Подтемы
60 вопросов
-
middle theory Объясните, как работает refresh token rotation и зачем он нужен. Какие механизмы используются для его реализации? Приведите пример кода на любом языке.
-
middle theory Какие меры безопасности следует принимать при использовании JWT? Опишите, как защитить приложение от атак, связанных с утечкой токенов или повторным использова…
-
middle theory Какие trade-offs возникают при выборе между JWT и session-based аутентификацией? В каких сценариях предпочтительнее использовать JWT, а в каких — сессии?
-
middle theory Объясните ключевые различия между OAuth2 и OpenID Connect (OIDC), а также в каких сценариях каждый из них предпочтительнее использовать. Приведите примеры испо…
-
middle theory Объясните, в чем разница между Implicit Flow и Authorization Code Flow в OAuth2. В каких случаях каждый из них предпочтительнее и почему?
-
middle theory Объясните, как работают refresh tokens в OAuth2. Какие меры безопасности нужно принимать при их использовании? Приведите пример сценария, где refresh token кри…
-
middle theory Из чего состоит JWT? Чем отличается JWS от JWE? Зачем нужна подпись и почему нельзя «доверять» нагрузке без её проверки?
-
middle theory Зачем нужна пара access + refresh токенов? Почему access короткий, а refresh длинный, и как сделать ротацию refresh правильно?
-
senior theory Какие OAuth2 flow существуют, какой выбрать для SPA / mobile / server-side веб / server-to-server, и чем OIDC отличается от OAuth2?
-
senior theory Что такое PKCE и какую конкретно атаку он предотвращает? Достаточно ли в 2026 использовать только client_secret вместо PKCE?
-
middle theory Чем CSRF отличается от XSS? Какие защиты от каждой и почему «использовать JWT вместо cookie» — не всегда правильное решение CSRF?
-
senior theory Какой алгоритм хеширования паролей выбрать в 2026: bcrypt, scrypt, Argon2id? Что такое cost-фактор и как его подбирают?
-
middle theory Зачем нужна соль (salt) в хешировании паролей? Чем salt отличается от pepper, и нужен ли pepper на практике?
-
middle theory Какие виды 2FA существуют, чем TOTP отличается от WebAuthn/Passkeys, и почему SMS-2FA сейчас не рекомендуют?
-
middle theory Sessions (server-side state) vs JWT (stateless) — когда что выбрать? Какие типичные ошибки в реализации session-based auth?
-
middle theory Чем RBAC отличается от ABAC, какие limitations у RBAC и когда переходить на ABAC? Приведи пример того что в RBAC выразить сложно/нельзя.
-
middle theory Объясните, чем отличаются подходы к хранению сессий на основе cookies и JWT. В каких сценариях вы бы предпочли один из них и почему?
-
middle theory Как вы бы защитили приложение от атак CSRF при использовании сессий? Опишите механизмы и их реализацию.
-
middle theory Как вы бы спроектировали систему управления сессиями для масштабируемого веб-приложения? Какие компоненты и технологии вы бы использовали?
-
middle theory Как бы вы реализовали ABAC в системе, где доступ зависит от атрибутов пользователя (например, роль, отдел, уровень доступа) и атрибутов ресурса (например, тип …
-
middle theory Представьте, что вы проектируете систему управления доступом для компании с 1000+ сотрудников и 10000+ ресурсов. В какой ситуации вы бы выбрали RBAC, а в какой…
-
middle theory Какие технические сложности возникают при масштабировании ABAC? Как бы вы решили проблему производительности при оценке политик с тысячами атрибутов и миллиона…
-
middle theory Объясните, как правильно реализовать защиту от CSRF в веб-приложении, используя токены и атрибуты `SameSite`. Почему простое использование `SameSite=Strict` мо…
-
middle theory Какие методы защиты от XSS вы бы применили в веб-приложении с динамическим рендерингом контента (например, на React)? Почему полное использование `textContent`…
-
middle theory Почему защита от CSRF с помощью `HttpOnly` и `Secure` флагов cookie не является достаточной? Приведите пример сценария, где это может привести к уязвимости, и …
-
middle theory Какие меры безопасности следует принимать при хранении хешированных паролей в базе данных, если произошла их утечка? Какой алгоритм хеширования лучше всего под…
-
middle theory Какие преимущества и недостатки у использования PBKDF2 по сравнению с bcrypt, scrypt или Argon2id при хешировании паролей? В каких сценариях PBKDF2 всё ещё мож…
-
middle theory Какие последствия могут быть, если хеши паролей хранятся без соли? Приведите пример, как злоумышленник может воспользоваться этим для атаки на систему. Как сол…
-
middle theory Опиши процесс реализации MFA в веб-приложении. Какие компоненты и протоколы ты бы использовал, и как обеспечить безопасность хранения и передачи данных?
-
middle theory Какие trade-offs существуют между использованием TOTP и WebAuthn в MFA? В каких сценариях использования один из методов предпочтительнее?
-
middle theory Как система должна обрабатывать ошибки при использовании 2FA (например, неверный код, истекший срок, блокировка аккаунта)? Какие угрозы и пользовательские сцен…
-
senior theory JWT — stateless, и это его главная слабость для revocation. Сравни 3 стратегии отзыва (blacklist, short-TTL + refresh, jti tracking), их latency/storage cost, …
-
senior theory Спроектируй JWK rotation без downtime. Что в JWKS endpoint, как клиенты кэшируют, какой grace period для старых ключей, как rotation выглядит в k8s/Vault?
-
senior theory Что такое refresh token rotation + reuse detection? Покажи схему таблицы, алгоритм обнаружения reuse, и как обрабатывать race condition с двумя параллельными r…
-
senior theory Сравни CSP nonce vs hash для inline scripts. Что такое strict-dynamic? Покажи пример CSP политики и расскажи про Trusted Types API — как он защищает от DOM XSS.
-
senior theory Подробно расскажи про cookie security attributes: HttpOnly, Secure, SameSite (Lax/Strict/None), `__Host-` / `__Secure-` prefixes. Покажи production-grade cooki…
-
senior theory Что такое Open Policy Agent (OPA) и язык Rego? Покажи пример политики для ABAC (multi-tenant с атрибутами user.role, resource.owner_id, action), как deploy в k…
-
senior theory В multi-tenant SaaS у тебя слои разрешений: tenant-policy, role-policy, resource-ACL, explicit user grants/denies. Как комбинировать (deny-overrides vs allow-o…
-
senior theory Что такое session fixation и как от неё защищаться? Покажи правильный flow login с ротацией session id, и polный список cookie attrs для session cookie на prod…
-
middle theory DEPRECATED: Access Control Cheatsheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Authentication Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Authorization Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Authorization Testing Automation Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Choosing and Using Security Questions Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Clickjacking Defense Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Content Security Policy Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Credential Stuffing Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Cross-Site Request Forgery Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Cross Site Scripting Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory DOM based XSS Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Forgot Password Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Insecure Direct Object Reference Prevention Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory JSON Web Token Cheat Sheet for Java. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Multifactor Authentication Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory OAuth 2.0 Protocol Cheatsheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Password Storage Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory SAML Security Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Session Management Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory Transaction Authorization Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).
-
middle theory XSS Filter Evasion Cheat Sheet. Опишите основные риски и рекомендуемые меры защиты (по OWASP Cheat Sheet Series).