150 likes | 267 Views
Seguridad y Privacidad. ¿ Vulnerabilidades ? ¿ Dónde ?. Servidor Web y Aplicaciones. Ing . Social y Privacidad. Navegador. Navegación segura. Navegador. Servidor Web y Aplicaciones. Ing . Social y Privacidad. -. -. Navegador. Security Development Lifecycle (SDL)
E N D
¿Vulnerabilidades? ¿Dónde? Servidor Web y Aplicaciones Ing. Social y Privacidad Navegador
Navegaciónsegura Navegador Servidor Web y Aplicaciones Ing. Social y Privacidad - -
Navegador • Security Development Lifecycle (SDL) Metodología de desarrollo de software que ayuda a reducir el número de vulnerabilidades de forma sistemática. The Security Development Lifecycle Michael Howard and Steve Lipner Microsoft Press http://www.microsoft.com/learning/en/us/book.aspx?ID=8753
Navegador • Modo Protegido Ejecución del navegador en modo restringido (lowIntegrityLevel), reduciendo de esta forma la superficie de ataque. Mecanismos de seguridad necesarios: • UserAccount Control (UAC) • IntegrityLevels • User Interface PrivilegeIsolation (UIPI) Disponible en: • Windows Vista • Windows 7 • Windows Server 2008 • Windows Server 2008 R2 Minimizó impacto de MS08-78 en Windows Vista
Navegador • Seguridadmejorada en ControlesActiveX • ActiveX Killbits (IE5) Entrada en el registro (CompatibilityFlags del CLSID) que impide la ejecución de un objeto o control marcado como no seguro cuando alojado en el navegador. • Opt-In (IE7) Mecanismo que reduce el número de controles disponible para los sitios web y que permite al usuario decidir que controles quiere habilitar.
Navegador • Seguridadmejorada en ControlesActiveX • Per Site (IE8) Bloqueo de los controles para que solo se puedan lanzar desde los sites para los que se diseñaron. • Per User(IE8) Permite la instalación de ActiveX solo para el usuario, sin necesidad de permisos de administración o elevación de permisos. Se puede deshabilitar mediante política.
Navegador • Data Execution Prevention (DEP) Evita la ejecución de código en paginas de memoria de datos, marcadas como no ejecutables. • Habilitado por defecto en IE8 • Deshabilitado por defecto en IE7 por temas de compatibilidad de algunos Add-Ons
Servidor Web y Aplicaciones • Cookies HTTPOnly • Políticas de grupo • XDomainRequests – Cross Domain Requests • XDM – Cross Domain Messaging • Filtro XSS – Cross Site Scripting • Protección contra ClickJacking
Ing. Social y Privacidad • Certificados SSL con Extended Validation (EV) Estándar de certificados que aparte del canal de comunicación seguro, proporciona información adicional y verificación de la identidad del propietario de un sitio web.
Ing. Social y Privacidad • FiltroSmartScreen – Bloqueo de Phishing y Malware Mecanismo de seguridad que protege a los usuarios ante ataques de phishing o descarga y ejecución de malware. • Clasificación de sites basada en reputación de URLs • Evaluación de reputación de URLs basada en heurísticas y telemetría • Servicio de reputación de URLs de la plataforma Live
Ing. Social y Privacidad • Destaque del nombre de dominio Hacemás visible el nombre del dominio, ayudando al usuario a estarseguro del sitio web donde se estáconectando
Ing. Social y Privacidad • Borrado de históricomejorado • Mayor granularidad en el borrado de datos de navegación • Borrado selectivo de entradas del histórico • Posibilidad de mantener la información de los sitios favoritos
Ing. Social y Privacidad • Navegación y FiltradoInPrivate • Navegación InPrivate Permite navegar de forma segura sin almacenar información localmente en el PC (por ejemplo: ficheros temporales, histórico, acceso a cookies persistentes). • Filtrado InPrivate Permite controlar la información asociada a la navegación que se envía a terceros, posibilitando el bloqueo de contenidos de los mismos.