Kursfeedback

[NiklasAurora]

En issue för att notera kursfeedback på ett och samma ställe.

Kmom01

• Baka in mer etik i kommande kursmoment, eventuellt ta bort uppgiften helt?

Kmom02

• Dela upp grupperna mer
• Överlag kul uppgift, givande för vissa och ögonöppnande för andra
• Lyft in att göra utdrag på ens uppgifter ifrån Google
• Andra frågor som ger mer diskussion
• Varje person eller grupp kan vara en part (t.ex. företag, hackare, användare)

Kmom03

• Genomgång om hur man kan skriva rapporten (30min kanske, visa tabeller, sannolikhet*allvarlighet)
• Tydligare struktur på rapport och vad som förväntas, exempel från första gången kursen går?
  • Sätt en gräns på hur många saker som behöver hittas/noteras? 5+?

Hot X: Beskrivning av hotet
Allvarlighetsgrad: låg->hög
Sårbarhetsklassificering: vilken kategori den tillhör
Prioritet: 1-antalet man väljer att lista

• https://github.com/swisskyrepo/PayloadsAllTheThings
• 403 - Permission denied om man använder Docker i en VM tillsammans med shared folders(?)
• Uppdatera kupong så den ger 20% rabatt

Kmom04

• Notera att man behöver bygga om sin Docker när man lagt till ett npm-paket
• Förtydliga att hash+salt ska användas, inte crypto
• Bryt ut timeout till ett eget krav och förtydliga
• Kräva att studenten gör egen lösenordsmätare?

Kmom05

• Eventuellt hitta bättre videomaterial, kanske producera eget med en annan applikation
• Synkning mellan devops, kanske går att bygga vidare på det?
• Seminarium där man går igenom vad man hittat? Eller lämna det till kmom06?

Kmom06

• Länka till material kring testning, di/db

Kmom10

• Svårare sårbarheter att hitta?
• Färre sårbarheter?
• Tydliggör om både OAuth och "vanligt" inlogg ska finnas i applikationen
• Använder man Docker bör loggfilerna läggas utanför Docker-containern, rimligen med hjälp av volumes.

Generell Feedback

• Röd tråd genom kursen uppskattad, jobba vidare på den
• Något bättre framförhållning på uppgifter (bör vara löst inför andra gången kursen går)
• Mycket skrivuppgifter, bra att fortsätta att öva inför exjobb?
  • Vissa säger ja, andra säger nej. Mindre skrivande än LP1 och många uppskattar de ställen där man får koda/meka.
• Mall, mall, mall??? På alla kursmoment

Egna tankar

• OWASP kmom03 och flytta resten ett steg uppåt? På så sätt kan man kräva OWASP i sårbarhetsanalysen och spendera OWASP-kursmomentet med uppgifter kring OWASP istället.
• Lägga till ett Node-alternativ på kmom03/05/06 och ett PHP-alternativ på 04
  • Dock givande att tvingas in i PHP och Node, även om testning i Anax kan vara lite böckigt
• Uppdatera så det finns fler extrakrav under kursens gång och att de väger in i slutbetyget, då går det även lyfta bort delar från projektet.
• Lägg till loggning som en del av kursen?
• Gå igenom prioritering i sårbarhetsanalysen (Konsekvens * sannolikheten = risk)
• Krav av loggning, då genomgång av Morgan sker i jsramverk

Feedback av studenter

• Docker behövs inte i kursen (återstår att se, kanske blir bättre med de som läst unix)
• Mer/tydligare koppling mellan föreläsningar och uppgifter
• Mer koll kring webbservern (Apache, Node)

[NiklasAurora]

Kursmoment 1 - Orientering

• Uppgiften saknar relevans relaterat till resterande del av kursen

Kursmoment 2 - Privacy

• Givande uppgift
• Uppskattad av många studenter

• Andra frågor som kan lyfta mer diskussion
• Varje person eller grupp kan spela en part (företag, hackare, användare etc) (finns med i materialet)

Kursmoment 3 - Sårbarhetsanalys

• Givande uppgift, som helhet (03&06)

• Material saknas kring hur rapporten ska skrivas
  • Genomgång på ca 30min där man går igenom hur strukturen kan se ut, tabeller, sannolikhet*allvarlighet
  • Visa attackträd, hur man kan tänka kring dem
• Eventuella problem med Docker

• Sätt en gräns på hur många sårbarheter som behöver hittas
• Praktiska exempel på hur man kan ta sönder en applikation

Kursmoment 4 - Skydda Data

• Förtydliga att hash+salt ska användas, inte crypto
• Bryt ut timeout till eget krav och förtydliga
• Krav att studenten ska göra egen mätare för stryk*an på lösenord
• Material kring att implementera OAuth (och sen lägg in det som krav?)

Kursmoment 5 - OWASP

• Flytta innan sårbarhetsanalysen och lägg in OWASP krav direkt i 03

• Mikael bör ha material som går att bygga vidare på här

Kursmoment 6 - Sårbarhetsanalys del 2

• Material kring testning saknas (di,db)

Kursmoment 10 - Projekt

• Lite för många sårbarheter
• Det skulle behövas "mildare" sårbarheter

• Ska vanligt inlogg vara kvar om man implementerar OAuth
• Om Docker fortsätter vara ett krav så ska loggning läggas utanför Docker-containern
• Lägg krav på loggning, då jsramverk har genomgång av det

Generellt

• Röd tråd uppskattad, utveckla vidare

• Mallar saknas för samtliga inlämningar
• En tydligare koppling mellan föreläsningar och uppgifter

• Mycket skrivuppgifter på gott och ont, kanske går att flytta över någon av kursmomentet till mer praktiska uppgifter.
• CV-databas? npm-audit och liknande verktyg, security tjänsten på Github

Förslag på ändringar (nik)

• OWASP flyttas innan sårbarhetsanalysen, eventuellt slås ihop med den
• Node alternativ för sårbarhetsanalysen? Är bra att ha båda språken. Om studenten väljer JS i 03/06 så måste de använda PHP i projektet (och tvärt om)
• Extrauppgifter under kursens gång som väger in i betyget för att lyfta bort från projektet
• Konfigurera webbserver/certifikat i kursen (går om studenterna får tillgång till en domän ifrån skolan) (kan ske i samband med föreläsning kring kryptering (04))