БЕЗОПАСНОСТЬ
Результаты
- Указывать в портальных скоупах является ли "шефом" менеджер
- CS: Stored XSS
- Настроить работу с ограничениями и правами в BillingAPI
- Аутентификация по умолчанию
Классификация задач
- Закрытие найденных уязвимостей
- Реализация гигиенического минимума
- AuthN & AuthZ
Проблемы AuthN
- Свой AuthN в каждом АРМе
- AuthN по сертам
- По дефолту AuthN выключен
Проблемы AuthZ
- Дофига разных реализаций
- Про применение каждой реализации надо помнить
- Свой велосипед
Проблемы API
- На боевой выдано 1450+ ключей
- Нет нормальных инструментов администрирования
- Безопасникам надо будет писать отдельную интеграцию, чтобы отзывать ключи
- AuthZ в BillingAPI не работает
- Свой велосипед
Интеграция с Фемидой
Единый интерфейс интеграции AuthN
Единый механизм AuthN (выпиливаем серты)
Единый механизм по авторизации ресурсов
Авторизация общих ресурсов (BaseSite контроллеры)
Переезд AuthZ на Цербер
Переезд AuthN на OpenID Connect
Планы на неделю
- Дизайн ревью Фемиды
- Настроить работу с ограничениями и правами в BillingAPI
- Аутентификация по умолчанию
- CS: Stored XSS
