Безопасность
Security capstone: тест на свободное воспроизведение
Воспроизведение бьёт перечитывание. На каждый промпт реконструируй полный ответ по памяти, прежде чем открыть модельный — и заметь, что каждый заставляет связать два или более юнита трека, потому что именно там ломаются реальные системы.
Реконструируй хребет трека, не подглядывая: defense in depth, AuthN против AuthZ, как композируются контроли токена, почему быстрые хеши проигрывают, почему ротация (а не удаление) завершает утечку секрета и почему твои зависимости — это твоя поверхность атаки.
- 01Сформулируй центральный тезис всего трека security своими словами на одном конкретном межслойном примере.
- 02Объясни разницу между OIDC ID token и OAuth access token и валидацию, которую API обязан выполнить, прежде чем доверять любому из них.
- 03Пройди шов JWT-в-localStorage: почему идеально сформированный токен всё равно крадут и как выглядит композиция контролей.
- 04Утечка сдампила таблицу users. Объясни, почему выбор хранения, сделанный годы назад, решает, насколько плох понедельник.
- 05Почему ротация утёкшего секрета — единственный реальный фикс и как это связано с least privilege и радиусом поражения по всему треку?
- 06Твой код приложения безупречен. Объясни, почему тебя всё равно могут полностью скомпрометировать, и защиты, которые это адресуют.
Если ты реконструировал каждый ответ по памяти — ты держишь хребет трека: defense in depth предполагает отказ каждого контроля, поэтому брешь живёт в шве — AuthN доказывает «кто», AuthZ решает, к чему можно прикоснуться (A01). Токены композируются: валидируй access token (подпись, закреплённый alg, iss/aud/exp), держи его подальше от localStorage и меняй кражу через XSS на CSRF, закрытый SameSite плюс токеном. Паролям нужен медленный, солёный, memory-hard KDF, потому что офлайн-перебор GPU-быстрый. Утёкший секрет завершается только ротацией, никогда удалением. А твои зависимости — настоящая поверхность атаки: scope, pin, lock и проверяй provenance. Моделируй угрозы всего потока; least privilege ограничивает радиус поражения при отказе слоя.