Distribuerede systemer, CBS, 28. september 2015

Transcript

1. Sikkerhed Distribuerede systemer på CBS, september 2015 DS-bogen, kapitel 4,

   9 og 11

2. speakerdeck.com/kaspertidemann Mine slides til undervisningen ligger på Speaker Deck.

3. Hvad er de typiske spørgsmål til eksamen? Det kan fx

   være at forklare hvad DNS går ud på.

4. Hvad er et distribueret system?

5. Når to eller flere computere opfører sig som én.

6. Flere forskellige versioner af sandheden, der alle konvergerer mod den

   samme sandhed.

7. Vi talte om netværk. Det er netværk, der binder træerne

   sammen.

8. Klienter og servere. Den mest udbredte model for hvordan to

   enheder taler med hinanden.

9. En server kan både være et stykke metal og et

   program, der kører på en computer.

10. A B

11. Et distribueret system er altid forsinket. Det er det, der

    definerer det.

12. Synkron eller asynkron kommunikation. To vigtige begreber indenfor udvikling og

    distribuerede systemer.

13. Upload et billede Afsender Modtager Billedbehandling Tilbagemelding Tagging af venner

    Gem ændringer Gem i database Tilbagemelding

14. Upload et billede Afsender Modtager Billedbehandling Tilbagemelding Tagging af venner

    Gem ændringer Gem i database Tilbagemelding

15. Blocking. Man taler om at en operating er “blocking”, når

    den skaber ventetid.

16. Non-blocking. Man taler om at en operating er “non-blocking”, når

    den ikke skaber ventetid.

17. Promises. Det at man giver et løfte i sin kode,

    der senere kan blive indfriet - eller ikke.
18. None
19. None

20. Callbacks. Det at man giver en funktion en anden funktion

    som parameter.
21. None

22. Et hurtigt UI. For brugeren giver brugen af promises ofte

    en oplevelse af hastighed.

23. Hvorfor så ikke altid udvikle asynkront? Fordi man i nogle

    tilfælde er tvunget til at vente på ressourcer.

24. var user = { firstname: ‘Kasper’, lastname: ‘Tidemann’, id: 60

    };
25. None

26. Man kan ikke altid tildele primærnøgler på klienten. Desværre -

    for det er hulens smart når man kan.

27. var user = { firstname: ‘Kasper’, lastname: ‘Tidemann’, id: 60

    };

28. Beskeder. Bogen taler ofte om at det går ud på

    at sende beskeder til hinanden.

29. Vi talte om protokoller. Og protokoller var som opskrifter på

    noget mad, som man kan lave.

30. Hyper-Text Transfer Protocol. Den som I bruger, når I besøger

    hjemmesider og så videre.

31. 200 OK. Det er den besked, som en webserver sender

    til en klient når alt er okay.

32. 404 Not Found. Den kender I når I går ind

    på en adresse, som ikke kan findes.

33. Serveren findes ofte, men ressourcen gør ikke. Et godt eksempel

    er twitter.
34. None
35. None
36. None
37. None

38. RFC 2616 indeholder en liste over statuskoderne. Apropos vores snak

    om RFC’er og protokoller til sidste forelæsning.
39. None

40. Beskeder i et distribueret system skal forstås generelt. At enheder

    sender beskeder til hinanden er generelt - og implementationsafhængigt.

41. Web services. En ofte optrædende del i et distribueret system.

42. Er der nogen, der ved hvad en web service er?

    Kom med et bud!

43. A software system designed to support interoperable machine-to-machine interaction over

    a network.

44. W3C kom så med en uddybning af den definition. W3C

    er kongerne af Internettet.

45. A web service has an interface described in a machine-processable

    format (WSDL). Other systems interact with the web service in a manner prescribed by its description using SOAP messages, typically conveyed using HTTP with an XML serialization.

46. Definitionen nævner et par interessante ting. … selvom den i

    sig selv er lidt støvet.

47. WSDL. Web Service Definition Language.

48. <?xml version="1.0"?> <definitions name="StockQuote" targetNamespace="http://example.com/stockquote.wsdl" [..]> <types> <schema targetNamespace="http://example.com/stockquote.xsd" [..]>

    <element name="TradePrice"> <complexType> <all> <element name="price" type="float"/> </all> </complexType> </element> </schema> </types> <message name="GetLastTradePriceInput"> <part name="body" element="xsd1:TradePriceRequest"/> </message> [..]

49. Man taler om at “udstille en service”. På den måde

    kan andre forstå hvad servicen tilbyder.

50. XML. Extensible Markup Language.

51. Udvekslingsformater. Vi så det i twitter-eksemplet fra tidligere.

52. JSON. JavaScript Object Notation.

53. { school: ‘CBS’, course: ‘Distribuerede systemer’, year: 2015, lecturer: ‘Kasper

    Tidemann’ }
54. None
55. None

56. En web service vækkes til live og sender noget retur.

    En lidt mere jordnær definition.

57. Serialization. Man taler om at serialisere data.

58. None

59. Pause.

60. Sikkerhed. Titlen på dagens forelæsning.

61. Hvad forstår I ved sikkerhed? Hvornår er noget sikkert? Kom

    med et par bud.

62. Det handler om at begrænse adgang til information. Det er

    den grundlæggende idé i sikkerhed.

63. Et politisk emne. På mange punkter er der meget politik

    i sikkerhed.

64. En bogholder til debitorer og kreditorer. Den samme bogholder må

    ikke både bogføre og overføre beløb.

65. Lækage. Når informationer bliver lækket.

66. None

67. Forfalskning. Typisk af dokumenter, PDF’er og så videre.

68. Aflytning. Der opsnappes informationer, der bruges i videre færd.

69. Maskering. At man digitalt såvel som i offentligheden udgiver sig

    for at være en anden end man er.

70. Denial of Service. Tæppebombning af servere med henblik på at

    lægge dem ned.

71. Kompromittering. Når noget bliver brudt igennem.

72. Exploits. Kodestumper, der udnytter svagheder i servere.

73. None

74. Hvad er den hyppigste årsag til sikkerhedsbrister? Prøv at gætte.

75. Social engineering. Som Kevin Mitnick arbejdede med tilbage i 80’erne

    og frem.

76. Forvent altid det værste indenfor sikkerhed. … eller manglen på

    samme.

77. Threat detection. Analyser af logfiler og statistik.

78. Hvordan opdager man at man er under angreb? Når man

    har en server stående.

79. Logfiler. De ligger på en server og fortæller om hvad

    der sker.
80. None

81. Authentication. Det kender I fra facebook, når I logger ind

    og poster noget sjovt.

82. Token-baseret eller via login. OAuth eller simpel password-matching.

83. Hashing. For at undgå passwords i cleartext.

84. None

85. “Kasper Tidemann” a67dcb5947af81ee23577fe09c1a864722dca8d5a25879bd2c782e1910c30d6a

86. None

87. Et digest laver et hash ud af en stykke tekst.

    Det bruges til at bekræfte et stykke tekst, fx et password.

88. Sikkerhed på ressourceniveau. Det skal vi tale om.

89. Skriverettigheder og læserettigheder. Man taler om at have det ene,

    det andet eller begge til ressourcer.

90. ACL. Access Control List.

91. (Henrik: read, write; Kasper: read)

92. None

93. SELECT 1 FROM users WHERE id = <bruger-id> AND EXISTS(

    SELECT 1 FROM group_members WHERE group_members.user_id = users.id AND group_members.group_id = <gruppe-id> ) AS has_access;

94. Kryptering. Det er essentielt indenfor sikkerhed - og et helt

    emne for sig.

95. Hvad betyder det at noget er krypteret? Jeg er en

    rigtig Spørge-Jørgen i den her forelæsning.

96. Encryption is the process of encoding messages or information in

    such a way that only authorized parties can read it.

97. Plaintext til ciphertext. Det er resultatet af at anvende et

    cipher, altså en algoritme, til at kryptere.

98. Block ciphers. Man deler en besked op i dele à

    64 bit og krypterer dem enkeltvis.

99. c = Ek (m) Man krypterer beskeden m med cipheret,

    E, der gives en nøgle, k.

100. ROT-13. Et simpelt cipher til udskiftning af bogstaver i en

     streng.
101. None

102. Offentlige og private nøgler. Takket være Diffie og Hellman har

     vi offentlige og private nøgler i kryptering.

103. Digitale signaturer. Kryptografisk signering ved hjælp af private og offentlige

     nøgler.

104. Certifikater. I kender dem fra netbanken. De beviser ejerskab over

     en offentlig nøgle.

105. Maybe we haven't discovered intelligent life elsewhere in the Universe,

     says Snowden, because their communications encryption is indistinguishable from cosmic background radiation. http://kottke.org/15/09/edward-snowdens-fermi-paradox-solution

106. Firewalls. Vi havde jo om porte sidst - og firewalls

     sørger for at åbne eller lukke dem.
107. None

108. Mitigation og nulrouting af trafik. En måde at beskytte sig,

     når en firewall ellers ville blive væltet.

109. Opsummering. For god ordens skyld.

110. Tak for i dag! For spørgsmål, skriv til mig på

     [email protected].