宣布蓝帽v11：我们为用户而战！

似乎蓝帽v10刚刚结束，但蓝帽v11已不足一个月。我们的日程已准备就绪，横幅已打印完成，现在正是详细介绍即将到来内容的绝佳时机。

如您所知，蓝帽是一个仅限受邀者参加的会议，安全专家在此与微软自身安全团队和核心产品组交流。我作为微软外部人员参加了v10，但从内部看到它的筹备更令人欣慰。成为将这些人聚集在一起的引擎的一部分，帮助我们开发更安全的产品，与安全社区建立更牢固的关系，并让我们的开发团队获得一些宝贵的阳光时刻，真是令人惊叹。

蓝帽v11将于11月3日和4日在微软雷德蒙德园区举行，今年我们的重点是一个在过去十二个月中大幅扩展的领域，不仅对微软如此：Web应用和云。我们还将探讨当前威胁形势，听取来自国防和企业反间谍领域世界级专家关于坚定对手真实攻击的故事。随着罪犯和对手改进攻击手段，我们再次汇集一些最敏锐的安全头脑，帮助我们加强防御，作为社区共同为用户而战。

以下是两天内演讲者的快速概述。会议和日程的完整详细信息可在蓝帽网站上找到。

第一天：11月3日星期四 – 蓝帽v11

我们将以微软的Andrew Cushman开始蓝帽v11的第一天，他将简短介绍多年来与蓝帽的经验。然后将与FBI的Shawn Henry进行独家对话。Context CEO Mark Raeburn将分享他作为道德黑客和实际漏洞第一响应者的经验，提供关于当前和演变威胁的见解。上午会议将以微软首席安全项目经理Mark Oram结束，并有一个特别环节讨论微软为用户而战的举措。

下午专题将专注于Web应用安全。前蓝帽演讲者Jeremiah Grossman将概述Web应用安全的当前状态，并提供一些网站漏洞的统计数据。然后Mario Heiderich将介绍关于跨站脚本攻击和缓解措施的最新讨论，特别是在HTML5实现中。最后，我们将以Joe McCray关于Web应用防火墙、其缺点以及设计不做出安全假设的安全Web应用的重要性的演讲结束。

第二天：11月4日星期五 – 蓝帽v11

第二天将以微软云服务总监David Treadwell开始，他从自己的视角概述云安全。微软的Rich Lundeen、Jesse Ou和Travis Rhoades将提供关于新（和不那么新）Web应用攻击的信息性演讲，这些攻击如果后端系统基于云也可被利用。前微软员工Jared Pfost将分享一些关于安全价值的见解。随着公司推动云的便捷性和普及性，理解涉及财务数据安全的安全影响以及确保公司将安全资源投资于最佳位置所需的努力至关重要。微软的John Walton将以一种创新的思维方式结束这一专题，探讨云安全。John的演讲放弃了“第一次就做对”的态度，转而探索和解决实施问题，假设您的系统已被破坏 – 您已经易受攻击。这次演讲将挑战您思考下一步该做什么。

蓝帽雷德蒙德v.11的最终专题将调查微软产品和服务的有时令人惊讶的部署背景，并介绍一些用户可能被入侵的有趣方式。英国MWR研究员Alex Plaskett将分享他和团队在Windows Phone平台上进行的研究，以及它如何与其他移动平台安全模型比较，同时更仔细地查看OEM软件引入的漏洞类型。IOActive的Matias Brutti将提供关于平台、应用和应用商店之间交互的数据 – 这安全三要素使移动设备和用户可能面临风险。Moxie Marlinspike将以他对SSL和证书颁发机构系统的见解以及可能帮助创建更强大模型的身份验证和授权系统的潜在方向结束蓝帽。

干杯， Noelle Murata 安全项目经理，MSRC