ecom.teсh x keycloak community meetup // 13.03.25

Приходите на ecom.teсh x keycloak community meetup! Когда: 13 марта (четверг), 18:00 – 20:00 МСК/СПБ На митапе мы обсудим актуальные вопросы безопасности аутентификации и авторизации в веб-приложениях и микросервисах. Начнём с разбора refresh-токенов: нужны ли они, какие альтернативные подходы существуют и как выбрать безопасное решение. Затем поговорим об эволюции от OAuth 2.0 к OAuth 2.1 — что изменилось, какие тенденции в ИТ привели к этим изменениям и как новые правила влияют на системы. Завершим митап разбором атак на аутентификацию в микросервисах, включая уязвимости OAuth 2.0 и OpenID Connect, и обсудим способы защиты. Доклады ориентированы в первую очередь на DevOps-инженеров, специалистов по ИБ и backend-инженеров. Но ограничений по участию нет – будем рады всем, кто интересуется вопросами авторизации и аутентификации, независимо от специализации! Доклады: 18:00-18:45 — «Refresh token в веб-приложениях: быть или не быть?», Андрей Кузнецов, архитектор, специализируется на Identity & Access Management, API и безопасности вокруг них, автор канала 401 Unauthorized. Довольно часто можно услышать вопросы о том, нужно ли использовать refresh-токены в веб-приложениях, и если нужно, то каким именно образом. Рассмотрим саму проблематику и выделим основную задачу, которую как раз обычно требуется решить. Обсудим, какие подходы здесь вообще применимы (спойлер: не только использование refresh-токенов), и поговорим про сами подобные токены: что это, зачем задумывались и как можно их использовать. А также сравним рассмотренные подходы с точки зрения информационной безопасности. 18:45-19:30 — «Тернистый путь OAuth: от 2.0 к 2.1», Ирина Блажина, архитектор ИБ в Оператор Газпром ИД, co-owner Solutions of Security. Cпециализация на архитектуре для ИБ на базе решений FW, Proxy, NGFW, IDM, IAM, API-Gateway, IDS/IPS и др. Автор статей в публичных каналах. В докладе разберем, как и почему меняется OAuth 2, обсудим, какиe тенденции в ИТ влияют на развитие авторизации и аутентификации. Доклад поможет понять, как меняется авторизация, и какие шаги нужно предпринимать, чтобы оставаться в канонах безопасности. 19:30-20:15 — «Безопасность микросервисов: как защититься от уязвимостей аутентификации», Алексей Морозов, руководитель AppSec в ecom.teсh Аутентификация — один из самых уязвимых элементов микросервисных систем. Ошибки в её реализации могут привести к утечке данных, компрометации аккаунтов и даже захвату сервиса. В докладе разберём: — Какие атаки угрожают микросервисам. — Как взламывают аутентификацию, включая атаки на OAuth 2.0 и OpenID Connect. — Реальные примеры уязвимостей и рекомендации по защите. Модератором митапа будет Виктор Попов –– технический руководитель продукта OIDC в ecom.tech, а также администратор русскоязычного keycloak сообщества.

Видео ecom.teсh x keycloak community meetup // 13.03.25 автора ecom.tech