seguridad en navegadores
DESCRIPTION
Presentación de comparativa de seguridad en navegadores de Internet.TRANSCRIPT
![Page 1: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/1.jpg)
Seguridad en NavegadoresChema AlonsoMS MVP Enterprise [email protected]
![Page 2: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/2.jpg)
Stack
Return Address
Locals
Arquitectura: Protección de la Memoria Data Execution Protection
Address Space Layout Randomization DEP
Previous Frames
Parameters
Code
Application Code
Library Code
Windows Code
LoadLibrary()
ASLR
![Page 3: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/3.jpg)
Arquitectura: MIC & UIPI• Mandatory Integrity Control (MIC).
– Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.
– Niveles de Integridad: Bajo, Medo, Alto y de Sistema
– Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad
– A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso
• User Interfacer Privilege Isolation (UIPI)– Bloquea el acceso mediante mensajes de
procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.
• Virtual Store: – Acceso a carpetas y claves del registro
virtualizadas en perfil de usuario
![Page 4: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/4.jpg)
DEMO
![Page 5: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/5.jpg)
![Page 6: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/6.jpg)
Extensiones, administración y configuración (I)• Todos los navegadores, excepto
Safari permiten el uso de extensiones.
• Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados.
• Solo IE8 y Firefox* permiten configuración por GPO’s– Firefox con software adicional en AD y en
cliente
![Page 7: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/7.jpg)
Extensiones, administración y configuración (II)
• Sólo IE8 permite controlar componentes por sitio y usuario.
![Page 8: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/8.jpg)
Administrador de complementos en IE8
![Page 9: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/9.jpg)
Extensiones, administración y configuración (III)
![Page 10: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/10.jpg)
Control de cookies y sesiones
• IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting.
• Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking
• Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross Domain Request’.
![Page 11: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/11.jpg)
![Page 12: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/12.jpg)
Ingeniería Social
![Page 13: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/13.jpg)
Ingeniería Social: Resalto del dominio
• Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL.
Google Chrome
Internet Explorer
![Page 14: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/14.jpg)
Nombre de dominio resaltado
![Page 15: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/15.jpg)
Alertas sobre certificados
Todos los navegadores muestran alertas sobre certificados en los siguientes casos:
– Certificado generado para otro dominio
– Certificado caducado– Certificado emitido por una
CA desconocida
![Page 16: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/16.jpg)
Certificados con validación extendidaTodos los navegadores realizan un resalto de los
certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.
![Page 17: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/17.jpg)
Almacén de certificadosEntidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de Mozilla Firefox, Opera Browser o Apple Safari.
![Page 18: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/18.jpg)
Programa PADRE
![Page 19: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/19.jpg)
Protección ante phishing y malware (I)• Todos los navegadores incorporan un sistema de protección contra malware.• Los tiempos de respuesta de Opera respecto a los demás está muy distante.
![Page 20: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/20.jpg)
Protección ante phishing y malware (II)
• Detección de malware por cada uno de los navegadores
![Page 21: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/21.jpg)
Protección ante phishing y malware (III)
![Page 22: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/22.jpg)
Firefox y el Malware
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf
![Page 23: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/23.jpg)
Gestión de información de navegación
![Page 24: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/24.jpg)
Configuración de Javascript• Todos los navegadores permiten
deshabilitar Javascript.• Chrome y Safari no permiten una
configuración avanzada de opciones Javascript.
• Solo IE8 y Google Chrome permiten hacer listas.
![Page 25: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/25.jpg)
Vulnerabilidades
![Page 26: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/26.jpg)
Número de vulnerabilidades
• Internet Explorer 8 [12 meses]– Marzo 2009
• Chrome 2, 3 y 4 [10 meses]– Mayo 2009
• Firefox >= 3.5 [ 9 meses]– Julio 2009
• Opera >=9.6 [14 meses]– Enero 2009
• Apple Safari 4.0 [9 meses]– Julio de 2009
![Page 27: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/27.jpg)
Número de vulnerabilidades totales
Vulnerabilities0
10
20
30
40
50
60
44
25
57
11
33
ChromeIEFirefoxOperaSafari
![Page 28: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/28.jpg)
Número de vulnerabilidades por mes
Opera Firefox Chrome Internet Explorer
Safari0.00
1.00
2.00
3.00
4.00
5.00
6.00
7.00
0.79
6.33
4.40
2.08
3.67Series1
![Page 29: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/29.jpg)
Vulnerabilidades por criticidad
Extremely Highly Moderately Less Critical Not Critical0
10
20
30
40
50
60
0
37
3 3 17
14
2 0 20
56
0 0 103
8
0 00
31
0 1 1
ChromeIEFirefoxOperaSafari
![Page 30: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/30.jpg)
Cuota de Mercado
Internet Explorer
Chrome Firefox Opera Safari Others0
10
20
30
40
50
60
7060.65
6.13
24.52
2.37 4.651.68
![Page 31: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/31.jpg)
Corrección de vulnerabilidades
Chrome IE Firefox Opera Safari0
10
20
30
40
50
60
32
21
57
5
31
44
24
57
11
33
Fixed Total
![Page 32: Seguridad en Navegadores](https://reader035.vdocuments.us/reader035/viewer/2022070318/557ae015d8b42a590b8b4d37/html5/thumbnails/32.jpg)
¿Preguntas?
Chema AlonsoMicrosoft MVPEnterprise [email protected]://twitter.com/chemaalonsohttp://elladodelmal.blogspot.comInformá[email protected] http://www.informatica64.comhttp://twitter.com/informatica64