GrayWall-strategia
Frontendin suojaaminen penetraatiotestaajilta ja käänteismekaniikalta, opit todellisesta kiristysohjelmahyökkäyksestä
Lähde: YouTube, Frontend Finland 2025. Puhe pidetty englanniksi.
Puheesta
Frontend Finland 2025 -tapahtumassa pidetty puhe esittelee Zak Allalin GrayWall-strategian: puolustavan arkkitehtuurin frontend-sovelluksille, joka rakentuu olettamukselle että selain on vihamielistä maaperää. Kaikki mikä lähetetään selaimelle voidaan tarkastella, muokata ja aseistaa hyökkääjien toimesta.
Sen sijaan että luotettaisiin asiakaspuolen hämärtämiseen, strategia siirtää arkaluonteisen logiikan, datan muotoilun ja liiketoimintasäännöt palvelinpuolen muurin taakse, jättäen selaimelle juuri sen verran toiminnallisuutta kuin renderöintiin ja vuorovaikutukseen tarvitaan.
Mitä puhe käsittelee
Asiakaspuolen näkyvyyden minimointi
Pääperiaate: kohtele jokaista tavua selaimessa vihollisen luettavissa olevana. Liiketoimintalogiikka ja tietomallit kuuluvat palvelimelle, ei JavaScript-bundleihin.
Go, Cap'n Proto, SSR, gRPC ja WebSocketit
Zak käy läpi käyttämänsä konkreettisen pinon: Go palvelinpuolella, Cap'n Proto nopeaan binääriserialisointiin, palvelinpuolen renderöinti ja gRPC + WebSocketit tiukkaan, skeeman valvomaan tiedonsiirtoon.
Todellinen kiristysohjelmahyökkäys
Puhe perustaa arkkitehtuurin todelliseen tapaukseen, kiristysohjelmahyökkäykseen, ja näyttää miten yli-altistettu frontend-pinta-ala muuttui hyökkäyspoluksi.