Привет! Немного запоздало в эфире появляется @MaratVy (англ. твиттер про инфосек) или @touzoku (русск. твиттер про Японию)

Я работаю security инженером в японской интернет-компании Ракутен. В России она больше известна брендом Viber (недавний acquisition).

На этой неделе мы поговорим про: безопасность фронтенда и клиентской части, фреймворки, работу в японских компаниях и японских школьниц :-)

Разумеется, смело задавайте вопросы. Как говорится, よろしくお願いします! orz

Я как знал, что выбрал правильный коллективный твиттер! “@sushkazzlo: @jsunderhood давай сразу про японских школьниц!”

Учебник "Я открыла глаза на функциональное программирование!". И снизу подпись: "Ну и отстойный код ты пишешь". pic.twitter.com/WmaVKNMS5t

Ладно, к профессиональным темам: с чего начать фронтэнд-инженеру изучать безопасность? Ответ: с фундаментальных основ — Same-origin policy!

Вся браузерная безопасность строится вокруг концепта SOP и безопасных способов этот концепт нарушать.

Второй столп браузерной безопасности: DOM. Правильно организованное разделение кода от контента исключает вероятность XSS уязвимостей.

Мягко говоря, японцы сложные, но жить можно. “@Kreozot: Ну вот вопрос про отношения как раз. Хотелось бы подробнее про этот аспект.”

Есть такое “@DevArtem: Я вот слышал, что если не отработал на компанию N лет, то не видать тебе плюшек и уважания сотрудников и начальства.”

Ну и стандартный опрос для затравки разговора, ггг... Какой фреймворк по-вашему безопаснее?

Каждый день я буду советовать одну must-read книжку по безопасной разработке. #1 в моем списке: The Tangled Web. amazon.com/Tangled-Web-Se…

По этой книжке задают вопросы на собеседованиях в Гугл на позицию Information Security Engineer. Ее нужно обязательно прочитать всем.

Ну и в нагрузку к книжке, каждый день по рекомендованной научной статье с последних конференций. Сегодня: usenix.org/conference/use…

Не будет вам спуску :-) “@alex_ivantsov: я думал на этой недели будет тишина, чтобы отойти от прошлой...”

Ладно, все хотят японок. Вот вам видео из соседней геймдев компании "Кибер Агент". youtube.com/watch?v=nCNI3J…

Кибер Агент имеет славу компании молодых хипстероватых сотрудников. Даром что прям в центре тусовочного района Сибуя расположены.

Видео танцующих сотрудниц Кибер Агента напомнило вот это видео youtube.com/watch?v=5rcIsH… Ладно, что-то я отвлекся…

Универсального чеклиста нет “@SilentImp: Есть какой то чек-лист, который позволяет обнаружить наиболее широко распространенные проблемы?”

Многие рекомендую OWASP, но я его не люблю. Он слишком generic, быстро устаревает и не следует современным концептам.

Я обычно собираю чеклист под проект в зависимости от стека. По крупицам из всяких docs.angularjs.org/guide/security “@SilentImp: А твой личный?”

@jsunderhood на самом деле опрос показывает не то что хотел автор. Я вот кликнул реакт только потому что его фанат и хейтер ангуляра

Я уже понял, что опрос не про безопасность получился, а про любовь. И что Реакт это не фреймворк :-)

Пока все спят, расскажу про то, как попал в Японию. Step 1: Закончил ЮУрГУ по специальности "Теория управления": всякая лапласова математика

Step 2: Заинтересовался security еще в школе, начал тусить с единомышленниками, играть в CTF (команда More Smoked Leet Chicken).

Step 3: Начал учить японский for fun (to exercise my brain). Подал на японскую правительственную стипендию MEXT: ru.emb-japan.go.jp/EDUCATION/PROB…

Что удивительно, прошел. По ней можно выбрать любой вуз, ну я и выбрал Токийский университет. Закончил магистратуру, решил в Ракутен пойти.

@jsunderhood давно закончил юургу?

В 2009 году, в Тодай поступил в 2011 (стипендию рассматривают год).

Где-то с 3 курса ЮУрГУ до 2 года в Тодае я работал в Информзащите пентестером. 5 лет хакал банки всякие и телекомы. В основном сети и веб.

Мой диплом, если кому интересно. Сумбурно написан немного, но идея мне до сих пор нравится repository.dl.itc.u-tokyo.ac.jp/dspace/handle/…

Если вкратце: то я предлагал включать SSL CA в браузеры на основе их репутации, которая считается из их продаж зафиксированных в блокчейне.

@jsunderhood "в блокчейне" это тот, который у Bitcoin?

. @way2bariton да, но сейчас я склоняюсь к менее распределенным вариациям блокчейнов (с разрешенными майнерами).

@jsunderhood расскажи как тебе в Японии, 3 главных впечталения

. @raxpost Первые 3 впечатления от Японии: чисто, безопасно, непонятно.

@raxpost @jsunderhood странно, что еще не создан ресурс с рассказами о релокации наших разработчиков.

. @abrosimov создан, почему :-) @abroadunderhood

Голосовалка про безопасность React vs Angular 2 почти закончилась. Но все проголосовали "какой фреймворк мне больше нравится".

Забавно что все так любят React. На самом деле Angular 2 намного безопаснее. В нем можно использовать только статические темплейты.

Статические темплейты исключают возможность XSS целиком.

Была интересная вики на тему безопасности фреймворков, но что-то ее обновлять перестали code.google.com/p/mustache-sec…

@jsunderhood как ты относишься к TypeScript? Будущее за статической типизацией?

. @greybax TypeScript это "полустатическая" типизация а ля питон или руби. Непонятно зачем она нужна: при компилировании баг не выловишь

А валиться с эксэпшенами в рантайме это садизм по-моему.

Окей, твиттер. Квиз тайм. Назовите в реплай 4 HTTP security хэдэра, которые нужно включить на каждом современном сайте. Можно сокращенно.

Можно не четыре называть, а сколько получится. Подсказка: у многих есть слово Security в названии.

pic.twitter.com/tYrOvvJ5jt

И в догонку к квизу всеми любимый опрос! Что безопасней использовать для коммуникации между разными origins?

Интересно, никогда не было шанса сразу на такой куче народа проверить свои гипотезы относительно понимания веб-безопасности.

Вторая книжка из моего списка по безопасности веб-приложений: amazon.com/gp/aw/d/111802…

Еще вот мой коллега бывший классный секурити контест сделал сто лет назад, и до сих пор актуально. Там много веба: ahack.ru/contest/

Сегодняшняя научная статья про тайминг атаки на браузеры. Можете использовать, чтобы свой adtech подкрутить :-) securitee.org/files/timing-a…

Про HTTP заголовки для secuirty: несколько людей знают больше 4-х заголовков, еще несколько смогли назвать три.

Советую прогнать свой сайт через securityheaders.io и поглядеть каких не хватает.

Самый важные заголовоки для фронтэндов — это Content Security Policy, X-Frame-Options, X-Content-Type-Options, и X-XSS-Protection.

Как их правильно выставить лучше всего посмотреть на выдаче yandex.ru. В Яндексе ребята шарят в безопасности.

Средние зарплаты в Токио не очень высокие. Около $80K в год (до налогов) — это зарплата, после которой говорят "жизнь удалась".

32% предпочитают JSONP над CORS. Советик: не пользуйтесь JSONP ваще никогда, это тупо хак. CORS был придуман, чтобы решить эту проблему.

Единственный плюс JSONP — он работает в старых IE. Если у вас современный сайт, не пользуйтесь JSONP.

Делаю полезные заметки по следам @jsunderhood pic.twitter.com/EqIEW9BFgD

Важная заметка про хэдэр X-XSS-Protection. У него есть 3 значения: 0, 1, и 1; mode=block. Правильней всего использовать последнее.

Если же где-то сломалось что, то лучше вырубить его нафиг (выставить ноль). Единица — самый рискованный вариант.

Рекомендованная статья сегодня cure53.de/es6-for-penetr… Вообще Mario @0x6D6172696F Heiderich — это один из моих кумиров в плане вебсека.

Развивая тему крутых веб-безопасников. Топ ресерчеры: @hasegawayosuke @kinugawamasato. Классный еще slideshare.net/muneakinishimu…

Удивительно, из четырех самых крутых XSS-еров, три японца и один немец. В остальных секурити темах японцы явно проседают.

А где сегодня все @jsunderhood , @backendsecret ?

pic.twitter.com/EVwjv289YV

Я хочу начать писать про TLS, и как его разворачивать на фронтэнде, но пятница, десять вечера. Коллеги из Испании и Германии приехали...

так что задавайте вопросы, буду отвечать :-)

Напишу про TLS. При разворачивании веб-морды важно спроектировать фронт так, чтобы он работал ТОЛЬКО через TLS.

Например, часто можно увидеть совет включать js вот так: <script src="//cdn.something.com/blah.js">. Забудьте этот рецепт.

Свой сайт выкатывать только через https, включая все ссылки. Mixed content — это самая частая ошибка фронтов и головная боль инфосеков

Какие алгоритмы и версии TLS правильно поддерживать на сервере? Отвечает Александр Друзь^W^W @ivladdalvi m.habrahabr.ru/company/yandex…

Так что проверяйте свой сайт на ssllabs.com и если там меньше "A" стоит, то шлите статью на Хабре своим админам.

Еще есть огромная секция изврата — это выбор алгоритма подписи сертификата. Есть 3 опции: RSA+SHA1, RSA+SHA2, ECDSA+SHA2.

В идеале надо поддерживать все три. Зайдите на ctftime.org через Chrome, увидите ECDSA сертификат. А если через IE, то RSA.

Проблема в том, что современные веб-серверы не умеют отдавать правильные сертификаты в сложных случаях.

Например Google Chrome на Windows XP SP1 говорит в Client Hello, что он умеет SHA2. #насамомделенет pic.twitter.com/aTCdoHr2tx

Или, например, что лучше поддерживать AES_CBC без патча против BEAST или RC4? В cloudflare выбирают второй вариант — RC4 сложнее сломать.

Поддержка TLS для legacy-клиентов это просто nightmare. Поэтому лучше довериться специалистам и юзать грамотных CDN-щиков.

По моему скромному мнению, грамотные и дешевые CDN so far — cloudflare и fastly. Расскажите в реплаях, какими CDN вы пользуетесь?

@jsunderhood fastly до сих пор не умеет ipv6, shame

@jsunderhood многие IP Cloudflare, к сожалению, в списках Роскомнадзора

@jsunderhood с windows xp sp1 в пору просто рвать соединение

@jsunderhood или забить на легаси вообще.

@jsunderhood Не ахти какой. Даже http/2.0 не торопятся поддерживать. Но хостимся на амазоне и юзаем амазонский же цдн.

Чего-то я забыл книжек советовать каждый день, поэтому сразу несколько за раз. Отличная книжка: amazon.com/Bug-Hunters-Di…

Вот эту книжку я еще сам не читал, но она свеженькая. Прочитаю на досуге. amazon.com/gp/aw/d/146659…

А вот эту книжку я читал, но начинающим не советую. Если вы не менеджер security веб-команды, то можно не читать. amazon.co.jp/Threat-Modelin…

Из статей, что недавно читал, интересно про запаркованные домены (полезно для валидации мыл юзеров) internetsociety.org/doc/parking-se…

Вот еще статья с NDSS 2015 про тайпсквоттинг. Рекомендую читать и регать созвучные домены со своим :-) internetsociety.org/doc/seven-mont…

Вообще следите за публикациями NDSS, ACM CCS, Usenix Security, IEEE Security & Privacy. Хотя бы статьи про веб, полезно быть в курсе.

Читайте меньше Stack Overflow, больше официальной документации, исходных кодов и открытых issue на гитхабе.

Например, первый же ответ по запросу "how to generate random password javascript" выдает неверный результат. Пароль будет предсказуемый.

Из издательств, хорошие книги по веб безопасности у No Starch Press, Syngress и Wiley. У O'Reilly почти нет ничего по секьюрити толкового.

@jsunderhood ой-вей, да куча CISO шарахаются от вопроса: а вы составили модели угроз? Куда там разрабам

Личная просьба от @kyprizel: "не забудь пожалуйста сказать, что эскейпинг в шаблонизаторе должен быть по умолчанию включен!!! ))))"

Так что включайте (не выключайте) эскейпинг в шаблонизаторах, избегайте document.write и innerHTML в javascript, и не будет вам XSS.

Выдавайте все по HTTPS, включите CSP, не добавляйте динамический javascript от всяких левых баннерообменников.

Выполнив только эти простые шаги, вы обезопасите свой сайт лучше, чем 80% "сайтоделов".

Важно делать это даже для лэндингов. Самый простой, но небезопасный сайт может открыть целые ворота для фишинга и раздачи малвари.

С переменным успехом на этой неделе с вами был @touzoku (aka @MaratVy), безопасник из Ракутена, Токио. Мы разговаривали про веб-секьюрити

Спасибо всем большое за комментарии, конструктивную критику и участие в опросах. Если остались вопросы, задавайте, пока акк не отжали :-)

Я, наверно, не раскрыл тему японских школьниц, но тут нельзя сексистских твитов, так что сорри, пишите в мой личный твиттер.

@jsunderhood но если очень надо, берите js от левых баннерообменников, но засовывайте его в атрибут srcdoc в iframe с аттрибутом sandbox!