Niemal równo rok temu mieliśmy przyjemność zaprezentować się na spotkaniu OWASP w Toruniu. Teraz, gdy przeprowadziliśmy się do nowej, znacznie większej siedziby, postanowiliśmy zorganizować takie wydarzenie u nas.

Spotkania OWASP (Open Web Application Security Project) poświęcone są przede wszystkim szeroko pojętemu bezpieczeństwu aplikacji webowych. Społeczność OWASP tworzą entuzjaści z różnych firm i środowisk zainteresowani tą tematyką. Spotkania pod szyldem OWASP odbywają się cyklicznie na całym świecie – teraz, jedno z nich odbędzie się w Poznaniu.

Już za dwa tygodnie, 9 marca o godzinie 17:00 w K9 Office na II piętrze porozmawiamy o pułapkach domowej kryptografii, przyszłości rozwiązań Cloud PKI oraz o bezpieczeństwie restowych API.

Po zakończeniu części merytorycznej, gorąca pizza da nam pretekst do nieformalnej dyskusji i wymiany doświadczeń.

Szczegóły i zapisy na stronie wydarzenia: https://www.meetup.com/owasp-poland/events/237545066/

API Security Scan as a service - Radosław Stankiewicz

A gdyby tak dać możliwość robienia testów bezpieczeństwa developerom? Lessons Learnt z budowania startupu w Londynie oferującego przyjazne skanowanie API Restowego. Podczas prezentacji Radek opowie o drodze jaką przeszli, ile to kosztowało, co się udało, gdzie popełnili błędy i dokąd dotarli.

Don't roll your own crypto - Marcin Mergo, Michał Kowalski

Wbrew powszechnym opiniom kryptografia jest trudna, a rozwiązaniom znalezionym na StackOverflow nie zawsze można ufać. Jak żyć w świecie, w którym algorytmy przestają być bezpieczne z dnia na dzień, a wielkie korporacje z budżetem większym niż cała Polska zaliczają kolejne wpadki? Podczas prezentacji Marcin i Michał będą chcieli Was przekonać, że do stworzenia bezpiecznego rozwiązania opartego o kryptografię nie potrzeba dedykowanego zespołu wysoko wykwalifikowanych bezpieczników. Pokażą też wybrane narzędzia, które pozwolą Wam to osiągnąć.

Cloud PKI - Bartosz Witkowski

Dyrektywa unijna eIDAS otwiera możliwość stosowania nowych technologii w kontekście rozwiązań opartych o infrastrukturę klucza publicznego. Jedną z nowości umożliwionych dzięki temu jest podpis serwerowy czasami nazywany Cloud PKI, który daje możliwość wykonania zdalnego, bezpiecznego lub nawet kwalifikowanego podpisu elektronicznego. Elastyczność i wygoda takiego rozwiązania wydaje się być niezaprzeczalna jednak jak zapewnić bezpieczeństwo takiemu rozwiązaniu gdy klucz prywatny użytkownika nie jest przechowywany na jego prywatnej karcie. Jak zaoferować odpowiednie bezpieczeństwo przy wykorzystaniu centralnych systemów i HSM? Jak zapewnić że klucze w HSM będą pod wyłączną kontrolą użytkownika tak by wypełnić wytyczne dyrektywy ale i przekonać użytkowników do bezpieczeństwa zdalnego systemu? Podczas sesji Bartek postara się odpowiedzieć na te pytania oraz zaprezentować jak można implementować własną logikę biznesową wewnątrz bezpiecznego środowiska jakim jest HSM wdrażając własne moduły firmware.