Ostatnia kradzież bardzo istotnych danych klientów firmy Sony pokazuje, że kwestia tworzenia bezpiecznych aplikacji udostępnianych w Sieci jest nadal bardzo istotna. Pokazuje też, że za bezpieczeństwo odpowiada wiele różnych czynników, również takich, które wydają się nieistotne. Na seminarium będziemy chcieli poruszyć szerokie spektrum zagadnień, które mogą mieć wpływ na bezpieczeństwo tworzonego rozwiązania.
kurs WWW, pewne "obycie" w technologiach internetowych
Poniższa lista zagadnień nie jest ostateczna. Uczestnicy sami będą mieli duży wpływ na zakres tematyczny seminarium.
# Podstawy kryptografii, w tym także PKI, WOT, PGP, SSL, SSH, IPSec, Kerberos
# Metody uwierzytelniania i autoryzacji lokalnej, przegląd rozwiązań w wiodących technologiach
# Zabezpieczenie usług sieciowych, rodzina protokołów WS-*
# Metody i protokoły delegacji procesu uwierzytelniania do zewnętrznych serwisów, jak np. Google, Facebook, live.com, rozwiązania problemu autoryzacji w tym modelu
# Tworzenie środowisk uwierzytelniania i autoryzacji w oparciu o WS-Trust i WS-Federation.
# Mechanizmy potwierdzania tożsamości klienta, technologie i stan prawny
# Bezpieczeństwo dostępu do danych
# Przegląd typowych ataków na aplikacja internetowe, metody obrony
# Kwestia bezpieczeństwa w aplikacjach opartych o AJAX
# Kwestia bezpieczeństwa w aplikacjach typu RIA (np. Flash, Silverlight)
# Przegląd narzędzi analizujących bezpieczeństwo aplikacji internetowych
# Dobre praktyki w zakresie tworzenia bezpiecznych aplikacji
# Zabezpieczenia serwerów aplikacji, tworzenie bezpiecznych środowisk do wrażania rozwiązań
# Tworzenie bezpiecznych środowisk hostingowych (zarówno dla firmy, jak i dla klientów)
# Przegląd spektakularnych włamań ostatnich lat (nie tylko Sony poległo)
Źródłem będą przede wszystkim zasoby w Internecie. W razie potrzeby będę także pomagał w zdobyciu bardziej specjalistycznych materiałów.