Bezpieczenstwo tozsamosci i danych w projektach Web

Table of contents

1. Okładka
2. Tytuł strony
3. Prawa autorskie strony
4. Spis treści
5. Przedmowa
6. 1 Wprowadzenie
   1. Problemy z obecnymi modelami zabezpieczeń
      1. Kiepskie hasła
      2. Bezpieczeństwo kontra użyteczność
      3. Niewłaściwe szyfrowanie danych
   2. Najsłabsze ogniwo: ludzie
      1. Pojedyncze logowanie
   3. Pojęcie entropii a bezpieczeństwo haseł
      1. Entropia losowo generowanych haseł
      2. Entropia haseł tworzonych przez ludzi
   4. Nazwa użytkownika i hasło – analiza
   5. Zabezpieczanie istniejących standardów dla ochrony tożsamości
      1. Dobre i złe algorytmy zabezpieczeń
   6. Jakie dane powinny być chronione?
      1. Mechanizmy odzyskiwania kont a socjotechnika
      2. Problem pytań bezpieczeństwa
   7. Co dalej?
7. 2 Hasła: szyfrowanie, haszowanie i solenie
   1. Dane w spoczynku kontra dane w ruchu
      1. Dane w spoczynku
      2. Dane w ruchu
   2. Wektory ataku na hasła
      1. Ataki siłowe
      2. Tworzenie CAPTCHA przy użyciu reCAPTCHA
      3. Ataki słownikowe
      4. Odwrotne tabele wyszukiwania
      5. Tęczowe tabele
   3. Solenie
      1. Generowanie losowej soli
      2. Ponowne użycie soli
      3. Długość soli
      4. Gdzie przechowywać sól
   4. Pieprz
   5. Wybieranie właściwej funkcji haszującej dla haseł
      1. bcrypt
      2. PBKDF2
      3. scrypt
      4. Weryfikowanie hasła względem wartości haszowanej
   6. Rozciąganie kluczy
   7. Ponowne obliczanie skrótów
   8. Co dalej?
8. 3 Podstawy bezpieczeństwa tożsamości
   1. Istota koncepcji różnych typów tożsamości
      1. Tożsamość społecznościowa
      2. Tożsamość zweryfikowana
      3. Tożsamość minimalna
   2. Ulepszanie środowiska użytkownika dzięki wykorzystaniu tożsamości
   3. Wprowadzenie do koncepcji stref zaufanych
   4. Odcisk palca przeglądarki
      1. Konfiguracje bardziej odporne na identyfikowanie przeglądarek
      2. Identyfikowalne informacje przeglądarki
      3. Przechwytywanie szczegółów przeglądarki
   5. Śledzenie oparte na lokalizacji
   6. Odcisk palca urządzenia (telefon / tablet)
   7. Odcisk palca urządzenia (urządzenia sparowane przez Bluetooth)
   8. Implementowanie tożsamości
9. 4 Zabezpieczanie logowania przy użyciu OAuth 2 i OpenID Connect
   1. Różnica pomiędzy uwierzytelnieniem a autoryzacją
      1. Uwierzytelnianie
      2. Autoryzacja
   2. Czym są OAuth i OpenID Connect?
      1. Wprowadzenie do OAuth 2.0
      2. Obsługa autoryzacji przy użyciu OAuth 2.0
      3. Korzystanie z tokenu Bearer
      4. Autoryzacja i uwierzytelnianie przy użyciu OpenID Connect
   3. Różnice uwarunkowań zabezpieczeń pomiędzy OAuth 2 i OAuth 1.0a
   4. Budowanie serwera OAuth 2.0
   5. Tworzenie aplikacji Express
   6. Konfigurowanie bazy danych naszego serwera
      1. Generowanie kodów autoryzacyjnych i tokenów
      2. Punkt końcowy autoryzacji
      3. Obsługa czasu życia tokenu
      4. Obsługa żądań zasobów
      5. Korzystanie z tokenów odświeżania
      6. Obsługa błędów
   7. Dodawanie funkcjonalności OpenID Connect do serwera
      1. Schemat ID Token
      2. Modyfikowanie punktu końcowego autoryzacji
      3. Dostosowywanie punktu końcowego Token
      4. Punkt końcowy UserInfo
      5. Zarządzanie sesją przy użyciu OpenID Connect
   8. Budowanie klienta OAuth 2
      1. Używanie kodów autoryzacyjnych
      2. Autoryzacja przy użyciu poświadczeń właściciela zasobu lub poświadczeń klienta
      3. Dodawanie funkcjonalności OpenID Connect do klienta
      4. Przepływ podstawowy OpenID Connect
   9. Poza OAuth 2.0 i OpenID Connect
10. 5 Alternatywne metody identyfikacji
    1. Identyfikowanie urządzeń i przeglądarek
    2. Uwierzytelnianie dwuskładnikowe oraz n-składnikowe
       1. Uwierzytelnianie n-składnikowe
       2. Hasła jednorazowe
       3. Implementowanie dwuskładnikowego uwierzytelniania przy użyciu Authy
    3. Biometria jako uwierzytelnienie zamiast hasła
    4. Jak oceniać skuteczność biometrii
       1. Rozpoznawanie twarzy
       2. Skanowanie siatkówki i tęczówki
       3. Rozpoznawanie naczyń krwionośnych
    5. Przyszłe standardy
       1. FIDO Alliance
       2. Oz
       3. Blockchain
    6. Co dalej?
11. 6 Wzmacnianie aplikacji Web
    1. Zabezpieczanie sesji
       1. Różne typy sesji
       2. Jak Express obsługuje sesje
    2. Obsługa XSS
       1. Trzy typy ataków XSS
       2. Testowanie mechanizmów ochrony przed XSS
       3. Podsumowanie
    3. Ataki CSRF
       1. Obsługa CSRF za pomocą csurf
    4. Wartościowe zasoby dla platformy Node
       1. Lusca
       2. helmet
       3. Node Security Project
    5. Inne techniki neutralizacyjne
    6. Nasze odkrycia
12. 7 Bezpieczeństwo transmisji danych
    1. SSL/TLS
       1. Typy certyfikatów i urzędów certyfikacji
       2. Tworzenie samopodpisanego certyfikatu na potrzeby testów
    2. Kryptografia asymetryczna
       1. Przypadki zastosowań
       2. Przykład implementacji
       3. Zalety, wady i zastosowania kryptografii asymetrycznej
    3. Kryptografia symetryczna
       1. Wektor inicjujący
       2. Dopełnienie
       3. Tryby działania szyfrów blokowych
    4. Korzystanie z AES w trybie szyfrowania CTR
       1. Korzystanie z AES w trybie szyfrowania z uwierzytelnieniem GCM
       2. Zalety, wady i zastosowania kryptografii symetrycznej
13. A Repozytoria GitHub
14. B Wymagania techniczne i warunki wstępne
15. Słowniczek
16. Indeks