Długo zastanawiałam się, czy wybrać się na tę edycję wydarzenia. Byłam na poprzedniej edycji (możecie o tym poczytać tutaj) i kwestie organizacyjne trochę mnie zniechęcały. Jednakże podczas rozmowy z organizatorami dowiedziałam się, że sprawy organizacyjne mają się zdecydowanie poprawić w najnowszej edycji. Stwierdziłam więc, że pójdę i sprawdzę na własne oczy.

Na wstępie – rejestracja. Spory plus za rozdzielenie jednej ogromnej kolejki na kilka stanowisk (w zależności od pierwszej litery nazwiska). W najnowszej edycji nikt nie musiał czekać w ogromnej kolejce na zewnątrz. Kolejka oczywiście była, ale o wiele mniejsza i w środku budynku. Minusem było natomiast rozdzielenie rejestracji i konferencji na 2 różne budynki – po zarejestrowaniu się i zostawieniu okrycia w szatni, trzeba było przejść dworem do drugiego budynku. Wiem jednak, że to nie jedyna impreza w tym miejscu, która zastosowała takie rozwiązanie.

Standardowo, brakowało kawy. Był jeden, jedyny, oblegany automat z kawą, który był na terenie Hali Stulecia. Jednakże po wcześniejszej edycji byłam na to przygotowana. To samo odnośnie jedzenia – miałam kanapkę ze sobą, ponieważ na konferencji nie było żadnych przekąsek.

Co do obiadu- wraz ze znajomymi wybraliśmy się do pobliskiej knajpki żeby w zaciszu porozmawiać. Nie skorzystałam więc z pizzy oferowanej przez organizatorów. Była ona serwowana w 4 różnych terminach, więc mam nadzieję, że każdemu udało się załapać na kawałek.

Merytorycznie – nie mam nic do zarzucenia. Skróty z kilku prezentacji, w których uczestniczyłam:

Chris Klug – The whirlwind tour of Authentication and Authorization with ASP.NET Core

Chris jak zwykle pokazał rewelacyjną prezentację. Tym razem skupił się na autentykacji i autoryzacji – m.in. pomocą mediów społecznościowych oraz Azure. Cały kod przedstawiony podczas prezentacji jest dostępny na GitHub autora.

Philippe De Ryck – Common API security pitfalls

Prelegent mówił o tym, czemu HTTPS jest ważne. Rozwinął skrót HSTS (HTTP Strict Transport Security). Pokazał przykłady firm typu Facebook i TMobile, które zostały zhakowane właśnie z powodu błędów w ochronie. Powiedział kilka słów o JWT (JSON Web Tokens) oraz Authorization Bearer. Więcej możecie poczytać na blogu autora, a slajdy z prezentacji dostępne są tutaj.

Stephen Haunts – .NET Data Security: Hope is not a Strategy

Podczas prezentacji skupiliśmy się na 9 ważnych punktach:

1. Liczby losowe – jeśli używasz System.Random, to przestań. To rozwiązanie nie uwzględnia bezpieczeństwa wątków. Lepiej wykorzystać RNGCryptoServiceProvider.
2. Haszowanie – ważne, żeby rozróżnić 1-stronne haszowanie (nie można odhaszować) od 2-stronnego szyfrowania (można odszyfrować). Jeśli używasz algorytmu MD5 z 1991roku, to lepiej zmień go na nowszy i bezpieczniejszy SHA.
3. Haszowanie uwierzytelniania – warto poznać skrót HMAC (keyed-Hash Message Authentication Code)
4. Haszowanie haseł
5. Haszowanie haseł z użyciem Salt – PBKDF2 z wykorzystaniem liczby iteracji (klasa Rfc2898DeriveBytes)
6. Szyfrowanie symetryczne – klucz szyfrujący pozwala szyfrować i deszyfrować dane (np. algorytm AES, DES, TripleDES)
7. Szyfrowanie asymetryczne – odwrotność powyższego, np. algorytm RSA (Rivest–Shamir–Adleman)
8. Podpisy cyfrowe – na podpis składa się Key Generation, Signing Algorithm, Signature Verifier
9. Szyfrowanie hybrydowe – połączenie kryptografii symetrycznej i asymetrycznej

Andrei Gordienkov – How to validate architecture & design principles in code at compile time for .NET Projects

Prelegent z firmy Volvo przedstawił postsharp, czyli framework przydatny do AOP (aspect-oriented programming). Przedstawił takie atrybuty jak InternalImplement, Internal czy NamingConvension. Więcej możecie przeczytać w dokumentacji.

Podsumowanie

Merytorycznie jak zwykle na dobrym poziomie (zagraniczni prelegenci, ciekawe tematy). Organizacyjnie lepiej, niż pół roku temu – ale wciąż wiele można by zmienić. Najważniejsze chyba wyżywienie – przy zakupie biletu za 500 zł (opcja bez żadnych zniżek) kawa, herbata i przekąski to powinna być podstawa. Nawet w wersji promocyjnej, gdy bilet kosztował 100 zł, można by część tej kwoty przeznaczyć na catering.