SlideShare une entreprise Scribd logo

Gestión seguridad de la navegación por internet

Télécharger en tant que PPTX, PDF
Eventos Creativos
Eventos Creativos

Este documento resume las características de seguridad de varios navegadores web populares como Internet Explorer, Firefox, Chrome, Opera y Safari. Cubre temas como protección de memoria, administración de extensiones, control de cookies, detección de phishing y malware, y vulnerabilidades reportadas para cada navegador.

Technologie
1  sur  32
Seguridad en Navegadores Chema Alonso MS MVP Enterprise Security chema@informatica64.com
Code Windows Code Library Code Application Code Arquitectura: Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization DEP ASLR Stack Locals LoadLibrary() Return Address Parameters Previous Frames
Arquitectura: MIC & UIPI MandatoryIntegrity Control (MIC). Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo. Niveles de Integridad: Bajo, Medo, Alto y de Sistema Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso UserInterfacerPrivilegeIsolation (UIPI) Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior. Virtual Store: Acceso a carpetas y claves del registro virtualizadas en perfil de usuario
DEMo
Extensiones, administración y configuración (I) Todos los navegadores, excepto Safari permiten el uso de extensiones. Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados. Solo IE8 y Firefox* permiten configuración por GPO’s Firefox con software adicional en AD y en cliente
Extensiones, administración y configuración (II) Sólo IE8 permite controlar componentes por sitio y usuario.
Administrador de complementos en IE8
Extensiones, administración y configuración (III)
Control de cookies y sesiones IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting. Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.
Ingeniería Social
Ingeniería Social: Resalto del dominio Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL. Internet Explorer Google Chrome
Nombre de dominioresaltado
Alertas sobre certificados Todos los navegadores muestran alertas sobre certificados en los siguientes casos: Certificado generado para otro dominio Certificado caducado Certificado emitido por una CA desconocida
Certificados con validación extendida Todos los navegadores realizan un resalto de los certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.
Almacén de certificados Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de MozillaFirefox, Opera Browser o Apple Safari.
Programa PADRE
Protección ante phishing y malware (I) ,[object Object]
Los tiempos de respuesta de Opera respecto a los demás está muy distante.,[object Object]
Protección ante phishing y malware (III)
Firefox y el Malware http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf
Gestión de información de navegación
Configuración de Javascript Todos los navegadores permiten deshabilitar Javascript. Chrome y Safari no permiten una configuración avanzada de opciones Javascript. Solo IE8 y Google Chrome permiten hacer listas.
Vulnerabilidades
Número de vulnerabilidades Internet Explorer 8 [12 meses] Marzo 2009 Chrome 2, 3 y 4 [10 meses] Mayo 2009 Firefox >= 3.5 [ 9 meses] Julio 2009 Opera >=9.6 [14 meses] Enero 2009 Apple Safari 4.0 [9 meses] Julio de 2009
Número de vulnerabilidades totales
Número de vulnerabilidades por mes
Vulnerabilidades por criticidad
Cuota de Mercado
Corrección de vulnerabilidades
¿Preguntas? Chema Alonso Microsoft MVP Enterprise Security chema@informatica64.com http://twitter.com/chemaalonso http://elladodelmal.blogspot.com Informática64 i64@informatica64.com http://www.informatica64.com http://twitter.com/informatica64

Recommandé

Frenando el malware
Frenando el malwareFrenando el malware
Frenando el malware
Eventos Creativos
 
El e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEl e-dni como herramienta de seguridad
El e-dni como herramienta de seguridad
Eventos Creativos
 
Seguridad en Navegadores
Seguridad en NavegadoresSeguridad en Navegadores
Seguridad en Navegadores
Chema Alonso
 
as
asas
as
Jesus Celestino
 
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...
Internet Security Auditors
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malware
David Thomas
 
Consejos para mantener el equipo seguro
Consejos para mantener el equipo seguroConsejos para mantener el equipo seguro
Consejos para mantener el equipo seguro
absisa
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
acksec
 

Recommandé

Frenando el malware
Frenando el malwareFrenando el malware
Frenando el malware
Eventos Creativos
 
El e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEl e-dni como herramienta de seguridad
El e-dni como herramienta de seguridad
Eventos Creativos
 
Seguridad en Navegadores
Seguridad en NavegadoresSeguridad en Navegadores
Seguridad en Navegadores
Chema Alonso
 
as
asas
as
Jesus Celestino
 
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...
Internet Security Auditors
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malware
David Thomas
 
Consejos para mantener el equipo seguro
Consejos para mantener el equipo seguroConsejos para mantener el equipo seguro
Consejos para mantener el equipo seguro
absisa
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
acksec
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
Jesús Moreno León
 
Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAnálisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas web
Aldo Lazo
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
seguridadelinux
 
Grupo Nº1: Internet Explorer
Grupo Nº1: Internet ExplorerGrupo Nº1: Internet Explorer
Grupo Nº1: Internet Explorer
Emiliano Estudios Empresariales
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
Juan Quiroga
 
Malware en linux
Malware en linuxMalware en linux
Malware en linux
Tensor
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Francisco Medina
 
Pent box security
Pent box securityPent box security
Pent box security
Tensor
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
Tensor
 
Actividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLActividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQL
Francisco Medina
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Francisco Medina
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
Georgy Jose Sanchez
 
Power point
Power pointPower point
Power point
yessica tatiana gil martinez
 
Proteccion android
Proteccion androidProteccion android
Proteccion android
Carlos Francisco Ojeda Ureña
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Francisco Medina
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
Juan Anaya
 
Caratula copiaddd
Caratula copiadddCaratula copiaddd
Caratula copiaddd
Jesus Umaña
 
Antivirus y características.
Antivirus y características.Antivirus y características.
Antivirus y características.
Gonzalo Vázquez Soliz
 
Antivirus y características
Antivirus y característicasAntivirus y características
Antivirus y características
Gonzalo Vázquez Soliz
 
Antivirus
AntivirusAntivirus
Antivirus
Gonzalo Vázquez Soliz
 
El Malware de hoy en día, pero a día de hoy
El Malware de hoy en día, pero a día de hoyEl Malware de hoy en día, pero a día de hoy
El Malware de hoy en día, pero a día de hoy
Eventos Creativos
 
Protege tus backups: Ten un plan B
Protege tus backups: Ten un plan BProtege tus backups: Ten un plan B
Protege tus backups: Ten un plan B
Eventos Creativos
 

Contenu connexe

Tendances

Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
Juan Quiroga
 

Tendances (20)

Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAnálisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas web
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Grupo Nº1: Internet Explorer
Grupo Nº1: Internet ExplorerGrupo Nº1: Internet Explorer
Grupo Nº1: Internet Explorer
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Malware en linux
Malware en linuxMalware en linux
Malware en linux
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
 
Pent box security
Pent box securityPent box security
Pent box security
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
 
Actividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLActividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQL
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
 
Power point
Power pointPower point
Power point
 
Proteccion android
Proteccion androidProteccion android
Proteccion android
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
 
Caratula copiaddd
Caratula copiadddCaratula copiaddd
Caratula copiaddd
 
Antivirus y características.
Antivirus y características.Antivirus y características.
Antivirus y características.
 
Antivirus y características
Antivirus y característicasAntivirus y características
Antivirus y características
 
Antivirus
AntivirusAntivirus
Antivirus
 

En vedette

En vedette (9)

El Malware de hoy en día, pero a día de hoy
El Malware de hoy en día, pero a día de hoyEl Malware de hoy en día, pero a día de hoy
El Malware de hoy en día, pero a día de hoy
 
Protege tus backups: Ten un plan B
Protege tus backups: Ten un plan BProtege tus backups: Ten un plan B
Protege tus backups: Ten un plan B
 
¿Son seguras las soluciones en la nube?
¿Son seguras las soluciones en la nube?¿Son seguras las soluciones en la nube?
¿Son seguras las soluciones en la nube?
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalware
 
MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0
 
Windows Server 2008 R2 Brand Cache
Windows Server 2008 R2 Brand CacheWindows Server 2008 R2 Brand Cache
Windows Server 2008 R2 Brand Cache
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en Magento
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
 

Similaire à Gestión seguridad de la navegación por internet

Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformatica
hmitre17
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
lalunabrilla
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
lalunabrilla
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
lalunabrilla
 
Cuestionario de concepto de seguridad
Cuestionario de concepto de seguridadCuestionario de concepto de seguridad
Cuestionario de concepto de seguridad
raul115
 
1. introduccioìn a la seguridad
1. introduccioìn a la seguridad1. introduccioìn a la seguridad
1. introduccioìn a la seguridad
1 2d
 
Fortificación de MS SharePon
Fortificación de MS SharePonFortificación de MS SharePon
Fortificación de MS SharePon
Chema Alonso
 

Similaire à Gestión seguridad de la navegación por internet (20)

Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
 
Respuestas
RespuestasRespuestas
Respuestas
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Pdf2
Pdf2Pdf2
Pdf2
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformatica
 
virtual pc
virtual pcvirtual pc
virtual pc
 
Mc afee
Mc afeeMc afee
Mc afee
 
Framework .NET 3.5 11 Seguridad
Framework .NET 3.5 11 SeguridadFramework .NET 3.5 11 Seguridad
Framework .NET 3.5 11 Seguridad
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidores
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKS
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
 
Cuestionario de concepto de seguridad
Cuestionario de concepto de seguridadCuestionario de concepto de seguridad
Cuestionario de concepto de seguridad
 
1. introduccioìn a la seguridad
1. introduccioìn a la seguridad1. introduccioìn a la seguridad
1. introduccioìn a la seguridad
 
Portátiles A Prueba De Robos
Portátiles A Prueba De RobosPortátiles A Prueba De Robos
Portátiles A Prueba De Robos
 
Portátiles a Prueba de Robos
Portátiles a Prueba de RobosPortátiles a Prueba de Robos
Portátiles a Prueba de Robos
 
Fortificación de MS SharePon
Fortificación de MS SharePonFortificación de MS SharePon
Fortificación de MS SharePon
 

Plus de Eventos Creativos

Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
 

Plus de Eventos Creativos (20)

La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y Microsoft
 
Windows server 2012 para it
Windows server 2012 para itWindows server 2012 para it
Windows server 2012 para it
 
Pentesting con metasploit framework
Pentesting con metasploit frameworkPentesting con metasploit framework
Pentesting con metasploit framework
 
Malware en android
Malware en androidMalware en android
Malware en android
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdm
 
Atacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetAtacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnet
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil Foca
 
Windows 8
Windows 8Windows 8
Windows 8
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
 
Análisis forense de dispositivos ios
Análisis forense de dispositivos iosAnálisis forense de dispositivos ios
Análisis forense de dispositivos ios
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en ios
 
Jailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoJailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivo
 
I os en el entorno corporativo
I os en el entorno corporativoI os en el entorno corporativo
I os en el entorno corporativo
 
Análisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcAnálisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etc
 
Lo que las apps esconden
Lo que las apps escondenLo que las apps esconden
Lo que las apps esconden
 
Firma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesFirma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móviles
 
Nfc en móviles
Nfc en móvilesNfc en móviles
Nfc en móviles
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móviles
 

Dernier

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 

Dernier (15)

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 

Gestión seguridad de la navegación por internet

  • 1. Seguridad en Navegadores Chema Alonso MS MVP Enterprise Security chema@informatica64.com
  • 2. Code Windows Code Library Code Application Code Arquitectura: Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization DEP ASLR Stack Locals LoadLibrary() Return Address Parameters Previous Frames
  • 3. Arquitectura: MIC & UIPI MandatoryIntegrity Control (MIC). Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo. Niveles de Integridad: Bajo, Medo, Alto y de Sistema Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso UserInterfacerPrivilegeIsolation (UIPI) Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior. Virtual Store: Acceso a carpetas y claves del registro virtualizadas en perfil de usuario
  • 5.
  • 6. Extensiones, administración y configuración (I) Todos los navegadores, excepto Safari permiten el uso de extensiones. Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados. Solo IE8 y Firefox* permiten configuración por GPO’s Firefox con software adicional en AD y en cliente
  • 7. Extensiones, administración y configuración (II) Sólo IE8 permite controlar componentes por sitio y usuario.
  • 9. Extensiones, administración y configuración (III)
  • 10. Control de cookies y sesiones IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting. Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.
  • 11.
  • 13. Ingeniería Social: Resalto del dominio Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL. Internet Explorer Google Chrome
  • 15. Alertas sobre certificados Todos los navegadores muestran alertas sobre certificados en los siguientes casos: Certificado generado para otro dominio Certificado caducado Certificado emitido por una CA desconocida
  • 16. Certificados con validación extendida Todos los navegadores realizan un resalto de los certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.
  • 17. Almacén de certificados Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de MozillaFirefox, Opera Browser o Apple Safari.
  • 19.
  • 20.
  • 21. Protección ante phishing y malware (III)
  • 22. Firefox y el Malware http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf
  • 23. Gestión de información de navegación
  • 24. Configuración de Javascript Todos los navegadores permiten deshabilitar Javascript. Chrome y Safari no permiten una configuración avanzada de opciones Javascript. Solo IE8 y Google Chrome permiten hacer listas.
  • 26. Número de vulnerabilidades Internet Explorer 8 [12 meses] Marzo 2009 Chrome 2, 3 y 4 [10 meses] Mayo 2009 Firefox >= 3.5 [ 9 meses] Julio 2009 Opera >=9.6 [14 meses] Enero 2009 Apple Safari 4.0 [9 meses] Julio de 2009
  • 32. ¿Preguntas? Chema Alonso Microsoft MVP Enterprise Security chema@informatica64.com http://twitter.com/chemaalonso http://elladodelmal.blogspot.com Informática64 i64@informatica64.com http://www.informatica64.com http://twitter.com/informatica64