí zabývají vy když ten |
|---|
| 0:07:43 | frame použijete a použijete ho podle manuálu nezačne toho b ohýbat na té technologie prostě |
|---|
| 0:07:48 | rozumíte |
|---|
| 0:07:49 | tak najednou máte vyřešeno spoustu nějakých bezpečnostních otázek |
|---|
| 0:07:54 | jak se změnil s prohlížečem dneska pokud prostě použijete nějakou doktrínu použijete to tak jak |
|---|
| 0:08:00 | máte tak ste suchu |
|---|
| 0:08:02 | jo ta doktrína of prostě někde pozadí používá nějaké rozdělení těch type příkazní logiky jo |
|---|
| 0:08:08 | s těch dat |
|---|
| 0:08:09 | už a nějaký parametrizovaný dotaz to znamená že s principu tam není možný dostat nějakou |
|---|
| 0:08:13 | injekci mně to vubec nezajímá použil doktrinu tak je mám a sem prostě v suchu |
|---|
| 0:08:18 | jo |
|---|
| 0:08:18 | to je ten rozdíl mezi tím kdo začne od nuly psát a p skrytého prostě |
|---|
| 0:08:22 | takovýto |
|---|
| 0:08:24 | ale i takový prostě jsou a letní neznamená to že ti lidi nejsou použitelný nějaký |
|---|
| 0:08:29 | potenciál mají jen se to prostě musí doučit |
|---|
| 0:08:32 | holky |
|---|
| 0:08:34 | dále vy když používáte nějakou technologii tak vždycky si musíte být tou technologií stínů |
|---|
| 0:08:40 | ní my sme třeba řešili a velmi častý problém je třeba scho autem |
|---|
| 0:08:44 | a ty nějaký protokol který je na internetu strašně populární takovýto |
|---|
| 0:08:50 | že se přes google přihlásíte vpodstatě do jakýkoliv prostě a ty |
|---|
| 0:08:55 | a je to strašně souprav je ale když tady todle implementujete tak si dávejte veliký |
|---|
| 0:09:01 | hubách abyste tomu rozuměli jo nechoďte podle jenom tutoriál tady prostě ven tři řádky kontrol |
|---|
| 0:09:07 | c kontrola tady čtyři ta tiráž tam ty dáš tam a prostě jak to funguje |
|---|
| 0:09:11 | dobrý půl dál |
|---|
| 0:09:14 | a |
|---|
| 0:09:15 | je dobrý aby zrovna tady todle prostě nějaká základní bezpečnost kerou vy tomu ste rozměr |
|---|
| 0:09:20 | a opravdu si ten protokol dostudujete a platí to prostě úplně o všem zvlášť když |
|---|
| 0:09:25 | se týká té bezpečnosti |
|---|
| 0:09:27 | a |
|---|
| 0:09:28 | například vy když implementujete jako ukládání hesel |
|---|
| 0:09:33 | tak |
|---|
| 0:09:35 | tak taky super použít nějakou knihu vy když í nepoužijete a nepoužijete ji správně tak |
|---|
| 0:09:40 | to prostě je na prd nejčastější chyba je prostě v databázi uložených plane textu prostě |
|---|
| 0:09:45 | heslo |
|---|
| 0:09:47 | na |
|---|
| 0:09:48 | prostě se na těsně t |
|---|
| 0:09:49 | sranda třeba je že nám statek stalo nedávno tak jak my víme že to nemá |
|---|
| 0:09:53 | být a tak dále tak díváš to prostě tak udělal normálně prostě se díváme tam |
|---|
| 0:09:58 | do ty databáze ty jo tady admin jako počtu tam je prostě normálně jako napsaný |
|---|
| 0:10:03 | a jako vývoj a říká no já jsem se k tomu prostě chtěl vrátit já |
|---|
| 0:10:07 | vím že to tak je |
|---|
| 0:10:08 | jo jako tak taky blbost prostě jo tady tyhle věci se nesmí nechat rozdělaný teti |
|---|
| 0:10:11 | věci musí být prostě dotažený od startu že pak se na to zapomene |
|---|
| 0:10:18 | no |
|---|
| 0:10:19 | další věc kterou bych doporučil strašně moc v jako vývojáři byste měli doporučit aktualizace jo |
|---|
| 0:10:26 | aktualizace té prostě playing |
|---|
| 0:10:29 | a |
|---|
| 0:10:30 | například takový strašně oblíbenýho press |
|---|
| 0:10:33 | a já jsem se muset krav praxi z mnoha případy kdy lidi řekli ne já |
|---|
| 0:10:38 | nechci word process pro že to se formu si aktualizovat mi to furt máme útoky |
|---|
| 0:10:42 | po praze strašně rozšířený cena za nástroj ke rychlost těch se každý |
|---|
| 0:10:46 | a vy když děláte nějaký velký prostě webový systém synu page up i caching dryák |
|---|
| 0:10:51 | tak pak za vás tam příde nějaká prostě slečna z marketingu |
|---|
| 0:10:56 | a řekne |
|---|
| 0:10:57 | kterou já jsem si na ty hlavní stránce prostě změnit obrázek změnit bloky změnit jejich |
|---|
| 0:11:02 | velikost |
|---|
| 0:11:02 | a máte problém protože c m eskou horák tu jako ještě moc jako na výběr |
|---|
| 0:11:06 | není o co použít |
|---|
| 0:11:08 | takže může toto začít programová dále než naprogramujete quarters traktu tak vám to potrvá víc |
|---|
| 0:11:13 | než že ten deadline takže nakonec tam stejně fik n t na nějakou lendy který |
|---|
| 0:11:17 | čte dva r sadě spokojená prostě ta marketingová tato si tam prostě bude měnit kontent |
|---|
| 0:11:23 | a kdo uživatelskou sekci vypracujete sto burák tu kdybyste uživatel vlastně přihlásí tak má tam |
|---|
| 0:11:29 | pěknou |
|---|
| 0:11:29 | prostě mapu kraje sličná interaktivní a tak dál |
|---|
| 0:11:32 | na nicméně stejně na tom projektu jako takové vznikne ten hnusný word press |
|---|
| 0:11:37 | a problém je že je to velmi rozšířený nástroj tudíž sobě rozšíření roboti |
|---|
| 0:11:42 | a vy když někde nasadíte prostě nějaký systém tak když uvidíte chtěl loga ty přístupy |
|---|
| 0:11:47 | tak prostě je to je neuvěřitelné vy prostě spustíte server a najednou tam prostě běhá |
|---|
| 0:11:51 | spoustu by já prostě spoustu toho že jo traffic u |
|---|
| 0:11:56 | a co je zajímavý tak vám pokuď zjistí že existuje nějaký lomeno proto pomlčka admin |
|---|
| 0:12:01 | což je přihlášení dat myspace v okresu tak uženou takový ty automatizovaly útoky návod press |
|---|
| 0:12:07 | jo cože na prd tudíž v jako vývojáři nutný prostě upozornit použil jsem tady word |
|---|
| 0:12:13 | r s |
|---|
| 0:12:13 | naplánujeme tady co tři měsíce aktualizaci |
|---|
| 0:12:16 | kdy je to téma aktualizaci je dost jako by ožehavé téma |
|---|
| 0:12:21 | kdy vývojáři kteří jsou zodpovědní by chtěli aktualizovat aspoň měsíc co měsíc samozřejmě ten menežmentu |
|---|
| 0:12:27 | nechce tak se do toho za provrtám přesto může rozbít o sestává |
|---|
| 0:12:30 | zdroje to stojí prachy takže jako co tři měsíce ale mělo by se to protože |
|---|
| 0:12:34 | si máte stadiu pro střela dva roky a jakýkoliv jiný systém tak se můžete stát |
|---|
| 0:12:40 | prostě obětí toho útoku a na druhý den to můžete mít stránku něčem úplně jiném |
|---|
| 0:12:48 | to je tady toto |
|---|
| 0:12:51 | co bych podstatě chtěl rázný se tady bavíme o aplikační nebezpečnosti tak je o vás |
|---|
| 0:12:56 | projekt |
|---|
| 0:12:58 | jaká je ta zkratka to sem kdysi věděl ale pštrosi nevím |
|---|
| 0:13:02 | nějaký asi open v |
|---|
| 0:13:05 | a není to a s p to určitě ne |
|---|
| 0:13:07 | a |
|---|
| 0:13:10 | application se kvality pro jack asi jo |
|---|
| 0:13:13 | a teď ten prvek se zabývá právě tu bezpečností tou aplikační bezpečnosti |
|---|
| 0:13:19 | a |
|---|
| 0:13:20 | se strašně super ještě on definuje |
|---|
| 0:13:23 | to deset kategorií neztratím ní vnějších je věcí co můžete udělat a vy když si |
|---|
| 0:13:29 | tady tohle prostě projdete a přečtete |
|---|
| 0:13:32 | tak se vyvarujete spousta chyb jo jako že vás to naučí vás to prostě spoustu |
|---|
| 0:13:36 | věcí co ste nevěděli |
|---|
| 0:13:38 | mají to docela pěkně popsaný každý z vás nebo tuším co je to třeba i |
|---|
| 0:13:43 | ze z možná to slyšel ale každý by měl vědět jak ten docela probíhá nebo |
|---|
| 0:13:47 | to ať o tom ví že ta jeho aplikace nějakým způsobem vůči tomu odolná |
|---|
| 0:13:51 | typická ukázka je že všichni z vás viděli někde nějaký co se de facto ten |
|---|
| 0:13:55 | ale už málo lidí ví jak vlastně vypadá ten vektor útoku a proti čemu se |
|---|
| 0:13:59 | brání a to že někde jenom vzít f konfigura k ú zapnout se surfovat hranu |
|---|
| 0:14:03 | třeba nemusí znamená že to bude pokrytou pro všechny ty případy |
|---|
| 0:14:07 | pokud někoho tedy zajímat a bezpečnost se posunout v oblasti té bezpečnosti |
|---|
| 0:14:11 | běžte vykvete si prostě ten o vás |
|---|
| 0:14:14 | dejte tomu dvě hoďky nuceného čtení a budete prostě chytří hodně vás to posune |
|---|
| 0:14:22 | my máme celkem í málo času to znamená to zkusím trošku ještě urychlit |
|---|
| 0:14:28 | další věc která souvisí s bezpečností měli byste jen ani jako vývojáři |
|---|
| 0:14:33 | upozornit není nutné abych jako vývojáři dělal ale nutný aby není upozornila a to sou |
|---|
| 0:14:38 | zálohy tam je klasika jak často zálohovat a součást tvoření zálohově vyzkoušet jestli ty zálohy |
|---|
| 0:14:44 | fungují jo je na prd když vy prostě pět let zálohuje t |
|---|
| 0:14:47 | je tam spuštěné jak automatizace pak se to sbor tích přijdete o data a jo |
|---|
| 0:14:51 | já vám zálohy a přijdete a zjistíte že sto zalova long a protože tam třeba |
|---|
| 0:14:55 | přestal fungovat deskripce drog |
|---|
| 0:14:58 | takže je nutný a je jednak jako pravidelně aktualizovat a jednak pravidelně verifikovat zalovit taky |
|---|
| 0:15:03 | častá chyba |
|---|
| 0:15:04 | ještě v rychlosti b zmínil co dělá s tím když pracujete s aplikaci kraje velká |
|---|
| 0:15:08 | děravá to je taky častá chyba není potom jednoduché celou tu aplikaci vzít jako takovou |
|---|
| 0:15:15 | a prostě ji přepsat tady toto to je jako by docela těžká otázka co s |
|---|
| 0:15:21 | tím |
|---|
| 0:15:21 | a praxi se to řeší takže to takový systém který má takový ba že ty |
|---|
| 0:15:25 | takže koupit třeba za dva milióny nějaký aplikační first nějaký aplikační prostě firewall |
|---|
| 0:15:31 | a ten nový |
|---|
| 0:15:33 | ten umí nahrát legální provoz tudíž by během toho on se učí aby jen to |
|---|
| 0:15:38 | učení se musíte modrý dat neproběhne nějakým to |
|---|
| 0:15:40 | ale když máte štěstí |
|---|
| 0:15:42 | tak potom ho zapnete prostě do blokovacího modu a push filtruje |
|---|
| 0:15:47 | ten řádný prostě provoz tím že když někdo tam háže nějaké injekce tak z zastaví |
|---|
| 0:15:52 | ten |
|---|
| 0:15:53 | aplikační from tvorky když ta aplikace by to prostě pustila |
|---|
| 0:15:56 | to je takový typ kdybyste se s tím náhodou někdy setkali |
|---|
| 0:15:59 | protože přepisovat obrovskou aplikaci zprava to deskový žačnu to prostě není prakticky možné to se |
|---|
| 0:16:05 | může třeba jako zahodit a na co znovu |
|---|
| 0:16:08 | dobrý a asi úplně poslední věc kterou bych chtěl zmínit |
|---|
| 0:16:12 | vy když vytvořit aplikaci tak ohledně bezpečnosti si nikdy nemůžete být jistý |
|---|
| 0:16:17 | na sto procent není bezpečné stejně nikdy jisté jedno ale |
|---|
| 0:16:22 | ale pokuď sice t vyčistíte vždycky musí provádět o kontrolu někdo jiný než ten do |
|---|
| 0:16:26 | to vyráběl pro nějaký profesionální slepotě |
|---|
| 0:16:29 | za tímto účelem existuje možnost vytvoření nějakých penetrací testu |
|---|
| 0:16:35 | jsou na to speciální firmy nechte fajn sto taky umíme |
|---|
| 0:16:39 | a kde je pro vývojáře docela zajímavý ten průběh a to plánování kdyby musíte upozornit |
|---|
| 0:16:46 | na to že pokuď chcete provést m p netrestní té ste takový audit té bezpečnosti |
|---|
| 0:16:50 | aplikace |
|---|
| 0:16:51 | tak to bude mít velký vliv na harmonogram toho projektu |
|---|
| 0:16:55 | protože často se najdou chyby a je nutný vyhradí potom části pro ty opravy a |
|---|
| 0:16:59 | tak dál |
|---|
| 0:17:02 | jak ten test probíhá tady mám ještě v rychlosti nějakým způsobem poznačený |
|---|
| 0:17:08 | vy vpodstatě jako vývojáři co vás jako zajímá je |
|---|
| 0:17:12 | vy budete poskytovat součinnosti musíte připravit nějaké testovací prostředí pro type nepraští testy protože |
|---|
| 0:17:19 | pane trešní to znamená že vám tam na tu aplikaci útočí takže to musí být |
|---|
| 0:17:22 | separátní instance s testovacími daty |
|---|
| 0:17:25 | teda sekerou počítáte že se položí a prostě nevisí na tom nějaké další testování ú |
|---|
| 0:17:30 | té si ty a tak dále |
|---|
| 0:17:33 | dále |
|---|
| 0:17:35 | dále po probíhá potom nějaká ta realizace tam ste sochu ale pak přijde zpráva kde |
|---|
| 0:17:40 | prostě máte ty chyby a tak dál to znamená že vy prostě podle nějakýho a |
|---|
| 0:17:44 | třeba i toho o vás pouto opravujete |
|---|
| 0:17:47 | ten vás když vám někdo řekne že máte prostě v aplikaci nějaký typ chyby dete |
|---|
| 0:17:52 | na o vás vlivu velíte si tam chyba co serif co proti tomu můžu dělat |
|---|
| 0:17:56 | a tam vám to prostě nějakým co se mu píšou |
|---|
| 0:18:02 | dobrý |
|---|
| 0:18:04 | poslední věc kterou bych asi chtěl říct je |
|---|
| 0:18:08 | zdůraznit to sem tady zmínil už na začátku |
|---|
| 0:18:11 | abyste používali f morky a ne nevy nevybočil a listě frymburk u dokud ne jako |
|---|
| 0:18:17 | nevíte vyloženě co děláte |
|---|
| 0:18:19 | a když implementujete cokoliv co je spojené s bezpečností autorizace hesla a tak dále tak |
|---|
| 0:18:24 | si vždycky buďte jisti co děláte to sou tady tydle doporučení a třetí asi poslední |
|---|
| 0:18:29 | pokrývá ste bezpečno zajímá chcete se posunout jen na té vývojářské úrovni |
|---|
| 0:18:33 | běžte na ten ho vás a tam nějakým způsobem tom dejte dvě hoďky a |
|---|
| 0:18:38 | budete h pět dva grepy dobrý |
|---|
| 0:18:41 | možné si negativita zesilovače asi |
|---|
| 0:18:50 | jo logování je strašně fájn zapadá to do ty integrity míčové jakoby zjistí že jakoby |
|---|
| 0:18:57 | zjisti kdy a jak ten jak r je tu změnu udělal |
|---|
| 0:19:01 | jo jako že logování je takový a ne je to spíš jako prevence a možná |
|---|
| 0:19:06 | kvůli nějakých potom forenzní r t analýze že a zjistím stihlo tou jak to probíhalo |
|---|
| 0:19:11 | kde třeba tu chybu nám ale když se musím podívat do logu tak občas bývá |
|---|
| 0:19:14 | docela pozdě jo |
|---|
| 0:19:16 | ale samozřejmě loby doporučujeme pokud nějakým způsobem máte nějaký akce které jsou citliví tak určitě |
|---|
| 0:19:22 | zalogovat jasný |
|---|
| 0:19:24 | a na druhou stranu ní často se setkáváme s tím že do těch bloků jsou |
|---|
| 0:19:28 | zaneseny bezpečnostní chyby protože |
|---|
| 0:19:31 | to je docela vtipný prže jak uděláte logy loguje té alokujete celé nejlíp celé požadavky |
|---|
| 0:19:37 | které vám chodí do aplikace a jak se na lodi díváte no administraci prostě necháte |
|---|
| 0:19:42 | admin to vypsat plyn textu |
|---|
| 0:19:44 | jeho ze startu takle stačí |
|---|
| 0:19:45 | jenže prostě průser je že ten rekr teda tím pádem co tam podvrhne to vidí |
|---|
| 0:19:49 | admin takže mu tam pozorné druhý přihlašovací formátu administraci a máte slova domina takže tam |
|---|
| 0:19:55 | na bezpečnosti nulovou jako taky bacha je to hezká bez ale |
|---|
| 0:20:00 | dobrý ještě jeden slouží tady za tebou máš dotazy který plný počet libře tančíte že |
|---|
| 0:20:06 | můžeš zhora dole |
|---|
| 0:20:08 | o to jo dehtu |
|---|
| 0:20:11 | náš produkčních závislostech je to nutné se takle zadat |
|---|
| 0:20:15 | do na |
|---|
| 0:20:20 | jo |
|---|
| 0:20:21 | jo |
|---|
| 0:20:24 | a ale další otázky sou jako že asi jako by toto |
|---|
| 0:20:29 | jo a byla ta dobrá otázka teda brother |
|---|
| 0:20:36 | jo kantýně z integration jo té dobrá sranda protože opravdu konci musíte když měnový přístrojů |
|---|
| 0:20:42 | vývoj kdy předtím se dělali vlastně nějaké rysy a mohl se do za harmonogramu zařadit |
|---|
| 0:20:46 | prostě bezpečnostní test |
|---|
| 0:20:48 | kdysi byli rysy a pak byl jak se mu nějakým z reakce ten ste stará |
|---|
| 0:20:54 | systém integration testy prostě jo tady tohle |
|---|
| 0:20:57 | není |
|---|
| 0:20:57 | pokud máme coding s integration |
|---|
| 0:20:59 | doporučil bych testy naplánovat také na jednotlivé funkcionality a vždycky je potřeba rozhodnout jestli ta |
|---|
| 0:21:05 | funkce je ta nějakým způsobem může něco úplně |
|---|
| 0:21:08 | jako jestli v rámci v rámci kontinuálního vývoje se tam někam přidá obrázek tak asi |
|---|
| 0:21:13 | ne třeba zvažovat nějaký a toto jo jako že generační test ale pokud se dívalo |
|---|
| 0:21:19 | třeba z nějakým z nějakým bezpečnostním schematem třás přihlašování vaše |
|---|
| 0:21:23 | zavádění strašně populární že ve této oknu |
|---|
| 0:21:27 | tak tohle by měl podléhat temní p netlačím testu |
|---|
| 0:21:32 | a vy můžete říct o tom pene troši test rovina co se může zaměřit jo |
|---|
| 0:21:37 | takže asi to je taková nějaká odpověď |
|---|
| 0:21:41 | ve výsledku |
|---|
| 0:21:43 | se kódy ty testem se vypořádají tak úplně stejně jak z jinými typy testu |
|---|
| 0:21:48 | jo to je ta odpověď to znamená dříve byly prostě ty lze tak tepen z |
|---|
| 0:21:52 | na celý release dneska sou na jednotlivé bloky |
|---|
| 0:21:55 | jo takže můžete mi pane trešní té z na jednotlivé etikety klidně |
|---|
| 0:22:11 | no měla zopakuju dotazovém snad vybočuje že je čítač bezpečností sem naceňovali c t jednotlivých |
|---|
| 0:22:19 | projektu a sama naceňovali tahu čím vůbec navíc účasti rouge toho projektu |
|---|
| 0:22:25 | to je super otázka o spojení hoši a |
|---|
| 0:22:30 | s principu věci kde je to p nedržíte stre to je vývojář který zná prostě |
|---|
| 0:22:34 | všechny hlediska vývoje a zároveň znát o bezpečnost to znamená že s principu věci se |
|---|
| 0:22:39 | jedná o třeba dvakrát dalšího člověka jo cože blbý |
|---|
| 0:22:46 | takže to dražší |
|---|
| 0:22:47 | spíš je ta otázka potom kolik vyhradí té toho časového prostoru a tak dál mi |
|---|
| 0:22:53 | obecně říkáme hele podívej se tady ta a která se prostě dělá tři měsíce všichni |
|---|
| 0:22:58 | na tom tady na tom pracoval třea desetičlenný tým |
|---|
| 0:23:01 | a ty po mě chceš abych tady prostě za týden jeden člověk zhodnotil nejdřív se |
|---|
| 0:23:06 | musí naučit tu aplikaci všechny ty procesy nějaké co sem střeva |
|---|
| 0:23:10 | a ještě má na závěr si to teda je bezpečný nebo ne |
|---|
| 0:23:13 | jo takže my říkáme dejte tomu aspoň prostě třetinu jo ať tak pokryje a bude |
|---|
| 0:23:18 | se soustředí na podle obrázku kategorizaci top ten |
|---|
| 0:23:21 | a třeba to stihneme jo výsledkem toho netratil pestré testu může být že třeba se |
|---|
| 0:23:27 | nestihl zaměřit na nějaký ano nějaký oblastí z důvodu nedostatku alokovaných kapacit |
|---|
| 0:23:32 | a můžou se prostě dokoupí další a tak dál |
|---|
| 0:23:35 | ale je asi k tomu plánování bych doporučoval aspoň třicet procent to |
|---|
| 0:23:41 | nebo ne poslednou task |
|---|
| 0:23:43 | jak odrážet nejlépe celou toky produktu tiráků |
|---|
| 0:23:48 | útoky rošťáků i nákladů na resp |
|---|
| 0:23:54 | jo to je taková docela dost keys a protože |
|---|
| 0:23:57 | a protože každá bankovní aplikace na otisk jako přístupná otisk prstu |
|---|
| 0:24:04 | jen ta naše ne poďme to tam přidat jo ale co jako bezpeč |
|---|
| 0:24:09 | problém za tiskem prostoje že vám ho ukradnu kdykoliv jo jako necháte na screen c |
|---|
| 0:24:13 | a tak dál borci tady slitu měli |
|---|
| 0:24:15 | nějakou ukázku toho jak to normálně potom nalepí na gumový ho medvídka a tím gumový |
|---|
| 0:24:21 | medvídkem prostě odemknou nějaký hloupější senzory jo |
|---|
| 0:24:25 | nějaký týpek mi tam říká že mi odemkne hajan von nejsme na to část ale |
|---|
| 0:24:29 | mohl bitový zajímavý každopádně co je důležitý je že vy ten si o těch z |
|---|
| 0:24:33 | nezměníte jakmile vám někdo zkompromituje heslo tak si ho změnit ste suchu jenže když vám |
|---|
| 0:24:39 | někdo ukradne otisk prstu tak prostě řezat nebudete |
|---|
| 0:24:43 | no a to je jako argument vašeho vede toho bezpeč karel takže zavádíme tady přístup |
|---|
| 0:24:48 | a my ten uživatel lednovému někdo zkompromituje prostě ten jeho prst tak bude mít kdokoliv |
|---|
| 0:24:55 | přístup do té jeho matky a produkt jak říká do dobře ale všechny banky to |
|---|
| 0:24:58 | tady mají jako jo |
|---|
| 0:25:01 | takže |
|---|
| 0:25:02 | jasně je to těžký si jako někdo kdo se stará o bezpečnost bychom se bavili |
|---|
| 0:25:07 | vyloženě hoppe netrefím pestro vy tak vydáváte pouze rizika jo vyhodnotit rizika a dáte je |
|---|
| 0:25:12 | tady takové riziko je to riziko kritické střední nízké jako správně bezpečáci kateřínský kritické |
|---|
| 0:25:22 | ten vlastně ten penetrací pestré sedí na úrovni toho produkt nějaká a na denním je |
|---|
| 0:25:28 | nějaký šest a když je to velký problém tak je to prostě nějaký sílou jaký |
|---|
| 0:25:33 | prostě ředitel a ten musí s akceptovat riziko jo a vy jako bezpeč k máte |
|---|
| 0:25:39 | právo veta spuštění projektu |
|---|
| 0:25:41 | s pět se bavíme o nastavení toho těch procesů |
|---|
| 0:25:44 | máte |
|---|
| 0:25:45 | právo veta na spuštění projektu vy řeknete ne za mně to není bezpečné protože tady |
|---|
| 0:25:50 | kriticky problém |
|---|
| 0:25:51 | takže produkt jak a zastavíte ale ředitel prostě někdo narvaná řekne já sem tohle akceptovat |
|---|
| 0:25:58 | a ve správně nastavených procesech je potom toto zápisu nějaký nějakýho třeba jednání nebo něčeho |
|---|
| 0:26:03 | takovýho |
|---|
| 0:26:04 | kde |
|---|
| 0:26:05 | když se vám o bezpečnosti kde se to že peníze tak tam ústupovou prostě lépe |
|---|
| 0:26:08 | regulátoři je jako národní banka a tak dál |
|---|
| 0:26:11 | kde potom |
|---|
| 0:26:13 | když se stane průser tak vy jako bezpeč |
|---|
| 0:26:15 | ukážete tady na tomhle jednání se toto riziko akceptoval o |
|---|
| 0:26:19 | de to na hlavu tady představenstva jo a takže to není boj mezi penetrací testem |
|---|
| 0:26:24 | a produkt jak dává argumenty proč to zavést protože to ušní mají a je to |
|---|
| 0:26:29 | cool vydávat argumenty proč |
|---|
| 0:26:31 | tome zavést a rozhoduje o tom rozhoduje o tom někdo bude nad váma |
|---|
| 0:26:36 | a je dobrý potom s tím kdo o tom rozhoduje chodím na oběda pivota |
|---|
| 0:26:44 | výchylce děkuji na další potlesk |
|---|