Подтемы
49 вопросов
-
middle theory Объясните, как работает refresh token rotation и зачем он нужен. Какие механизмы используются для его реализации? Приведите пример кода на любом языке.
-
middle theory Какие меры безопасности следует принимать при использовании JWT? Опишите, как защитить приложение от атак, связанных с утечкой токенов или повторным использова…
-
middle theory Какие trade-offs возникают при выборе между JWT и session-based аутентификацией? В каких сценариях предпочтительнее использовать JWT, а в каких — сессии?
-
middle theory Объясните ключевые различия между OAuth2 и OpenID Connect (OIDC), а также в каких сценариях каждый из них предпочтительнее использовать. Приведите примеры испо…
-
middle theory Объясните, в чем разница между Implicit Flow и Authorization Code Flow в OAuth2. В каких случаях каждый из них предпочтительнее и почему?
-
middle theory Объясните, как работают refresh tokens в OAuth2. Какие меры безопасности нужно принимать при их использовании? Приведите пример сценария, где refresh token кри…
-
middle theory Из чего состоит JWT? Чем отличается JWS от JWE? Зачем нужна подпись и почему нельзя «доверять» нагрузке без её проверки?
-
middle theory Зачем нужна пара access + refresh токенов? Почему access короткий, а refresh длинный, и как сделать ротацию refresh правильно?
-
middle theory Чем CSRF отличается от XSS? Какие защиты от каждой и почему «использовать JWT вместо cookie» — не всегда правильное решение CSRF?
-
middle theory Зачем нужна соль (salt) в хешировании паролей? Чем salt отличается от pepper, и нужен ли pepper на практике?
-
middle theory Какие виды 2FA существуют, чем TOTP отличается от WebAuthn/Passkeys, и почему SMS-2FA сейчас не рекомендуют?
-
middle theory Sessions (server-side state) vs JWT (stateless) — когда что выбрать? Какие типичные ошибки в реализации session-based auth?
-
middle theory Чем RBAC отличается от ABAC, какие limitations у RBAC и когда переходить на ABAC? Приведи пример того что в RBAC выразить сложно/нельзя.
-
middle theory Объясните, чем отличаются подходы к хранению сессий на основе cookies и JWT. В каких сценариях вы бы предпочли один из них и почему?
-
middle theory Как вы бы защитили приложение от атак CSRF при использовании сессий? Опишите механизмы и их реализацию.
-
middle theory Как вы бы спроектировали систему управления сессиями для масштабируемого веб-приложения? Какие компоненты и технологии вы бы использовали?
-
middle theory Как бы вы реализовали ABAC в системе, где доступ зависит от атрибутов пользователя (например, роль, отдел, уровень доступа) и атрибутов ресурса (например, тип …
-
middle theory Представьте, что вы проектируете систему управления доступом для компании с 1000+ сотрудников и 10000+ ресурсов. В какой ситуации вы бы выбрали RBAC, а в какой…
-
middle theory Какие технические сложности возникают при масштабировании ABAC? Как бы вы решили проблему производительности при оценке политик с тысячами атрибутов и миллиона…
-
middle theory Объясните, как правильно реализовать защиту от CSRF в веб-приложении, используя токены и атрибуты `SameSite`. Почему простое использование `SameSite=Strict` мо…
-
middle theory Какие методы защиты от XSS вы бы применили в веб-приложении с динамическим рендерингом контента (например, на React)? Почему полное использование `textContent`…
-
middle theory Почему защита от CSRF с помощью `HttpOnly` и `Secure` флагов cookie не является достаточной? Приведите пример сценария, где это может привести к уязвимости, и …
-
middle theory Какие меры безопасности следует принимать при хранении хешированных паролей в базе данных, если произошла их утечка? Какой алгоритм хеширования лучше всего под…
-
middle theory Какие преимущества и недостатки у использования PBKDF2 по сравнению с bcrypt, scrypt или Argon2id при хешировании паролей? В каких сценариях PBKDF2 всё ещё мож…
-
middle theory Какие последствия могут быть, если хеши паролей хранятся без соли? Приведите пример, как злоумышленник может воспользоваться этим для атаки на систему. Как сол…
-
middle theory Опиши процесс реализации MFA в веб-приложении. Какие компоненты и протоколы ты бы использовал, и как обеспечить безопасность хранения и передачи данных?
-
middle theory Какие trade-offs существуют между использованием TOTP и WebAuthn в MFA? В каких сценариях использования один из методов предпочтительнее?
-
middle theory Как система должна обрабатывать ошибки при использовании 2FA (например, неверный код, истекший срок, блокировка аккаунта)? Какие угрозы и пользовательские сцен…
-
middle theory DEPRECATED: Access Control Cheatsheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Authentication Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Authorization Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Authorization Testing Automation Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Choosing and Using Security Questions Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Clickjacking Defense Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Content Security Policy Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Credential Stuffing Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Cross-Site Request Forgery Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Cross Site Scripting Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory DOM based XSS Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Forgot Password Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Insecure Direct Object Reference Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory JSON Web Token Cheat Sheet for Java. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Multifactor Authentication Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory OAuth 2.0 Protocol Cheatsheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Password Storage Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory SAML Security Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Session Management Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Transaction Authorization Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory XSS Filter Evasion Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).