Paranoid Service Worker (Vsevolod Rodionov, SECR-2018) — различия между версиями

Материал из 0x1.tv

{{eng}}
;{{SpeakerInfo}}: {{Speaker|Всеволод Родионов}}
<blockquote>
Эта история начинается не так давно.

Шел 2018-й год. Интернет полнился историями о взломах: ломали аккаунты Фейсбука, дверные ручки Гугла и плагины в браузерах, китайские телефоны продавались сразу с бесплатным подключением к ботнетам, расположение секретных баз вычисляли через фитнес-трекеры (strava), через HTTPS на части серверов еще можно было прочитать содержимое оперативной памяти (heartbleed), а через деление  прочитать память в других процессах (meltdown и spectre), при желании  даже из «защищенной зоны» в памяти процессора (foreshadow). Интернет полнился слухами, которые оказались не слухами, что в процессорах есть еще один маленький компьютер, на котором можно запустить DOOM (предположительно). Ну и вишенкой на торте было то, что технически возможно вывести из строя сервера, отправляя по сети единицы и нули так, что электроны начинали выпрыгивать из оперативной памяти (nethammer/throwhammer).

И в воздухе висел вопрос: можно ли вообще хранить хоть какие-то данные в браузерах без страха, что их украдут?

Понемногу приходило понимание, что вроде бы можно. Но доверять нельзя никому, ни себе, ни другим. Нужно, чтобы клиент проверял сервер, а сервер  клиент, чтобы ничего не происходило просто так, а песочница внутри себя держала еще одну песочницу, но поперек. Понемногу это превращалось в самую настоящую паранойю, но закончилось рядом уникальных находок, о которых и будет этот доклад.

Совершенно однозначно можно сказать, что потенциал технологии Service Worker еще не раскрыт. Спектр возможностей их применения куда шире, чем просто умный кэш, и в данном докладе будет рассмотрен нестандартный подход к использованию его возможностей.
</blockquote>

{{VideoSection}}
{{vimeoembed|298790353|800|450}}
{{youtubelink|}}{{letscomment}}

{{SlidesSection}}
[[File:Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf|left|page=-|300px]]

{{----}}
[[File:{{#setmainimage:Параноидальный Service Worker (Всеволод Родионов, SECR-2018)!.jpg}}|center|640px]]
{{LinksSection}}
* [https://2018.secrus.org/program/submitted-presentations/paranoid-service-worker/ Talks page on SECR site]
<!-- <blockquote>[©]</blockquote> -->

<references/>





<!-- topub -->





Java]]
[[Категория:Java EE]]
[[Категория:Draft]]
{{stats|disqus_comments=0|refresh_time=2018-12-04T18:17:40.653890|vimeo_plays=3|youtube_plays=0}}

[[Категория:SECR-2018]]
[[Категория:Javascript]]
[[Категория:Информационная безопасность]]

Версия 10:19, 24 декабря 2018

Speaker
Всеволод Родионов.jpg
Всеволод Родионов

Эта история начинается не так давно.

Шел 2018-й год. Интернет полнился историями о взломах: ломали аккаунты Фейсбука, дверные ручки Гугла и плагины в браузерах, китайские телефоны продавались сразу с бесплатным подключением к ботнетам, расположение секретных баз вычисляли через фитнес-трекеры (strava), через HTTPS на части серверов еще можно было прочитать содержимое оперативной памяти (heartbleed), а через деление — прочитать память в других процессах (meltdown и spectre), при желании — даже из «защищенной зоны» в памяти процессора (foreshadow). Интернет полнился слухами, которые оказались не слухами, что в процессорах есть еще один маленький компьютер, на котором можно запустить DOOM (предположительно). Ну и вишенкой на торте было то, что технически возможно вывести из строя сервера, отправляя по сети единицы и нули так, что электроны начинали выпрыгивать из оперативной памяти (nethammer/throwhammer).

И в воздухе висел вопрос: можно ли вообще хранить хоть какие-то данные в браузерах без страха, что их украдут?

Понемногу приходило понимание, что вроде бы можно. Но доверять нельзя никому, ни себе, ни другим. Нужно, чтобы клиент проверял сервер, а сервер — клиент, чтобы ничего не происходило просто так, а песочница внутри себя держала еще одну песочницу, но поперек. Понемногу это превращалось в самую настоящую паранойю, но закончилось рядом уникальных находок, о которых и будет этот доклад.

Совершенно однозначно можно сказать, что потенциал технологии Service Worker еще не раскрыт. Спектр возможностей их применения куда шире, чем просто умный кэш, и в данном докладе будет рассмотрен нестандартный подход к использованию его возможностей.

Video

Посмотрели доклад? Понравился? Напишите комментарий! Не согласны? Тем более напишите.

Slides

Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf Параноидальный Service Worker (Всеволод Родионов, SECR-2018).pdf
Параноидальный Service Worker (Всеволод Родионов, SECR-2018)!.jpg

Links







Plays:3   Comments:0