Szilárd Pfeiffer
A free software fanatic developer, a security commited engineer, a free-culture enthusiastic jounalist, an agile believer manager.
Attributions: log jam by Luis Prado from the Noun Project
Attributions: log jam by Luis Prado from the Noun Project
A tanúsítvány visszavonási rendszer a PKI egyik neuralgikus pontja. Fontossága ellenére az alkalmazott metódusok többszöri ráncfelvarrás után is elvi és gyakorlati problémák sorával terheltek. Számos esetben hiába történik meg egy kompromittálódott tanúsítvány visszavonása, erről a kliens nem értesül, vagyis az tudottan kompromittált tanúsítvány birtokában a szolgáltatás továbbra is támadható marad.
Mára a HTTPS egyre nagyobb arányban váltja le a korábbi titkosítás nélküli HTTP forgalmat, ami alapvetően üdvözlendő, ugyanakkor könnyen egyfajta hamis biztonságérzetet alakíthat ki az üzemeltetőkben és a felhasználókban egyaránt. A titkosítás és az autentikáció megléte közel sem elegendő. Kellő odafigyelést igényel a konfiguráció és a folyamatos karbantartás egyaránt. Az egészen egyszerű személyi honlapoktól a komoly biztonsági szintet igénylő internetbanki szerverekig csaknem mindenhol találni problémákat a TLS réteg beállításaiban. Ezek lehetnek szépséghibák, apróbb hiányosságok, de sajnos az sem ritka, hogy egyes szolgáltatások súlyos biztonsági sebezhetőségek által érintettek. Az előadás révén megismerkedhetsz a téma szempontjból releváns fogalmakal, szabványokkal, a teszteléskor használható eszközökkel, illetve azzal, milyen problámákat okozhat egy-egy rossz beállítás a banki- vagy a magántitkok vagy épp a weblap tartalmának hitelessége kapcsán.
Miért működik egy applikációs szintű tűzfal fejlesztése full stack módon? Mit jelent ez pontosan? Mennyi ebből a kényszer? Mik az előnyei és a hátrányai ennek a módszernek?
A teszt a rendszer tanúja, a rendszeré, ami néha kicsit sárgább, kicsit savanyúbb, mint szeretnénk, de azért mégiscsak a miénk. A tanú feladata pedig az, hogy valljon, az igazat, és csakis a tiszta igazat vallja. A kérdés az, hogy valóban ezt fogja tenni? Ha igen, akkor, ellenünk, vagy mellett vall majd? Ha nem, akkor mi fogunk rájönni, vagy majd csak az utókor? Mi lenne, ha nem kellene koncepciós per ahhoz, hogy a vallomás és az ítéltet is mi írhassuk?
A Zorp egy több, mint tíz éve, nyílt forrásúként fejlesztett proxy tűzfal. Ez alatt az idő alatt számos kiadást ért meg és számos változáson esett át, az utóbbi hónapokban, években talán a legnagyobbakon. A Zorp GPL legújabb verziója számos olyan újdonságot hoz magával, amik egyrészről egyszerűsítik és átláthatóbbá teszik a konfigurációt, könnyítik az üzemeltetést, másrészről olyan újdonságokat adnak a szoftverhez, amik alkalmazkodnak a modern idők igényeihez. Az előadás célja, hogy bemutassa a most megjelent verzió olyan újdonságait, mint az IPv6 támogatás, NAT64, NAT46, automata protokoll felismerés, a hostnév alapú szabályok, a rendszergazdákat segítő eszközöket, mint az egyszerűsített konfiguráció, kapcsolatokat összegző naplósor, felhasználási statisztikák, out-of-the-box telepíthetőség és jövőbeli terveit, mint szélesebb körű operációs rendszer támogatás (RPM), kis eszközökön való futtathatóság (OpenWrt), integrálás modern hálózati technológiákhoz (SDN, OpenStack).
A Clean Code elvek kapcsán gyakran felmerülő kérdés, hogy az átlátható, ember által olvasható kód írása nem okoz-e hatékonyságcsökkenést futtatáskor. Nos, az eredmény C/C++ kódok esetén meglehetősen érdekes. Számos esetben nemhogy ráfordított időben kifejezett ráfizetés a bitekkel való varázslás, de a hatékonyság oldalán sem nyerünk egy fikarcnyit sem, a feleslegesen túloptimalizált kód karbantartásának nehézségeit már meg sem említem. Az előadás keretében néhány gyakorlati példán keresztül világítok rá arra, hogy a Clean Code nem csak a fejlesztőt, de a fordító programokat is segíti a hatékonyabb kódok előállításában.
Az Internet of Things ugyan egy meglehetősen üres buzzword, de az nem vitás, hogy megállíthatatlan az a folyamat, mely a kényelmi funkciók sokasága érdekében az összes elektronikus eszközünket az internetre kapcsolja. Elég a már mindenhol elterjedt okos telefonokra, televíziókra és médialejátszókra gondolni, de ezen túl a mobil alkalmazásokkal vezérelhető mosógépek, hűtőszekrények, klíma és riasztóberendezések sem mennek már ritkaságszámba. Nem kell nagyon paranoidnak lenni ahhoz, hogy belássuk ezek az eszközök újabb és újabb kockázati forrást jelentenek otthonunkban. Főleg úgy, hogy ezek jelentős része még csak titkosított kommunikációra sem képes, mi több tudomásunk nélkül szolgáltat információkat felhasználói szokásainkról. Az előadásban azt szeretnénk bemutatni, hogy csupa ingyenes eszköz felhasználásával miként érhetjük el, hogy a kényelmi funkciók megtartása mellett, nagyobb biztonságban érezhessük magunkat.