LINUX.ORG.RU

Семинар по аутентификации и авторизации в корпоративных системах (мск)

 , ,


1

3

IT-компания CUSTIS приглашает студентов и молодых специалистов на бесплатный семинар «„Стой! Кто идет?“: аутентификация и авторизация в корпоративных системах», который состоится в этот четверг, 22 октября, в офисе компании (в Москве).

Владислав Иофе, архитектор, расскажет все, что важно знать разработчикам, тестировщикам и пользователям о контроле доступа в корпоративных приложениях.

На семинаре мы:

  • рассмотрим разные методы аутентификации и авторизации, попробуем обойти их;
  • познакомимся с промышленными стандартами и современными трендами в этой сфере;
  • дадим ответы на вопросы о системах контроля доступа с позиций с позиций проектировщика, пользователя, разработчика, тестировщика и инженера сопровождения;
  • уделим особое внимание архитектуре и юзабилити.

Все вопросы организаторам вы можете задать в группе CUSTIS Young.

>>> Подробности и регистрация

★★★★★

Проверено: fallout4all ()
Последнее исправление: fallout4all (всего исправлений: 5)
Ответ на: комментарий от FRWHate

Да, потом в группу вк выложат

w1nner ★★★★★
() автор топика

познакомимся с промышленными стандартами и современными трендами в этой сфере

Я надеюсь будут рассказывать о том, как выкинуть к чертям серверы токенов RCA с энергопотреблением утюга и таким же удобством, и как вместо них внедрить RFC6238?

anonymous
()

че там рекламить будут ггул яндекс или вконтакте

«используйте наш суперонлайн аутентификатор по http открытым текстом-бизопасность стосорокдва процента»

ага как обычно

anonymous
()
Ответ на: комментарий от anonymous

У гугл аутентификатора всё в этом плане хорошо, opensource и чистый TOTP. А вот Яндекс огорчает, хотя наверное внутри там тот же TOTP.

selivan ★★★
()
Ответ на: комментарий от anonymous

В чем бесплатность сыра?

В мышеловке.

anonymous
()
Ответ на: комментарий от anonymous

«используйте наш суперонлайн аутентификатор по http открытым текстом-бизопасность стосорокдва процента»

стосорокшесть же!

MumiyTroll ★★★
()
Ответ на: комментарий от anonymous

по http открытым текстом без шифрования

а знаешь почему-офф ответ яндекса-шифрование запрещено законами РФ

да в яндексте сидят школьники и фрилансеры рандомные поэтому все так хреново,платить специалистам никто не собирается,когда можно просто за еду держать рабов

anonymous
()
Ответ на: комментарий от anonymous

У Яндекса внутри свои безумные разработки. На Хабре писали.

Нашёл: http://habrahabr.ru/company/yandex/blog/249547 :( Блин, ну оставили бы нормальный TOTP как вариант для тех, кому не нравится ставить отдельное приложение, да ещё и огребать кучу геморроя при потере телефона. TOTP-генератор можно использовать параллельно хоть на сотне девайсов.

selivan ★★★
()
Последнее исправление: selivan (всего исправлений: 3)

Сходил на семинар. Длился он около 3х часов. Скажу честно: первые 1.5 было интересно, потом после перерыва, выпив кофе, почувствовал себя уставшим, видать давление поднялось. Ну ладно, не об этом.
Рядом со мной сидел лоровец, ник его не запомнил, но он после перерыва ушел, видать неинтересно стало. Рассказывали про: cross-cutting concerns, само понятие аутентификации, авторизации, валидации, индентификации. Сначала рассматривали протокол HTTP 1.1, выступающий - Владислав Иофе - рассказывал про хранение паролей, как plaintext соединяют с солью, формируя хеш. Далее, рассматривался сам процесс индентификации, авторизации и пр. Был отрывок из фильма
«Опочтарение», смыслом которого было показать MITM (в комедийном стиле), во время просмотра свалился столик с настольным футболом =))
Потом участники семинара разделились на группы, и попробовали передать информацию(число) от Alice к Bob через Мэлори. Всего было 8 групп примерно по 4-6 человек, справились только 3 группы - они передали число, закодировали его через спец. ф-цию, а посредник(Мэлори) должен был раскодировать, и передать уже свое число.
Потом говорили про виды авторизации: двухфакторную, взаимную, говорили про Kerberos, Central Authentification Service(CAS), single sign-out, токены, протоколы SAML, OAuth, OpenID Connect, немного рассказывал про биометрию, Role Based Access Control(RBAC) и еще много чего другого, что я не запомнил.
В общем, я не жалею.
Кстати, в перерыве угощали печеньками, кофе, соком, и разными булочками. В конце самым активным подарили книги с амазона по тематике выступления, одна девушка с короткой стрижкой, может быть была из Яндекса, хотя не уверен что красная буква «Я» на ее футболке значит что она оттуда.

w1nner ★★★★★
() автор топика
Ответ на: комментарий от w1nner

- рассказывал про хранение паролей, как plaintext соединяют с солью, формируя хеш.

Это вероятно речь о статической соли. При статической соли, так чрезвычайно сложно сгенерить радугу ... А уж провести атаку по известным паролям тем более.

Другими словами, такая соль не спасает, если речь шла только о такой схеме. Пароль надежнее хранить в виде виртуального криптоконтейнера.

Какая разница - plaintext или нет.

anonymous
()

Друзья! Мы открываем регистрацию на заключительную встречу выпускного цикла — мастер-класс Дениса Гаврилова, Игоря Шаталкина и Дениса Чекушина «Долой рутину из разработки! Автоматизация при создании ПО», который состоится в следующий четверг, 29 октября, в нашем конференц-зале.

Регистрируйтесь и приходите с друзьями, встреча будет насыщенной, познавательной и яркой! Кроме того, семинар станет финальным мероприятием в старом формате, а значит, это отличный шанс пообщаться с нашими ведущими и командой организаторов.

Все вопросы нам можно задать в специально созданной теме: http://vk.com/topic-52018779_33062360.

w1nner ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.