tech.3camp #57

• 18:00 - 18:30 - Grzegorz Witczak - "Zielona kłódeczka", czyli jak działa HTTPS i kiedy... wcale

HTTPS to protokół, z którego korzystamy codziennie i który zapewnia, że nikt inny nie może odczytać naszej aktywności w internecie. Ale są sytuacje, gdzie "zielona kłódeczka" daje nam tylko złudne poczucie bezpieczeństwa. W trakcie prezentacji wyjaśnię, jak działa HTTPS od podstaw i dlaczego bywa niebezpieczny. Omówimy również exploit FREAK i dlaczego w cyfrowym świecie potrzebujemy... notariusza.

• 18:30 - 19:00 - Łukasz Przybylski, Intel - Ta prezentacja korzysta z plików cookies w celu... - jak zjeść ciastko i mieć ciastko

Praktycznie każda strona www, którą odwiedzamy atakuje nas banerem o potrzebie akceptacji plików cookies. Czy po kilku latach od wprowadzenia obowiązku informowania użytkowników o fakcie wykorzystywania ciasteczek przez dostawców treści, jesteśmy świadomi jakie mechanizmy kryją się za tymi powiadomieniami? W czasie tej interaktywnej prezentacji słuchacze dostaną możliwość zweryfikowania swoich opinii na temat tego czy ciasteczka stanowią główne zagrożenie naszej prywatności w Internecie oraz czego tak naprawdę należy się obawiać.

• 19:00 - 19:10 przerwa
• 19:10 - 19:40 - Dariusz Kozon - OWASP Dependency Check - wprowadzenie do praktycznego użycia w projekcie Java

OWASP Dependency Check jest biblioteką wspomagającą weryfikację zależności w projektach pod kątem znanych i opisanych luk bezpieczeństwa (obecnie rozwijana dla języków Java i .Net). W tej prezentacji omówię jak zacząć używanie z OWASP DC dla projektów Java oraz jak czytać i interpretować wynik skanu na przykładzie prostej aplikacji w springu oraz jak używać tę bibliotekę w codziennej pracy.

• 19:40 - 20:10 Marcin Hoppe - Breaking real-world OAuth 2.0 implementations with state machines

The OAuth 2.0 protocol is used everywhere, from startups to large corporations and cloud service providers. It allows users to log in to services such as Google and Facebook (through its cousin OpenID Connect) and enables users to delegate access to third party applications. Security of OAuth 2.0 is a topic of active research, with rigorous analyses, peer-reviewed papers and constantly evolving RFCs covering its threat model and best practices. It would seem that this wealth of information makes building a robust OAuth 2.0 system a hard, yet achievable, goal. Real-life deployments need to deal with other aspects, such as two-factor authentication (2FA), single sign-on (SSO) and user credentials management (including the dreaded password reset). Those are rarely covered by existing threat models. How do we then approach finding implementation flaws in such complex implementations? Join Marcin as he shows you how combining state machines with threat modeling techniques can help discover serious security flaws in OAuth 2.0 systems.