Bezpieczeństwo w Node.js (Zbyszek Tenerowicz) – FullStak #11

Z tego podcastu dowiesz się jak zadbać o bezpieczeństwo aplikacji webowych (backend) pisanych z użyciem technologii Node.js.

  • 0:30 – Eksperymenty w Node.js
  • 3:30 – Co to jest Node.js? Do czego się nadaje? Jak działa?
  • 8:30 – Skąd pomysł na backend w JavaScript?
  • 11:00 – Rynek pracy backend
  • 12:00 – Przerzucenie się na Node.js w jeden dzień?
  • 14:00 – Podatność na XSS (Cross Site Scripting)
  • 17:30 – Metoda ataku Cross-site request forgery
  • 20:50 – Podatność Prototype Pollution
  • 24:00 – Audyt bezpieczeństwa zależności (npm audit, yarn audit)
  • 27:30 – Narzędzia do dbania o bezpieczeństwo
  • 37:30 – Content Security Policy – Co to jest I jak działa?
  • 40:00 – Korzystanie z “gotowców”
  • 43:00 – CORS
  • 46:40 – Skąd czerpać wiedzę o bezpieczeństwie?
  • 50:40 – Jaki jest najlepszy sposób na uwierzytelnianie?
  • 57:00 – Wycieki pamięci

Materiały do nauki:
https://owasp.org/www-project-top-ten/
https://owasp.org/www-community/xss-filter-evasion-cheatsheet
https://naugtur.pl/pres3/securedev2/v2.html#/

Dawid Bałut, super materiały na YT, o bezpieczeństwie i nie tylko:
https://www.youtube.com/channel/UC1h6AnWkWOUOC4BlIr51R8w/
https://www.youtube.com/watch?v=04c0JiE8YNQ

Wycieki pamięci:
https://naugtur.pl/pres3/memnew/#/
https://github.com/nodejs/diagnostics/blob/master/documentation/memory/step2/using_heap_snapshot.md

Projekty open-source wspomniane w materiale:
https://github.com/naugtur/npm-audit-resolver
https://github.com/naugtur/handsfreeyoutube

fun nerds: https://www.youtube.com/watch?v=3UAOs9B9UH8

Zbyszek Tenerowicz: https://naugtur.pl/
Full-stack developer na codzień rozwijający ponad 30 aplikacji Node.js w swoim zespole w firmie Egnyte. Entuzjasta open-source i jeden z najdłużej działających w społeczności Meet.js Poland (zarówno jako prelegent oraz organizator). Od niedawna szczęśliwy tata.