Статья

Новости и Полезные статьи

Наши услуги


Отчет: Google CMS Security Summit 2020 в Мюнхене

Logo

CMS Security Summit - это ежегодное мероприятие, проводимое только по приглашению Google, на котором команда CMS Security делится знаниями с коллегами из отрасли, чтобы повысить безопасность систем CMS и Интернета.

В этом году мероприятие состоялось в Мюнхене, Германия, и Оливер Хадер, Бенни Мак и Торбен Хансен из группы безопасности (Security Team) представляли TYPO3.

После незапланированной встречи со всеми участниками вечером перед мероприятием мы провели два полных дня в Google Мюнхене и Центре информационной безопасности (Information Security Hub - ISH), чтобы узнать о новых и предстоящих разработках в области веб-безопасности.

Технология безопасности

Было проведено множество отличных презентаций и ярких выступлений по сетевым технологиям и технологиям безопасности, безопасности конечных пользователей и конфиденциальности данных, снижению потенциала внедрения и методам изоляции для распределенных запросов.

  • Strict Content Security PolicyTrusted Types и Scripting Policy для миграций инжекторов, таких как XSS.
  • Cross-Origin Resource Policy (CORP), Политика Embedder, и Securer Contexts усилить изоляцию и смягчить атаки по сторонним каналам.
  • Основные понятия об инструментах и средах для защиты экосистемы CMS.
  • OpenSK, ключ безопасности с открытым исходным кодом, который будет использоваться для многофакторной аутентификации.
  • SameSite Cookie принудительное применение и конфиденциальность браузера Sandbox, улучшающая межсайтовую конфиденциальность.
  • Потенциал стандартов PSR-9 и PSR-10 PHP.
  • Virus Total API кластеризовать и классифицировать потенциальные вредоносные программы в сети.
  • Web Almanac 2019 Security аспекты.

Секционные заседания

Секционные заседания позволили участникам участвовать в нерегламентных дискуссиях по темам, связанным с безопасностью:

  • Быстрое обнаружение и быстрое реагирование/предотвращение
  • Инструменты безопасности и API
  • Автоматические обновления
  • Стандартизированная рассылка бюллетеней по безопасности
  • Координация окон безопасности для проектов
  • Двухфакторная аутентификация по умолчанию для разработчиков и администраторов CMS
  • Лучшие инструменты статического анализа кода, которые позволяют предотвращать
  • Сигналы безопасности/оценка в Chrome Dev Tools
  • Улучшения безопасности финансирования в CMS

Отличная инициатива - спасибо Google!

Для TYPO3 мероприятие прошло с большим успехом, было много полезного и содержательных обсуждений. Он также привлек внимание к нескольким темам, над которыми мы будем работать над повышением безопасности TYPO3 и его экосистемы, таким как применение куки-файлов SameSite, расширение охвата статическим анализом кода и уточнение документации по нашему процессу.

Мы хотели бы поблагодарить Google за организацию мероприятия и всех участников за активную и увлеченную работу по повышению безопасности.

Дальнейшее чтение

Вычитка: Матиас Болт Лесняк

ЛогоНазваниеТипДемоСсылки
image