Por um front-end mais seguro

Transcript

1. Por um front-end mais seguro Leandro Diniz @leandro_diniz

2. None

3. Leandro Diniz Front-end Lead @ Acesso Digital @leandro_diniz @leandrodiniz

4. Somos a IDTech que simplifica de maneira segura a relação

   entre pessoas e empresas por meio da identidade digital.

5. Foto: Tobias Jussen

6. A complexidade do front-end

7. Evolução do Front-end Fonte: https://github.com/ManzDev/frontend-evolution

8. Lighthouse

9. Segurança como parte do processo

10. None
11. None

12. OWASP The Open Web Application Security Project®

13. 7. Cross-Site Scripting (XSS) 3. Cross-Site Scripting (XSS) 8. Cross-Site

    Request Forgery (CSRF) OWASP Top 10 The Open Web Application Security Project® 2013 2017 Fonte: https://wiki.owasp.org/images/0/06/OWASP_Top_10-2017-pt_pt.pdf

14. Cross-Site Request Forgery (CSRF)

15. view-source://site-atacante.com.br Lista de transações Olá, Fabricio https://site-banco.com.br Cookie SessionId=SflKxwRJSMeKKF2QT4fwpMeJf36POk6

16. Autenticação Implícita vs. Explícita Implícita: é feita automaticamente pelo navegador

    Explícita: é feita manualmente por quem está desenvolvendo • Cookies • Basic Authentication • Session token via header (Bearer)

17. Content-type padrão non-standard header • application/x-www-form-urlencoded • multipart/form-data • text/plain

    Só vai acontecer se... autenticação implícita via POST • cookies

18. CSRF token non-standard Como evitar CSRF Content-type autenticação explícita •

    JSON • Bearer Token SameSite

19. Cross-Site Scripting (XSS)

20. - Ben Vinegar

21. E o que podemos fazer?

22. Atenção com a porta de entrada ⚠

23. Atenção com a porta de entrada ⚠ sanitize • DOMPurify

    • secure-filters dados guardados • Web Crypto Storage

24. Atenção com a porta de entrada ⚠

25. Atenção com a porta de entrada ⚠ erros genéricos Sua

    senha senha está incorreta ✅ Usuário e/ou senha incorretos

26. Mensurar os resultados

27. Mensurar os resultados https://securityheaders.com/

28. Medidas de segurança

29. Medidas de segurança XSS Protection Mode a maioria dos navegadores

    modernos vem com essa proteção habilitada por padrão.

30. Medidas de segurança dangerouslySetInnerHTML XSS geralmente os ataques acontecem via

    innerHTML

31. Medidas de segurança via iframe

32. Política de Segurança de Conteúdo (Content Security Policy - CSP)

33. Política de Segurança de Conteúdo forte CSP é uma camada

    adicional de segurança o que facilita a detecção e mitigação de certos tipos de ataques.

34. Serviços de terceiros

35. Serviços de terceiros tenha certeza de estar com um CSP

    forte. A maioria dos serviços possuem, então, utilize. obs: Google Tag Manager ⚠

36. Serviços de terceiros

37. None

38. Referências https://www.smashingmagazine.com/2018/12/feature-policy https://www.smashingmagazine.com/2018/02/gdpr-for-web-developers https://fearby.com/article/set-up-feature-policy-referrer-policy-and-content-security-policy-headers-in-nginx https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-user-identities-web-trackers-exploit-browser-login-managers/ https://cheatsheetseries.owasp.org/

39. Vamos transformar o Brasil em uma sociedade mais digital e

    colocar nosso país no mapa global da inovação. Já traçamos um plano para chegar lá e temos dado grandes passos em direção a esse ousado desafio, mas precisamos de bons talentos para irmos ainda mais longe. Vem com a gente? #WeAreHiring • Front End (SP) • Full Stack .NET ou Node.js (SP) • Back End Golang (SP) • Back End .NET (PR) • Mobile (SP, PR ou POA) • Machine Learning (PR) e muito mais!

40. Avalie minha talk em apenas 1 pergunta (100% anônima) Obrigado!

    :) Leandro Diniz @leandro_diniz