ecom.teсh x keycloak community meetup

Когда: 13 марта (четверг), 18:00 – 20:00 МСК/СПБ

Формат: онлайн-трансляция

Приходите на ecom.teсh x keycloak community meetup! 

На митапе мы обсудим актуальные вопросы безопасности аутентификации и авторизации в веб-приложениях и микросервисах. Начнём с разбора refresh-токенов: нужны ли они, какие альтернативные подходы существуют и как выбрать безопасное решение. Затем поговорим об эволюции от OAuth 2.0 к OAuth 2.1 — что изменилось, какие тенденции в ИТ привели к этим изменениям и как новые правила влияют на системы. Завершим митап разбором атак на аутентификацию в микросервисах, включая уязвимости OAuth 2.0 и OpenID Connect, и обсудим способы защиты.

Доклады ориентированы в первую очередь на DevOps-инженеров, специалистов по ИБ и backend-инженеров. Но ограничений по участию нет – будем рады всем, кто интересуется вопросами авторизации и аутентификации, независимо от специализации! 

Доклады: 

18:00-18:45 — ​​«Refresh token в веб-приложениях: быть или не быть?», Андрей Кузнецов, архитектор, специализируется на Identity & Access Management, API и безопасности вокруг них, автор канала 401 Unauthorized.

Довольно часто можно услышать вопросы о том, нужно ли использовать refresh-токены в веб-приложениях, и если нужно, то каким именно образом.

Рассмотрим саму проблематику и выделим основную задачу, которую как раз обычно требуется решить. Обсудим, какие подходы здесь вообще применимы (спойлер: не только использование refresh-токенов), и поговорим про сами подобные токены: что это, зачем задумывались и как можно их использовать. А также сравним рассмотренные подходы с точки зрения информационной безопасности.

18:45-19:30 — «Тернистый путь OAuth: от 2.0 к 2.1», Ирина Блажина, архитектор ИБ в Оператор Газпром ИД, co-owner Solutions of Security. Cпециализация на архитектуре для ИБ на базе решений FW, Proxy, NGFW, IDM, IAM, API-Gateway, IDS/IPS и др. Автор статей в публичных каналах.

В докладе разберем, как и почему меняется OAuth 2, обсудим, какиe тенденции в ИТ влияют на развитие авторизации и аутентификации. 

Доклад поможет понять, как меняется авторизация, и какие шаги нужно предпринимать, чтобы оставаться в канонах безопасности.

19:30-20:15 — «Безопасность микросервисов: как защититься от уязвимостей аутентификации», Алексей Морозов, руководитель AppSec в ecom.teсh

Аутентификация — один из самых уязвимых элементов микросервисных систем. Ошибки в её реализации могут привести к утечке данных, компрометации аккаунтов и даже захвату сервиса. В докладе разберём:

— Какие атаки угрожают микросервисам.

— Как взламывают аутентификацию, включая атаки на OAuth 2.0 и OpenID Connect.

— Реальные примеры уязвимостей и рекомендации по защите.

Модератором митапа будет Виктор Попов –– технический руководитель продукта OIDC в ecom.tech, а также администратор русскоязычного keycloak сообщества.