Philippe de Ryck esteve no Porto para partilhar dicas importantes sobre segurança em aplicações, mais especificamente para a framework Angular. Integrada na Semana Start & Scale, a masterclass “Secure Your Code”, levou cerca de 70 pessoas ao Palácio da Bolsa para perceber de que forma poderiam tornar as suas aplicações mais seguras.
Durante a sessão que procurava elucidar os participantes sobre os perigos e ameaças existentes à segurança das suas aplicações Angular, Philippe abordou questões como as ameaças baseadas em scripts, as defesas concretas que o software oferece para prevenir ou minimizar esses ataques e ainda como a mudança de paradigma do lado do servidor versus lado consumidor afeta a segurança.
A adesão massiva à masterclass provou que questões relacionadas com segurança web estão no topo das principais preocupações das startups e scalups. No entanto apesar desta consciencialização, Philippe De Ryck destacou a importância de um trabalho contínuo,
“Estar consciente é o primeiro passo, mas a gestão de riscos de segurança nas aplicações desenvolvidas é um processo a longo-prazo, e é por este motivo que se torna difícil. Especialmente numa fase inicial, com cem outras coisas para fazer, negligenciar a segurança acaba por ser tentador. É por esse motivo que aconselho sempre a terem a segurança como umas das principais preocupações desde os estágios iniciais e que esta acompanhe a evolução do produto. Parece um esforço enorme no início, mas acabará por se traduzir numa vantagem competitiva no final”.
Em relação ao tipo de ameaças que podem afetar as applicações Angular, Philippe destaca,
“Os tradicionais ataques de “script injection” são automaticamente identificados e eliminados pelo Angular. Infelizmente, com a utilização de frameworks JavaScript temos agora de lidar com uma nova classe de ataques, chamados de “script gadgets”. Nestes ataques o código introduzido é de facto um texto inofensivo, até ser detetado por uma framework, que o torna em código executável. Estes ataques acontecem quando se combinam as frameworks do lado do cliente com a renderização da página do lado do servidor ou quando se combinam vários frameworks do lado do cliente juntos. A melhor defesa é evitar misturar diferentes paradigmas juntos. Alternativamente, também podemos aproveitar o modo de compilação Ahead-of-Time da Angular para pré-compilar os modelos e evitar que o código Angular Injetado maliciosamente seja executado no lado do cliente.”
Mas comparativamente com outros softwares, as aplicações Angular oferecem mais-valias no que toca a segurança. A sua arquitetura inclui várias funcionalidades de segurança inerentes. Para aumentar a segurança, Philippe deixou uma dica aos participantes:
“O maior passo a tomar para aumentar a segurança das aplicações é abordar o frontend como uma aplicação avançada e complexa, em vez de apenas algum HTML e JavaScript. As aplicações web modernas requerem uma arquitetura muito bem pensada, usando compartimentação de partes sensíveis e isolando componentes não confiáveis. Tecnologias como “HTML5 sandboxes” e “Content Security Policy (CSP)” podem fazer a diferença na redução do impacto de possiveis ataques.”
Se o conteúdo partilhado na Masterclass impressionou positivamente os participantes, o ecossistema empreendedor e social do Porto teve o mesmo efeito em Philippe De Ryck:
“O Porto é um local maravilhoso. Como não gostar da cidade, com a história, sol, paisagem proporcionada pelo rio e uma vibrante vida social? Posso dizer que o Porto já entrou na minha curta lista de potenciais destinos de viagens. Agora que fiz parte desta Semana Start & Scale, devo dizer que estou bastante impressionado com a quantidade de conhecimento e paixão que se aliaram e conquistaram tantas coisas incríveis.”
Sobre o convidado:
Philippe De Ryck é um orador profissional e formador em segurança de software e na web. Desde que tirou o doutoramento no grupo de pesquisa imec-DistriNet (KU Leuven, Bélgica), gere o programa de formação em segurança na Web do grupo, com a missão de garantir uma transferência sustentável do conhecimento e experiência do grupo para os profissionais.