Fiks autorisering med SpiceDB

Broken Access Control har toppet OWASP Top 10 siden 2021, og det er ikke vanskelig å forstå hvorfor. Autoriseringslogikk spredt utover kontrollere, mellomvare og databasespørringer er nesten umulig å revidere, teste eller resonnere rundt. Én glemt sjekk, én feil antakelse om brukerkontekst, og du har en privilegie-eskalerings-sårbarhet i produksjon. Rotårsaken er ikke late utviklere – det er en fundamentalt ødelagt tilnærming. Når hvert endepunkt implementerer sine egne tilgangsbeslutninger, er inkonsistens uunngåelig.

I dette foredraget starter vi med å se på hvorfor autorisering er en så vanlig kilde til sikkerhetssårbarheter, og hva som skiller det fra autentisering. Vi skal undersøke virkelige eksempler på broken access control og mønstrene som fører til dem.

Derfra blir vi kjent med SpiceDB – en open source, Zanzibar-inspirert autoriseringsdatabase – og utforsker hvordan eksternalisering av tillatelser som data direkte adresserer OWASPs største risiko.

Du vil lære kjernekonseptene: skjemaer, relasjoner og tillatelsessjekker.

Vi avslutter med en live demo der vi bygger en fungerende autoriseringsmodell fra bunnen av og spør mot den fra en applikasjon. Du vil se nøyaktig hva som skal til for å gå fra spredte if-setninger til sentralisert, reviderbar og testbar tilgangskontroll.

Møtet er i Nøstegaten 58

Foredragsholdere:
Øyvind Rana