Интро

Не так давно я выступал на конференции FrontendConf 2015 (РИТ++) с темой данной статьи. И при подготовке доклада начал искать информацию, а кто вообще выступал на данную тему и что есть в Сети на данный момент.

Оказалось, что информации совсем немного, более-менее можно было бы отметить доклад mikewest.org/2013/09/frontend-security-frontendconf-2013 от Mike West из компании Google, но какой-то «непентестерский» взгляд и уж совсем мало материала. И www.slideshare.net/eoftedal/web-application-security-in-front-end где тема раскрыта более детально, но выступление 2011 года. А за 4 года технологии и атаки на месте не стояли.

Долго и сложно выбирая темы, что же все-таки рассказать разработчикам фронтендов про безопасность, при этом минимум касаясь бекэнда (местами все-таки это неделимо), получился доклад, а здесь — его текстовый пересказ.

О чем вообще разговор?

А действительно, о чем тут вообще можно разговаривать? Говоря про взломы и безопасность невольно приходят в голову тезисы — слили базу, получили доступ к выполнению команд ОС на сервере, прочитали чужую переписку. Но это все — server side код. А что ж может «нагородить» фронтэндер? Главная опасность, конечно же, в обходе атакующим SOP — Same Origin Policy, главной политики безопасности браузеров, которая регулирует работу в разных Origin. Но не только, давайте разбираться.

В своей статье о фильтрации списков на Knockout я упоминал, что читал доклад о MVVM и KnockoutJS на .NET Saturday в Днепропетровске.

Совсем недавно подоспело видео и я спешу им поделиться. Хочу заранее немного оправдаться — поначалу я немного тараторил, но потом вошёл в ритм и вроде как всё было достойно.

Сам доклад разделён на 2 части:

1. рассказ о MVVM с разбором практического примера, как сей паттерн может облегчить жизнь при разработке UI
2. написание простенького приложения на Knockout в live-режиме. Эта часть доклада всем понравилась больше чем первая, но за несколько моих «затупов» я до сих пор краснею :-)

Посмотреть видео доклада

PS 1: слайды можно скачать тут: bit.ly/qX61m2
PS 2: если вдруг кому нужны исходники демо-проекта — я выложу. Но их как минимум причесать надо

OLS (Ostrovok Lecture Series) — это лекции со звездами мировой веб-индустрии. У нас в офисе уже побывали Эстер Дайсон, Тимур Артемьев, Джо Катлер и по скайпу выступил основатель скайпа Никлас Зеннстром.

Вчера в рамках OLS к нам в офис приходили прикольные ребята из Y Combinator, Virool и DST: Харж Таггар (Harj Taggar), Гарри Тэн (Garry Tan), Александр Дебелов и Феликс Шпильман. Они приезжали в Россию на Всероссийский Инновационный Конвент 2011, но мы-то знаем, что им любопытно, что тут в России интересного происходит в IT. И правда ли, что собор Василия Блаженного является гигантским окаменелым пряником.

Мы показали наш офис и попросили ребят рассказать о том, как вышло, что они занимаются инвестициями на ранней стадии, что делали раньше и как собираются развиваться. Затем все заинтересованные сотрудники Островка общались с ними, задавали вопросы, спрашивали мнение о своих идеях и идеях своих знакомых.


Фото снято на айпад, извините.
Слева направо: Харж Таггар (Harj Taggar), Александр Дебелов, Гарри Тэн (Garry Tan), Евгений Курышев, Сергей Фаге