Стаття

Новини та Корисні статті

Наші послуги


Звіт: Google CMS Security Summit 2020 у Мюнхені

Logo

CMS Security Summit - це щорічний захід, що проводиться тільки на запрошення Google, на якому команда CMS Security ділиться знаннями з колегами з галузі, щоб підвищити безпеку систем CMS і Інтернету.

Цього року захід відбувся в Мюнхені, Німеччина, і Олівер Хадер, Бенні Мак і Торбен Хансен з групи безпеки (Security Team) представляли TYPO3.

Після незапланованої зустрічі з усіма учасниками ввечері перед заходом ми провели два повних дні в Google Мюнхені і Центрі інформаційної безпеки (Information Security Hub - ISH), щоб дізнатися про нові і майбутні розробки в області веб-безпеки.

Технологія безпеки

Було проведено безліч відмінних презентацій і яскравих виступів з мережних технологій і технологій безпеки, безпеки кінцевих користувачів і конфіденційності даних, зниження потенціалу впровадження і методам ізоляції для розподілених запитів.

  • Strict Content Security PolicyTrusted Types та Scripting Policy для міграцій інжекторів, таких як XSS.
  • Cross-Origin Resource Policy (CORP), Політика Embedder, і Securer Contexts посилити ізоляцію і пом'якшити атаки по стороннім каналам.
  • Основні поняття про інструменти і середовища для захисту екосистеми CMS.
  • OpenSK, ключ безпеки з відкритим вихідним кодом, який буде використовуватися для багатофакторної аутентифікації.
  • SameSite Cookie примусове застосування і конфіденційність браузера Sandbox, що поліпшує міжсайтовий конфіденційність.
  • Потенціал стандартів PSR-9 і PSR-10 PHP.
  • Virus Total API кластеризувати і класифікувати потенційні шкідливі програми в мережі.
  • Web Almanac 2019 Security аспекти.

Секційні засідання

Секційні засідання дозволили учасникам брати участь в нерегламентних дискусіях по темам, пов'язаним з безпекою:

  • Швидке виявлення і швидке реагування / запобігання
  • Інструменти безпеки і API
  • автоматичні оновлення
  • Стандартизована розсилка бюлетенів з безпеки
  • Координація вікон безпеки для проектів
  • Двухфакторная аутентифікація за замовчуванням для розробників і адміністраторів CMS
  • Кращі інструменти статичного аналізу коду, які дозволяють запобігати
  • Сигнали безпеки / оцінка в Chrome Dev Tools
  • Покращення безпеки фінансування в CMS

Відмінна ініціатива - спасибі Google!

Для TYPO3 захід пройшов з великим успіхом, було багато корисного і змістовних обговорень. Він також привернув увагу до кількох тем, над якими ми будемо працювати над підвищенням безпеки TYPO3 і його екосистеми, таким як застосування кукі-файлів SameSite, розширення охоплення статичним аналізом коду і уточнення документації на нашу процесу.

Ми хотіли б подякувати Google за організацію заходу та всім учасникам за активну і захоплену роботу по підвищенню безпеки.

Подальше читання

Коректура: Матіас Болт Лесняк

ЛогоНазваТипДемоПосилання
image