Coraz więcej komunikacji w świecie WWW/mobile odbywa się teoretycznie w sposób bezpieczny. Synonimem bezpieczeństwa w sieci stała się zielona kłódka połączenia HTTPS. Podczas prezentacji zostaną omówione:
- ogólna zasada działania połączeń SSL/TLS
- zestawy szyfrów wykorzystywane podczas połączeń
- głośne podatności (BEAST, CRIME, Heartbleed, POODLE, FREAK) związane z szyfrowaną komunikacją
- narzędzia do testowania konfiguracji i bezpieczeństwa połączeń SSL/TLS
- SSL/TLs a świat smartfonów
w sposób przystępny dla specjalistów do spraw jakości oprogramowania.
W trakcie prezentacji uczestnikom zostanną pokazane narzędzia, które pozwolą na samodzielne zweryfikowanie, czy testowana aplikacja bądź odwiedzana w sieci strona WWW zapewnia właściwy poziom bezpieczeństwa, jeśli chodzi o kwestie komunikacji.
2. • Starszy specjalista ds. bezpieczeństwa IT, SecuRing
• Ocena bezpieczeństwa aplikacji webowych i mobilnych
• Trener
• (Były) programista
• OWASP Polska
O mnie
3. • Komunikacja z wykorzystaniem SSL/TLS
• Trochę teorii
• Co uznajemy za błąd?
• Głośne podatności
• Testowanie
• Narzędzia
• DEMO
• Q&A
Agenda
19. • Klucz publiczny serwera wystawiony przez niezaufane CA
• Wykorzystanie kryptograficznie słabych algorytmów
• RC4
• SHA1
• Wsparcie dla komunikacji z wykorzystaniem
• SSL2
• SSL3
• Błędy konfiguracyjne innego rodzaju ;)
• Wykorzystanie oprogramowania posiadającego znane błędy
błędy bezpieczeństwa
Co uznajemy za błąd?