Линч-пакет: Игорь Бондаренко “Безопасность мобильных приложений”

Продолжаем разбирать доклады с SQA Days 17 в жестком стиле, но с согласия докладчика :). Сегодня у нас в пакете доклад Игоря Бондаренко "Безопасность мобильных приложений. Что тестировать?" 

Снова мне попался доклад с темой, где я обладаю довольно поверхностными знаниями, поэтому глубоко о сути высказываться не буду, субъективно - докладчик произвел весьма компетентное впечатление, поэтому я уверен в точности переданной информации.

В принципе эмоции от доклада были очень положительные, поэтому начну в этот раз с хороших моментов.
Доклад был короткий (15 мин), был хорошо структурирован и бодро рассказан. Тайминг был соблюден идеально. Примеры были, в основном, понятные. Слайды - читаемые.

Серьёзных огрехов, честно говоря, вообще замечено не было, но так как формат линча предполагает критику - будем докапываться к мелочам :). Замеченные ошибки без градации - все не очень серьёзные.

  • Перемешаны английские и русские термины в слайдах

Я понимаю, тема безопасности в принципе тяготеет к английским словам, у нас в Германии - тоже. Но мне кажется более правильным не скакать с русского написание на английское и обратно. Мне кажется предпочтительным вариант, когда пытаются дать русские понятия - они наверное более понятны непосвященному слушателю, а в скобках указывают английский оригинал. Альтернативно - почти все слайды на английском.

  • Содержание-оформление были отдельные места, достойные улучшения

Начнем с того, что нумерация на слайдах не совпадает с фактической (первый и последний слайды обложки без номера). И вот теперь мне сложнее ориентироваться в линче :). Хорошо, буду брать то число, что написано на слайде.

Слайд 1 - 2: Первый все на английском, второй все на русском, что создает диссонанс. Рассказано про 4 проблемы из 10, можно было упомянуть, что по частоте это были 2, 3, 5 и 9-ая из проблем списка OWASP.

Слайд 13: ранее говорилось про авторизацию и аутентификацию, последняя потерялась в пути (на слайде). Пример был интересен, но не до конца продуман - в начале примера подчеркивалось, что мобильные приложение любят работать в том числе в оффлайновом режиме, затем пример явно исходил из того, что запросы посылают в режиме онлайн.

Слайд 14: оговорка, поменявшая смысл - сказал "запретить автономную работу", вместо "анонимную" (на слайде правильно). Сильно ускорился, неожиданно пропустив пол-слайда. Вангую, что в этот момент модератор показал табличку со временем (которого было достаточно) :)

Слайд 17: Тут блесну своими знаниями темы (хоть что-то всё-таки знаю о безопасности:)). Безусловно под длиной сессии имеется ввиду длина тайм-аута (время без активности). Посмотрел бы я на рекомендацию выкидывать пользователя каждые 15 минут при активной работе :). Это сказано не было, и могло запутать новичков.
Update: вспомнил историю, требую исправления совета :)

Слайд 18 и ответы: Во-первых не показалось, что "на самом деле все очень просто" :) Что подтвердил и ответ на вопрос из зала- "кого учить: программистов или тестировщиков". Игорь ответил, что лучше учить тестировщиков, хотя весь ход доклада, казалось бы, говорил об обратном (ошибки при разработке). Ну конечно, что нам, тестировщикам неплохо бы учится для страховки программистов  - это конечно тоже факт :).

Опечаток было очень мало, но 2 или 3 были. Иногда стоило поиграть с фонтом текстов или расположением строк, чтобы смотрелось привлекательнее.

В целом доклад был довольно серьёзным, ну и ладно - безопасность - не тема для шуток! (шучу) Также чувствовалась некоторая нервозность - но опять же, знаю по себе, с любой подготовкой подавить нервозность чрезвычайно сложно, а тут был первый доклад конференции.

Резюме: хороший обзор четырех уязвимостей из списка топ-10 OWASP, который поможет вам, если вы занимаетесь безопасностью мобильных приложений как тестировщик или разработчик.