Владимир Кочетков раскрывает опасности и скрытые проблемы в System.Security.Cryptography 🔐
Узнайте о ключевых подводных камнях системы безопасности в криптографии на конференции DotNext с Владимиром Кочетковым из Positive Technologies. Подробнее по ссылке: https://jrg.su/3WmFRE
DotNext — конференция для .NET‑разработчиков
3.9K views • Apr 19, 2016
About this video
Подробнее о конференции DotNext: https://jrg.su/3WmFRE
— —
Владимир Кочетков, Positive Technologies — Подводные камни System.Security.Cryptography.
Конференция DotNext 2015 Moscow.
Москва, 11.12.2015.
Криптография является одной из немногих предметных областей, с которой рано или поздно сталкивается подавляющее большинство разработчиков. Вам уже доводилось использовать генераторы случайных чисел, работать с цифровыми подписями, хранить пользовательские пароли или, на худой конец, шифровать данные? А вы уверены, что не допустили при этом ошибок, повлиявших на защищенность приложения? Проверьте себя: сколько уязвимостей вы видите в следующем фрагменте кода?
private static bool IsValidSignature(string data, string signature) {
var bytes = Encoding.ASCII.GetBytes("eCTR4rhYQVNwn78j" + data);
var hash = MD5.Create().ComputeHash(bytes);
return BitConverter.ToString(hash) == signature;
}
...
if (IsValidSignature(Request["data"], Request["signature"])) {
var decryptor = Aes.Create() {
BlockSize = 128;
Key = Encoding.ASCII.GetBytes("YtGDn6mvAHbp5X7C");
IV = Encoding.ASCII.GetBytes("mHMUYSjiVxo4wp9R");
}.CreateDecryptor();
}
Если меньше 5, то вам определенно стоит посетить этот доклад. На нем, без лишнего математического хардкора, мы поговорим о типичных сценариях использования средств криптографии в .NET-приложениях, рассмотрим лучшие практики решения наиболее часто встречающихся задач, разберем типовые уязвимости и посмотрим демки нескольких реальных атак на наиболее интересные из них.
— —
Владимир Кочетков, Positive Technologies — Подводные камни System.Security.Cryptography.
Конференция DotNext 2015 Moscow.
Москва, 11.12.2015.
Криптография является одной из немногих предметных областей, с которой рано или поздно сталкивается подавляющее большинство разработчиков. Вам уже доводилось использовать генераторы случайных чисел, работать с цифровыми подписями, хранить пользовательские пароли или, на худой конец, шифровать данные? А вы уверены, что не допустили при этом ошибок, повлиявших на защищенность приложения? Проверьте себя: сколько уязвимостей вы видите в следующем фрагменте кода?
private static bool IsValidSignature(string data, string signature) {
var bytes = Encoding.ASCII.GetBytes("eCTR4rhYQVNwn78j" + data);
var hash = MD5.Create().ComputeHash(bytes);
return BitConverter.ToString(hash) == signature;
}
...
if (IsValidSignature(Request["data"], Request["signature"])) {
var decryptor = Aes.Create() {
BlockSize = 128;
Key = Encoding.ASCII.GetBytes("YtGDn6mvAHbp5X7C");
IV = Encoding.ASCII.GetBytes("mHMUYSjiVxo4wp9R");
}.CreateDecryptor();
}
Если меньше 5, то вам определенно стоит посетить этот доклад. На нем, без лишнего математического хардкора, мы поговорим о типичных сценариях использования средств криптографии в .NET-приложениях, рассмотрим лучшие практики решения наиболее часто встречающихся задач, разберем типовые уязвимости и посмотрим демки нескольких реальных атак на наиболее интересные из них.
Tags and Topics
Browse our collection to discover more content in these categories.
Video Information
Views
3.9K
Likes
114
Duration
46:50
Published
Apr 19, 2016
User Reviews
4.6
(3) Related Trending Topics
LIVE TRENDSRelated trending topics. Click any trend to explore more videos.