Seguridad en Navegadores
Upcoming SlideShare
Loading in...5
×
 

Seguridad en Navegadores

on

  • 10,545 views

Presentación de comparativa de seguridad en navegadores de Internet.

Presentación de comparativa de seguridad en navegadores de Internet.

Statistics

Views

Total Views
10,545
Views on SlideShare
7,936
Embed Views
2,609

Actions

Likes
3
Downloads
125
Comments
0

20 Embeds 2,609

http://www.elladodelmal.com 1855
http://elladodelmal.blogspot.com 348
http://www.javipas.com 280
http://fcaballeroinfor.blogspot.com 30
http://www.slideshare.net 28
http://practicasblogeer1smr.blogspot.com 19
http://practicasblogeer1smr.blogspot.com.es 18
http://navegadoresactual.blogspot.com 7
http://192.168.1.13 4
http://static.slidesharecdn.com 4
http://www.blogger.com 3
http://translate.googleusercontent.com 2
http://www.educlic.net 2
http://webcache.googleusercontent.com 2
http://www.elladodelmal.blogspot.com 2
http://www.e-presentations.us 1
https://gtfomy.biz 1
http://www.google.es 1
http://127.0.0.1:8795 1
resource://brief-content 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Seguridad en Navegadores Seguridad en Navegadores Presentation Transcript

  • Seguridad en Navegadores
    Chema Alonso
    MS MVP Enterprise Security
    chema@informatica64.com
  • Code
    Windows Code
    Library Code
    Application Code
    Arquitectura: Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization
    DEP
    ASLR
    Stack
    Locals
    LoadLibrary()
    Return Address
    Parameters
    Previous Frames
  • Arquitectura: MIC & UIPI
    MandatoryIntegrity Control (MIC).
    Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.
    Niveles de Integridad: Bajo, Medo, Alto y de Sistema
    Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad
    A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso
    UserInterfacerPrivilegeIsolation (UIPI)
    Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.
    Virtual Store:
    Acceso a carpetas y claves del registro virtualizadas en perfil de usuario
  • DEMo
  • Extensiones, administración y configuración (I)
    Todos los navegadores, excepto Safari permiten el uso de extensiones.
    Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados.
    Solo IE8 y Firefox* permiten configuración por GPO’s
    Firefox con software adicional en AD y en cliente
  • Extensiones, administración y configuración (II)
    Sólo IE8 permite controlar componentes por sitio y usuario.
  • Administrador de complementos en IE8
  • Extensiones, administración y configuración (III)
  • Control de cookies y sesiones
    IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting.
    Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking
    Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.
  • Ingeniería Social
  • Ingeniería Social: Resalto del dominio
    Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL.
    Internet Explorer
    Google Chrome
  • Nombre de dominioresaltado
  • Alertas sobre certificados
    Todos los navegadores muestran alertas sobre certificados en los siguientes casos:
    Certificado generado para otro dominio
    Certificado caducado
    Certificado emitido por una CA desconocida
  • Certificados con validación extendida
    Todos los navegadores realizan un resalto de los certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.
  • Almacén de certificados
    Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de MozillaFirefox, Opera Browser o Apple Safari.
  • Programa PADRE
  • Protección ante phishing y malware (I)
    • Todos los navegadores incorporan un sistema de protección contra malware.
    • Los tiempos de respuesta de Opera respecto a los demás está muy distante.
  • Protección ante phishing y malware (II)
    Detección de malware por cada uno de los navegadores
  • Protección ante phishing y malware (III)
  • Firefox y el Malware
    http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf
  • Gestión de información de navegación
  • Configuración de Javascript
    Todos los navegadores permiten deshabilitar Javascript.
    Chrome y Safari no permiten una configuración avanzada de opciones Javascript.
    Solo IE8 y Google Chrome permiten hacer listas.
  • Vulnerabilidades
  • Número de vulnerabilidades
    Internet Explorer 8 [12 meses]
    Marzo 2009
    Chrome 2, 3 y 4 [10 meses]
    Mayo 2009
    Firefox >= 3.5 [ 9 meses]
    Julio 2009
    Opera >=9.6 [14 meses]
    Enero 2009
    Apple Safari 4.0 [9 meses]
    Julio de 2009
  • Número de vulnerabilidades totales
  • Número de vulnerabilidades por mes
  • Vulnerabilidades por criticidad
  • Cuota de Mercado
  • Corrección de vulnerabilidades
  • ¿Preguntas?
    Chema Alonso
    Microsoft MVP
    Enterprise Security
    chema@informatica64.com
    http://twitter.com/chemaalonso
    http://elladodelmal.blogspot.com
    Informática64
    i64@informatica64.com
    http://www.informatica64.com
    http://twitter.com/informatica64