Завтра на лекции мы закончим тему с хранением паролей и будем подводить итоги по симметричной криптографии. Сброс пароля, токены, двухфакторная аутентификация, а также MAC и AEAD – наконец-то. Не расстраивайтесь, если вы не были на прошлой паре: обычно в начале лекции мы кратко проходимся по материалу предыдущей.
В Белке на 12:20 в субботу 19 октября, приходите все желающие, пользуйтесь возможностью, пока не поставили турникеты. Если вы не из КПИ, это тоже не проблема.
Мы рассмотрим, как хранить хеши паролей в базе так, чтобы даже если их сольют, ничего страшного не произошло. Как правильно сбрасывать пароль пользователя (а не напоминать его). Как добавить в свой сервис двухфакторную аутентификацию. Вы поймете, что сделать хорошо даже проще, чем сделать плохо :)
В Белке на 12:20 в субботу 19 октября, приходите все желающие, пользуйтесь возможностью, пока не поставили турникеты. Если вы не из КПИ, это тоже не проблема.
Мы рассмотрим, как хранить хеши паролей в базе так, чтобы даже если их сольют, ничего страшного не произошло. Как правильно сбрасывать пароль пользователя (а не напоминать его). Как добавить в свой сервис двухфакторную аутентификацию. Вы поймете, что сделать хорошо даже проще, чем сделать плохо :)
Вопрос, который не покидает ваши умы даже во время сна: шифровать-то шифруем, но для шифрования ведь нужен ключ. Хорошо, ключ можно сделать из пароля с помощью KDF. Но как два человека будут знать один и тот же ключ? Не по скайпу же его кидать. А если передавать зашифрованный ключ, то как обменятся ключами шифрования ключей шифрования? Если вы ничего не поняли, это нормально, потому что никто так не делает.
Завтра в Белке, а это будет суббота, 26 октября, в 12:20 открытая лекция по защите программ и данных.
Мы начнем рассматривать ассиметричную криптографию. Начнем мы как раз с ответа на вопрос, как двум людям узнать один и тот же секретный ключ так, чтобы его не подсмотрел никто другой. И это без шифрования и по незащищенному каналу, то есть там, где кто-угодно может подсматривать сообщения!
Завтра в Белке, а это будет суббота, 26 октября, в 12:20 открытая лекция по защите программ и данных.
Мы начнем рассматривать ассиметричную криптографию. Начнем мы как раз с ответа на вопрос, как двум людям узнать один и тот же секретный ключ так, чтобы его не подсмотрел никто другой. И это без шифрования и по незащищенному каналу, то есть там, где кто-угодно может подсматривать сообщения!
Сорян, время в предыдущем посте было неправильное, пара будет в 12:20, пост выше тоже исправил
Распространенность RSA может навести на мысль, что это невероятно крутой и очень защищенный алгоритм. Еще этому способствуют лабы в университетах, которые как на подбор: «реализуйте алгоритм RSA и зашифруйте строку». Реальность куда печальнее, и при использовании в лоб такая защита ломается очень быстро. Примерно так же дела обстоят и с протоколом Диффи-Хеллмана.
Завтра, 2 ноября, в 12:20 в Белке будет проходить открытая лекция по безопасности «Как использовать RSA». Спойлер: никак.
Мы рассмотрим уязвимости RSA и DH, что стоит использовать, а что нет. Посмотрим, как все выученные нами технологии используются для создания сертификатов как для сайтов, так и для подписи приложений для, например, AppStore. И затем, как сертификаты находят свое место в протоколе TLS, который вы чаще всего видите как https, – тот самый парень, который защищает вашу историю просмотра роликов на ютубе от зорких глаз провайдера.
Завтра, 2 ноября, в 12:20 в Белке будет проходить открытая лекция по безопасности «Как использовать RSA». Спойлер: никак.
Мы рассмотрим уязвимости RSA и DH, что стоит использовать, а что нет. Посмотрим, как все выученные нами технологии используются для создания сертификатов как для сайтов, так и для подписи приложений для, например, AppStore. И затем, как сертификаты находят свое место в протоколе TLS, который вы чаще всего видите как https, – тот самый парень, который защищает вашу историю просмотра роликов на ютубе от зорких глаз провайдера.
Завтра разговор пойдет о практически самой распространенной и популярной «крипто-технологии». И нет, это не блокчейн. Речь о TLS, с которым рано или поздно сталкивается каждый программист. А также: https, CRL, OCSP, ocsp-stapling, SNI, eSNI, dnssec, dns-over-https и dns-over-tls. Много стремных слов, поэтому лекция снова обещает быть долгой.
Как обычно, 12:20, 16 ноября в белке вас ждет лекция по защите программ и данных.
Чтобы у вас возникало меньше вопросов, зачем надо этот сертификат, почему он так быстро истекает, что это за наборы странных символов, которые надо указывать при настройке https, почему сертификаты подводят в самый ответственный момент, когда они должны были защитить нас, – приходите завтра на открытую лекцию, на которой прозвучат ответы на эти жуткие вопросы, которые не дают вам спокойно уснуть.
Все знание, которые у вас остались(?) после предыдущих лекций, соединяются вместе, в этом чудесном изобретении, которое позволяет вам лазить по youtube так, что даже ваш провайдер не знает, что вы смотрите. Что такое TLS, и почему эту технологию не смогли сразу придумать нормально, почему каждые несколько лет в ней находят новые уязвимости, зачем вам обязательно нужны сертификаты, которые быстро истекают, и почему вам обязательно нужен ocsp-stapling и must-staple. Все это вы узнаете завтра.
Как обычно, 12:20, 16 ноября в белке вас ждет лекция по защите программ и данных.
Чтобы у вас возникало меньше вопросов, зачем надо этот сертификат, почему он так быстро истекает, что это за наборы странных символов, которые надо указывать при настройке https, почему сертификаты подводят в самый ответственный момент, когда они должны были защитить нас, – приходите завтра на открытую лекцию, на которой прозвучат ответы на эти жуткие вопросы, которые не дают вам спокойно уснуть.
Все знание, которые у вас остались(?) после предыдущих лекций, соединяются вместе, в этом чудесном изобретении, которое позволяет вам лазить по youtube так, что даже ваш провайдер не знает, что вы смотрите. Что такое TLS, и почему эту технологию не смогли сразу придумать нормально, почему каждые несколько лет в ней находят новые уязвимости, зачем вам обязательно нужны сертификаты, которые быстро истекают, и почему вам обязательно нужен ocsp-stapling и must-staple. Все это вы узнаете завтра.
К сожалению, прошлая лекция не записалась на видео😢 Поскольку тема очень важная, мне придется сделать завтра повтор. Понимаю, что многим может быть просто лень идти и слушать одно и то же, но, пожалуйста, постарайтесь найти время и составить мне компанию, чтобы не пришлось рассказывать столь интересные вещи в пустую аудиторию. Как бонус: вы уже будете знать ответы на все мои хитрые вопросы.
Поэтому приглашаю всех на "открытую лекцию по крипте (1)", завтра снова поговорим о TLS, https, CRL, OCSP, ocsp-stapling, SNI, eSNI.
23 ноября в Белке, в 12:20 лекция по защите программ и данных. На всякий случай так же ссылка на канал @softwareanddatasecurity и в чат, где можно заранее задать вопросы, на которые я смогу завтра ответить @sadschat Буду рад всех видеть снова😊
Поэтому приглашаю всех на "открытую лекцию по крипте (1)", завтра снова поговорим о TLS, https, CRL, OCSP, ocsp-stapling, SNI, eSNI.
23 ноября в Белке, в 12:20 лекция по защите программ и данных. На всякий случай так же ссылка на канал @softwareanddatasecurity и в чат, где можно заранее задать вопросы, на которые я смогу завтра ответить @sadschat Буду рад всех видеть снова😊
Завтра лекции не будет, будет только на следующей неделе. Извините, что так поздно сообщаю 🙁
Завтра снова замечательная лекция 👌В нашем прекрасном мирке с TLS и https, несмотря на все изощрения с CRL, OCSP, must-staple и прочими премудростями, всё равно остается место для хитрых атак и подглядываний. Для примера, попробуйте зайти в Украине на сайт вроде https://yandex.ru. Как же провайдеры умудряются их блокировать несмотря на то, что там https?
Завтра в субботу 07.12 в 12:20 в Белке будет открытая лекция, на которой я постараюсь примерно ответить на эти вопросы. Я вкратце расскажу об tls вначале, чтобы те, кого не было в прошлый (и позапрошлый) раз были с нами на одной волне😊
Мы рассмотрим такие штуки как блокировки по имени сервера, подделку ответов DNS (в простом виде, когда это делает mitm), encrypted-SNI, DNS-over-HTTPS, dnssec, ну и тему, которую шарит каждый таксист: VPN. Что это, зачем это, tunnel и transport режимы, IPsec, IKEv2 и прочие радости жизни. Так что приходите, вам будут рады😉
Завтра в субботу 07.12 в 12:20 в Белке будет открытая лекция, на которой я постараюсь примерно ответить на эти вопросы. Я вкратце расскажу об tls вначале, чтобы те, кого не было в прошлый (и позапрошлый) раз были с нами на одной волне😊
Мы рассмотрим такие штуки как блокировки по имени сервера, подделку ответов DNS (в простом виде, когда это делает mitm), encrypted-SNI, DNS-over-HTTPS, dnssec, ну и тему, которую шарит каждый таксист: VPN. Что это, зачем это, tunnel и transport режимы, IPsec, IKEv2 и прочие радости жизни. Так что приходите, вам будут рады😉
Блокчейн! Держава в смартфоні!
Завтра на лекции мы несколько отвлечемся от серьезных тем и поговорим о такой штуке как блокчейн. Как он работает, почему он был (остается?) таким популярным решением (чего?), для какиех целей он подходит и для каких он ну вообще не подходит – а последних явно больше – в этом нам предстоит разобраться.
Завтра, в субботу 14.12 на открытой лекции по крипте в Белке в 12:20. Приходить могут все желающие, но если вы не из КПИ, возьмите с собой документы на всякий случай, если вдруг охранник внизу решит никого не впускать. Жду вас
😊
Завтра на лекции мы несколько отвлечемся от серьезных тем и поговорим о такой штуке как блокчейн. Как он работает, почему он был (остается?) таким популярным решением (чего?), для какиех целей он подходит и для каких он ну вообще не подходит – а последних явно больше – в этом нам предстоит разобраться.
Завтра, в субботу 14.12 на открытой лекции по крипте в Белке в 12:20. Приходить могут все желающие, но если вы не из КПИ, возьмите с собой документы на всякий случай, если вдруг охранник внизу решит никого не впускать. Жду вас
😊
Завтра будет презентация проектов по геймдеву, которая может затянутся и я буду ещё принимать экзамен у заочников, поэтому лекцию завтра придется отменить 😢
В этом году лекций уже не будет. Завтра белка занята зачётом по геймдеву надолго.
Получается, лекция по sqli и remote code execution будет только на ютубе. Обязательно выложу сюда, как только всё будет готово. Ну или проведу её после праздников, почему бы и нет😊 Напишите плз в чатике @sadschat, как считаете, будет лучше.
Получается, лекция по sqli и remote code execution будет только на ютубе. Обязательно выложу сюда, как только всё будет готово. Ну или проведу её после праздников, почему бы и нет😊 Напишите плз в чатике @sadschat, как считаете, будет лучше.