Обеспечение безопасности веб-приложения презентация

Август 5, 2022

Главная
Информатика
Обеспечение безопасности веб-приложения

Содержание

3. Знания Актуальность Аутентификация и авторизация Сессии Ручная аутентификация Аутентификация с помощью gem devise Каждый сверчок —
4. Что такое обеспечение безопасности?
5. Что такое обеспечение безопасности? Процесс устранения последствий различных «опасностей» и профилактика их причин
6. Почему обеспечение безопасности актуально?
7. Аутентификация Есть в системе? Да Нет Посетитель
8. Виды аутентификации Логин/пароль Токен (для REST) OAuth 2.0 (соц. сети)
9. Авторизация
10. Авторизация Имею ли право? Да Нет Пользователь
11. Сессия Обеспечение постоянства (обычно ActionDispatch::Session::CookieStore) Обычный хеш: session[:user_id] = user.id session[:user_id] = nil Храниться (Rails.application.config.session_store): В
12. Ручная аутентификация Используется фильтр в контроллере: before_action :authorize Проверяется соответствие логина и пароля данным из БД
13. Сколько нужно времени, чтобы изучить язык программирования?
14. Аутентификация с devise Различные виды аутентификации Используется ряд модулей — для запоминания входа, подтверждения аккаунта и
15. Pundit: каждый сверчок — знай свой шесток
16. Авторизация с pundit Контроль ролей — в контроллерах и представлениях Ролевую модель мы создаём сами Используются
17. Соглашения в политиках Название класса — это название модели + постфикс Policy. Первый аргумент контроллера —
18. Пример политики class PostPolicy attr_reader :user, :post def initialize(user, post) @user = user @post = post
19. Некоторые наиболее распространённые уязвимости Подделка межсайтовых запросов (CSRF) — ссылка на страницу веб-приложения, где пользователь аутентифицирован
21. Умения Реализовать ручную аутентификацию пользователя Реализовать аутентификацию с помощью gem devise Разделить пользователей по ролям с
22. Реализовать аутентификацию с помощью gem devise $ rails g devise:install $ rails g devise User $
23. Реализовать авторизацию с помощью gem pundit $ rails g pundit:install authorize Competence, :create?
24. Обеспечить прохождение функциональных тестов # test_helper.rb # role — название фабрики пользователя с соответствующей ролью #
25. Обеспечить прохождение приёмочных тестов # test_helper.rb # role — название фабрики пользователя с соответствующей ролью #
27. Неопределённости Разница между аутентификацией и авторизацией? Есть ли альтернативы devise? Есть ли альтернативы pundit? Да, cancancan.
28. Альтернативы devise github.com/NoamB/sorcery — от EvilMartians authlogic railscasts.com/episodes/270-authentication-in-rails-3-1
29. Результат
30. Результат Изучена ручная аутентификация Изучена аутентификация с помощью devise Изучена авторизация с помощью pundit Прокачали различные
31. Самостоятельно Использование bcrypt для шифрования Граватары Strong parameters sanitizing …
32. Граватар Глобально распознаваемый аватар Можно использовать на разных сайтах (брендинг) Предоставляется изображение по умолчанию Можно зарегистрироваться
33. Алгоритм получения Перевести email в нижний регистр Получить id с помощью Digest::MD5::hexdigest Использовать id для получения
35. Скачать презентацию

Знания
Актуальность
Аутентификация и авторизация
Сессии
Ручная аутентификация
Аутентификация с помощью gem devise
Каждый сверчок — знай свой шесток

(gem pundit)
Некоторые наиболее распространённые уязвимости

Что такое обеспечение безопасности?

Что такое обеспечение безопасности?
Процесс устранения последствий различных «опасностей» и профилактика их причин

Почему обеспечение безопасности актуально?

Аутентификация
Есть в системе?
Да
Нет
Посетитель

Виды аутентификации
Логин/пароль
Токен (для REST)
OAuth 2.0 (соц. сети)

Авторизация

Авторизация
Имею ли право?
Да
Нет
Пользователь

Сессия
Обеспечение постоянства (обычно ActionDispatch::Session::CookieStore)
Обычный хеш:
session[:user_id] = user.id
session[:user_id] = nil
Храниться (Rails.application.config.session_store):
В файлах на сервере
На

клиенте
В БД
Протокол DRB
Memcached / Redis

Ручная аутентификация
Используется фильтр в контроллере:
before_action :authorize
Проверяется соответствие логина и пароля данным из БД
Пароль

шифрован и проверяется с помощью метода authenticate из gem Bcrypt (заменить password на password_digest)
Вход/выход — через собственный контроллер SessionController
В случае успеха запоминаем результат в сессии
Создаём для удобства ряд вспомогательных методов (current_user, sign_in, sign_out)

Слайд 13

Сколько нужно времени, чтобы изучить язык программирования?

Слайд 14

Аутентификация с devise
Различные виды аутентификации
Используется ряд модулей — для запоминания входа, подтверждения аккаунта

и т. д.
Дополняется модель User (убрать password_digest)
Добавляются ряд хелперов:
user_signed_in?
current_user
authenticate_user!
…
Ряд готовых к использованию представлений

Слайд 15

Pundit: каждый сверчок — знай свой шесток

Слайд 16

Авторизация с pundit
Контроль ролей — в контроллерах и представлениях
Ролевую модель мы создаём сами
Используются

политики (обычный Ruby-класс)

Слайд 17

Соглашения в политиках
Название класса — это название модели + постфикс Policy.
Первый аргумент контроллера

— пользователь (обычно текущий), второй — объект, который мы хотим проверить.
Обычно есть несколько методов-запросов (т. е. с ? в конце), названия которых соответствуют названиям действий в контроллере.
Объект модели называется record.

Слайд 18

Пример политики
class PostPolicy
attr_reader :user, :post
def initialize(user, post)
@user = user
@post

= post
end
def update?
user.admin? or not post.published?
end
end

Слайд 19

Некоторые наиболее распространённые уязвимости
Подделка межсайтовых запросов (CSRF) — ссылка на страницу веб-приложения, где

пользователь аутентифицирован
SQL-инъекции — внедрение SQL-запроса в параметры запроса
Межсайтовый скриптинг (XSS) — внедрение вредоносного кода на стороне клиента

Слайд 20

Слайд 21

Умения
Реализовать ручную аутентификацию пользователя
Реализовать аутентификацию с помощью gem devise
Разделить пользователей по ролям с

помощью pundit
Обеспечить прохождение тестов после внедрения аутентификации

Слайд 22

Реализовать аутентификацию с помощью gem devise
$ rails g devise:install
$ rails g devise User
$

rails g devise:views:bootstrap_templates (gem 'devise-bootstrap-views')
def after_sign_(in|out)_path_for(resource)
before_action :authenticate_user!

Слайд 23

Реализовать авторизацию с помощью gem pundit
$ rails g pundit:install
authorize Competence, :create?
<% if policy(Competence).create?

Слайд 24

Обеспечить прохождение функциональных тестов
# test_helper.rb
# role — название фабрики пользователя с соответствующей ролью
#

пользователь с такими email/password уже должен быть создан
# например, sign_in(:cosmonaut)
def sign_in(role) post user_session_path, params: { user: attributes_for(role) } end
# пример фабрики
factory :user do password { '123456' } factory :cosmonaut do role { User.roles[:cosmonaut] } email { "cosmonaut@mail.bro" } end end

Слайд 25

Обеспечить прохождение приёмочных тестов
# test_helper.rb
# role — название фабрики пользователя с соответствующей ролью
#

например, sign_in(:cosmonaut)
def sign_in(role) user = create(role) visit new_session_url fill_in 'Email', with: user.email fill_in 'Password', with: user.password click_on 'Sign in' end

Слайд 26

Слайд 27

Неопределённости
Разница между аутентификацией и авторизацией?
Есть ли альтернативы devise?
Есть ли альтернативы pundit? Да, cancancan.
Маршруты

пользователя нужно прописать после devise_for

Слайд 28

Альтернативы devise
github.com/NoamB/sorcery — от EvilMartians
authlogic
railscasts.com/episodes/270-authentication-in-rails-3-1

Слайд 29

Результат

Слайд 30

Результат
Изучена ручная аутентификация
Изучена аутентификация с помощью devise
Изучена авторизация с помощью pundit
Прокачали различные аспекты

обеспечения безопасности веб-приложения на Rails

Слайд 31

Самостоятельно
Использование bcrypt для шифрования
Граватары
Strong parameters
sanitizing
…

Слайд 32

Граватар
Глобально распознаваемый аватар
Можно использовать на разных сайтах (брендинг)
Предоставляется изображение по умолчанию
Можно зарегистрироваться и

сохранить необходимый (info@profport.org)

Слайд 33

Алгоритм получения
Перевести email в нижний регистр
Получить id с помощью Digest::MD5::hexdigest
Использовать id для получения

ссылки на граватар:
"https://secure.gravatar.com/avatar/#{id}"
Использовать в image_tag (или где надо)

Обеспечение безопасности веб-приложения презентация

Содержание

ЗнанияАктуальностьАутентификация и авторизацияСессииРучная аутентификацияАутентификация с помощью gem deviseКаждый сверчок — знай свой шесток

Что такое обеспечение безопасности?

Что такое обеспечение безопасности?Процесс устранения последствий различных «опасностей» и профилактика их причин

Почему обеспечение безопасности актуально?

АутентификацияЕсть в системе?ДаНетПосетитель

Виды аутентификацииЛогин/парольТокен (для REST)OAuth 2.0 (соц. сети)

Авторизация

АвторизацияИмею ли право?ДаНетПользователь

СессияОбеспечение постоянства (обычно ActionDispatch::Session::CookieStore)Обычный хеш:session[:user_id] = user.idsession[:user_id] = nilХраниться (Rails.application.config.session_store):В файлах на сервереНа

Ручная аутентификацияИспользуется фильтр в контроллере:before_action :authorizeПроверяется соответствие логина и пароля данным из БДПароль

Сколько нужно времени, чтобы изучить язык программирования?

Аутентификация с deviseРазличные виды аутентификацииИспользуется ряд модулей — для запоминания входа, подтверждения аккаунта

Pundit: каждый сверчок — знай свой шесток

Авторизация с punditКонтроль ролей — в контроллерах и представленияхРолевую модель мы создаём самиИспользуются

Соглашения в политикахНазвание класса — это название модели + постфикс Policy.Первый аргумент контроллера

Пример политикиclass PostPolicy attr_reader :user, :post def initialize(user, post) @user = user @post

Некоторые наиболее распространённые уязвимостиПодделка межсайтовых запросов (CSRF) — ссылка на страницу веб-приложения, где

УменияРеализовать ручную аутентификацию пользователяРеализовать аутентификацию с помощью gem deviseРазделить пользователей по ролям с

Реализовать аутентификацию с помощью gem devise$ rails g devise:install$ rails g devise User$

Реализовать авторизацию с помощью gem pundit$ rails g pundit:installauthorize Competence, :create?<% if policy(Competence).create?

Обеспечить прохождение функциональных тестов# test_helper.rb# role — название фабрики пользователя с соответствующей ролью#

Обеспечить прохождение приёмочных тестов# test_helper.rb# role — название фабрики пользователя с соответствующей ролью#

НеопределённостиРазница между аутентификацией и авторизацией?Есть ли альтернативы devise?Есть ли альтернативы pundit? Да, cancancan.Маршруты

Альтернативы devisegithub.com/NoamB/sorcery — от EvilMartiansauthlogicrailscasts.com/episodes/270-authentication-in-rails-3-1