ecom.tech x Keycloak Community Meetup

Когда: 13 марта (четверг), 18:00 – 20:00 МСК/СПБ

Формат: онлайн-трансляция

Приходите на ecom.tech x Keycloak Community Meetup! На митапе мы обсудим актуальные вопросы безопасности аутентификации и авторизации в веб-приложениях и микросервисах.

Темы митапа

Начнём с разбора refresh-токенов: нужны ли они, какие альтернативные подходы существуют и как выбрать безопасное решение. Затем поговорим об эволюции от OAuth 2.0 к OAuth 2.1 — что изменилось, какие тенденции в ИТ привели к этим изменениям и как новые правила влияют на системы. Завершим митап разбором атак на аутентификацию в микросервисах, включая уязвимости OAuth 2.0 и OpenID Connect, и обсудим способы защиты.

Доклады ориентированы в первую очередь на DevOps-инженеров, специалистов по ИБ и backend-инженеров. Но ограничений по участию нет – будем рады всем, кто интересуется вопросами авторизации и аутентификации, независимо от специализации!

Доклады

• 18:00-18:45 — «Refresh token в веб-приложениях: быть или не быть?»
  Андрей Кузнецов, архитектор, специализируется на Identity & Access Management, API и безопасности вокруг них, автор канала 401 Unauthorized.
  Довольно часто можно услышать вопросы о том, нужно ли использовать refresh-токены в веб-приложениях, и если нужно, то каким именно образом. Рассмотрим саму проблематику и выделим основную задачу, которую как раз обычно требуется решить. Обсудим, какие подходы здесь вообще применимы (спойлер: не только использование refresh-токенов), и поговорим про сами подобные токены: что это, зачем задумывались и как можно их использовать. А также сравним рассмотренные подходы с точки зрения информационной безопасности.
• 18:45-19:30 — «Тернистый путь OAuth: от 2.0 к 2.1»
  Ирина Блажина, архитектор ИБ в Оператор Газпром ИД, co-owner Solutions of Security. Специализация на архитектуре для ИБ на базе решений FW, Proxy, NGFW, IDM, IAM, API-Gateway, IDS/IPS и др. Автор статей в публичных каналах.
  В докладе разберем, как и почему меняется OAuth 2, обсудим, какие тенденции в ИТ влияют на развитие авторизации и аутентификации. Доклад поможет понять, как меняется авторизация, и какие шаги нужно предпринимать, чтобы оставаться в канонах безопасности.
• 19:30-20:15 — «Безопасность микросервисов: как защититься от уязвимостей аутентификации»
  Алексей Морозов, руководитель AppSec в ecom.tech
  Аутентификация — один из самых уязвимых элементов микросервисных систем. Ошибки в её реализации могут привести к утечке данных, компрометации аккаунтов и даже захвату сервиса. В докладе разберём:
  • Какие атаки угрожают микросервисам.
  • Как взламывают аутентификацию, включая атаки на OAuth 2.0 и OpenID Connect.
  • Реальные примеры уязвимостей и рекомендации по защите.

Модератором митапа будет Виктор Попов – технический руководитель продукта OIDC в ecom.tech, а также администратор русскоязычного Keycloak сообщества.