SlideShare una empresa de Scribd logo

Seguridad en Navegadores

Descargar como PPTX, PDF
Eventos Creativos
Eventos Creativos

Este documento resume las características de seguridad de varios navegadores web populares como Internet Explorer, Firefox, Chrome, Opera y Safari. Cubre temas como protección de memoria, administración de extensiones, control de cookies, detección de phishing y malware, y vulnerabilidades reportadas para cada navegador.

Tecnología
1 de 32
Seguridad en Navegadores Chema Alonso MS MVP Enterprise Security chema@informatica64.com
Code Windows Code Library Code Application Code Arquitectura: Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization DEP ASLR Stack Locals LoadLibrary() Return Address Parameters Previous Frames
Arquitectura: MIC & UIPI MandatoryIntegrity Control (MIC). Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo. Niveles de Integridad: Bajo, Medo, Alto y de Sistema Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso UserInterfacerPrivilegeIsolation (UIPI) Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior. Virtual Store: Acceso a carpetas y claves del registro virtualizadas en perfil de usuario
DEMo
Extensiones, administración y configuración (I) Todos los navegadores, excepto Safari permiten el uso de extensiones. Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados. Solo IE8 y Firefox* permiten configuración por GPO’s Firefox con software adicional en AD y en cliente
Extensiones, administración y configuración (II) Sólo IE8 permite controlar componentes por sitio y usuario.
Administrador de complementos en IE8
Extensiones, administración y configuración (III)
Control de cookies y sesiones IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting. Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.
Ingeniería Social
Ingeniería Social: Resalto del dominio Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL. Internet Explorer Google Chrome
Nombre de dominioresaltado
Alertas sobre certificados Todos los navegadores muestran alertas sobre certificados en los siguientes casos: Certificado generado para otro dominio Certificado caducado Certificado emitido por una CA desconocida
Certificados con validación extendida Todos los navegadores realizan un resalto de los certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.
Almacén de certificados Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de MozillaFirefox, Opera Browser o Apple Safari.
Programa PADRE
Protección ante phishing y malware (I) ,[object Object]
Los tiempos de respuesta de Opera respecto a los demás está muy distante.,[object Object]
Protección ante phishing y malware (III)
Firefox y el Malware http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf
Gestión de información de navegación
Configuración de Javascript Todos los navegadores permiten deshabilitar Javascript. Chrome y Safari no permiten una configuración avanzada de opciones Javascript. Solo IE8 y Google Chrome permiten hacer listas.
Vulnerabilidades
Número de vulnerabilidades Internet Explorer 8 [12 meses] Marzo 2009 Chrome 2, 3 y 4 [10 meses] Mayo 2009 Firefox >= 3.5 [ 9 meses] Julio 2009 Opera >=9.6 [14 meses] Enero 2009 Apple Safari 4.0 [9 meses] Julio de 2009
Número de vulnerabilidades totales
Número de vulnerabilidades por mes
Vulnerabilidades por criticidad
Cuota de Mercado
Corrección de vulnerabilidades
¿Preguntas? Chema Alonso Microsoft MVP Enterprise Security chema@informatica64.com http://twitter.com/chemaalonso http://elladodelmal.blogspot.com Informática64 i64@informatica64.com http://www.informatica64.com http://twitter.com/informatica64

Recomendados

Frenando el malware
Frenando el malwareFrenando el malware
Frenando el malwareEventos Creativos
 
El e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEl e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEventos Creativos
 
Seguridad en Navegadores
Seguridad en NavegadoresSeguridad en Navegadores
Seguridad en NavegadoresChema Alonso
 
as
asas
asJesus Celestino
 
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...Internet Security Auditors
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malwareDavid Thomas
 
Consejos para mantener el equipo seguro
Consejos para mantener el equipo seguroConsejos para mantener el equipo seguro
Consejos para mantener el equipo seguroabsisa
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 

Recomendados

Frenando el malware
Frenando el malwareFrenando el malware
Frenando el malwareEventos Creativos
 
El e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEl e-dni como herramienta de seguridad
El e-dni como herramienta de seguridadEventos Creativos
 
Seguridad en Navegadores
Seguridad en NavegadoresSeguridad en Navegadores
Seguridad en NavegadoresChema Alonso
 
as
asas
asJesus Celestino
 
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...
Inseguridad de los sistemas de autenticacion en aplicaciones web. Conferencia...Internet Security Auditors
 
Lockdroid malware
Lockdroid malwareLockdroid malware
Lockdroid malwareDavid Thomas
 
Consejos para mantener el equipo seguro
Consejos para mantener el equipo seguroConsejos para mantener el equipo seguro
Consejos para mantener el equipo seguroabsisa
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Webacksec
 
Test de intrusion
Test de intrusionTest de intrusion
Test de intrusionJesús Moreno León
 
Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAnálisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAldo Lazo
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Grupo Nº1: Internet Explorer
Grupo Nº1: Internet ExplorerGrupo Nº1: Internet Explorer
Grupo Nº1: Internet ExplorerEmiliano Estudios Empresariales
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJuan Quiroga
 
Malware en linux
Malware en linuxMalware en linux
Malware en linuxTensor
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Francisco Medina
 
Pent box security
Pent box securityPent box security
Pent box securityTensor
 
Subgraphvega
SubgraphvegaSubgraphvega
SubgraphvegaTensor
 
Actividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLActividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLFrancisco Medina
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxFrancisco Medina
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccionGeorgy Jose Sanchez
 
Power point
Power pointPower point
Power pointyessica tatiana gil martinez
 
Proteccion android
Proteccion androidProteccion android
Proteccion androidCarlos Francisco Ojeda Ureña
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusFrancisco Medina
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 
Caratula copiaddd
Caratula copiadddCaratula copiaddd
Caratula copiadddJesus Umaña
 
Antivirus y características.
Antivirus y características.Antivirus y características.
Antivirus y características.Gonzalo Vázquez Soliz
 
Antivirus y características
Antivirus y característicasAntivirus y características
Antivirus y característicasGonzalo Vázquez Soliz
 
Antivirus
AntivirusAntivirus
AntivirusGonzalo Vázquez Soliz
 
El Malware de hoy en día, pero a día de hoy
El Malware de hoy en día, pero a día de hoyEl Malware de hoy en día, pero a día de hoy
El Malware de hoy en día, pero a día de hoyEventos Creativos
 
Protege tus backups: Ten un plan B
Protege tus backups: Ten un plan BProtege tus backups: Ten un plan B
Protege tus backups: Ten un plan BEventos Creativos
 

Más contenido relacionado

La actualidad más candente

Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAnálisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAldo Lazo
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosJuan Quiroga
 
Malware en linux
Malware en linuxMalware en linux
Malware en linuxTensor
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Francisco Medina
 
Pent box security
Pent box securityPent box security
Pent box securityTensor
 
Subgraphvega
SubgraphvegaSubgraphvega
SubgraphvegaTensor
 
Actividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLActividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLFrancisco Medina
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxFrancisco Medina
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusFrancisco Medina
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 

La actualidad más candente (20)

Test de intrusion
Test de intrusionTest de intrusion
Test de intrusion
 
Análisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas webAnálisis de la vulnerabilidad en las paginas web
Análisis de la vulnerabilidad en las paginas web
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Grupo Nº1: Internet Explorer
Grupo Nº1: Internet ExplorerGrupo Nº1: Internet Explorer
Grupo Nº1: Internet Explorer
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Malware en linux
Malware en linuxMalware en linux
Malware en linux
 
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
Actividad No. 1.14: Protección del servidor MySQL mediante filtrado de paquetes
 
Pent box security
Pent box securityPent box security
Pent box security
 
Subgraphvega
SubgraphvegaSubgraphvega
Subgraphvega
 
Actividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQLActividad No. 1.9: Auditoria de contraseñas en MySQL
Actividad No. 1.9: Auditoria de contraseñas en MySQL
 
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali LinuxActividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
Actividad No. 1.10 Análisis de vulnerabilidades con VEGA en Kali Linux
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
 
Power point
Power pointPower point
Power point
 
Proteccion android
Proteccion androidProteccion android
Proteccion android
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
 
Caratula copiaddd
Caratula copiadddCaratula copiaddd
Caratula copiaddd
 
Antivirus y características.
Antivirus y características.Antivirus y características.
Antivirus y características.
 
Antivirus y características
Antivirus y característicasAntivirus y características
Antivirus y características
 
Antivirus
AntivirusAntivirus
Antivirus
 

Destacado

El Malware de hoy en día, pero a día de hoy
El Malware de hoy en día, pero a día de hoyEl Malware de hoy en día, pero a día de hoy
El Malware de hoy en día, pero a día de hoyEventos Creativos
 
Protege tus backups: Ten un plan B
Protege tus backups: Ten un plan BProtege tus backups: Ten un plan B
Protege tus backups: Ten un plan BEventos Creativos
 
¿Son seguras las soluciones en la nube?
¿Son seguras las soluciones en la nube?¿Son seguras las soluciones en la nube?
¿Son seguras las soluciones en la nube?Eventos Creativos
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalwareEventos Creativos
 
MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0Chema Alonso
 
Windows Server 2008 R2 Brand Cache
Windows Server 2008 R2 Brand CacheWindows Server 2008 R2 Brand Cache
Windows Server 2008 R2 Brand CacheChema Alonso
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoChema Alonso
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitChema Alonso
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Chema Alonso
 

Destacado (9)

El Malware de hoy en día, pero a día de hoy
El Malware de hoy en día, pero a día de hoyEl Malware de hoy en día, pero a día de hoy
El Malware de hoy en día, pero a día de hoy
 
Protege tus backups: Ten un plan B
Protege tus backups: Ten un plan BProtege tus backups: Ten un plan B
Protege tus backups: Ten un plan B
 
¿Son seguras las soluciones en la nube?
¿Son seguras las soluciones en la nube?¿Son seguras las soluciones en la nube?
¿Son seguras las soluciones en la nube?
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalware
 
MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0
 
Windows Server 2008 R2 Brand Cache
Windows Server 2008 R2 Brand CacheWindows Server 2008 R2 Brand Cache
Windows Server 2008 R2 Brand Cache
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en Magento
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
 

Similar a Seguridad en Navegadores

Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la EmpresaChema Alonso
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresaguest022763
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 Iteddy666
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformaticahmitre17
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSCore2014
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo delalunabrilla
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo delalunabrilla
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo delalunabrilla
 
Cuestionario de concepto de seguridad
Cuestionario de concepto de seguridadCuestionario de concepto de seguridad
Cuestionario de concepto de seguridadraul115
 
1. introduccioìn a la seguridad
1. introduccioìn a la seguridad1. introduccioìn a la seguridad
1. introduccioìn a la seguridad1 2d
 
Portátiles A Prueba De Robos
Portátiles A Prueba De RobosPortátiles A Prueba De Robos
Portátiles A Prueba De RobosChema Alonso
 
Portátiles a Prueba de Robos
Portátiles a Prueba de RobosPortátiles a Prueba de Robos
Portátiles a Prueba de Robosguest022763
 
Fortificación de MS SharePon
Fortificación de MS SharePonFortificación de MS SharePon
Fortificación de MS SharePonChema Alonso
 

Similar a Seguridad en Navegadores (20)

Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
 
Respuestas
RespuestasRespuestas
Respuestas
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Pdf2
Pdf2Pdf2
Pdf2
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformatica
 
virtual pc
virtual pcvirtual pc
virtual pc
 
Mc afee
Mc afeeMc afee
Mc afee
 
Framework .NET 3.5 11 Seguridad
Framework .NET 3.5 11 SeguridadFramework .NET 3.5 11 Seguridad
Framework .NET 3.5 11 Seguridad
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidores
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKS
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
 
Cuestionario de concepto de seguridad
Cuestionario de concepto de seguridadCuestionario de concepto de seguridad
Cuestionario de concepto de seguridad
 
1. introduccioìn a la seguridad
1. introduccioìn a la seguridad1. introduccioìn a la seguridad
1. introduccioìn a la seguridad
 
Portátiles A Prueba De Robos
Portátiles A Prueba De RobosPortátiles A Prueba De Robos
Portátiles A Prueba De Robos
 
Portátiles a Prueba de Robos
Portátiles a Prueba de RobosPortátiles a Prueba de Robos
Portátiles a Prueba de Robos
 
Fortificación de MS SharePon
Fortificación de MS SharePonFortificación de MS SharePon
Fortificación de MS SharePon
 

Más de Eventos Creativos

La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftEventos Creativos
 
Pentesting con metasploit framework
Pentesting con metasploit frameworkPentesting con metasploit framework
Pentesting con metasploit frameworkEventos Creativos
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmEventos Creativos
 
Atacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetAtacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetEventos Creativos
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaEventos Creativos
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Eventos Creativos
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Eventos Creativos
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Eventos Creativos
 
Análisis forense de dispositivos ios
Análisis forense de dispositivos iosAnálisis forense de dispositivos ios
Análisis forense de dispositivos iosEventos Creativos
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosEventos Creativos
 
Jailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoJailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoEventos Creativos
 
I os en el entorno corporativo
I os en el entorno corporativoI os en el entorno corporativo
I os en el entorno corporativoEventos Creativos
 
Análisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcAnálisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcEventos Creativos
 
Firma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesFirma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesEventos Creativos
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móvilesEventos Creativos
 

Más de Eventos Creativos (20)

La informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y MicrosoftLa informática se creó en las calles: Microhistorias de Apple y Microsoft
La informática se creó en las calles: Microhistorias de Apple y Microsoft
 
Windows server 2012 para it
Windows server 2012 para itWindows server 2012 para it
Windows server 2012 para it
 
Pentesting con metasploit framework
Pentesting con metasploit frameworkPentesting con metasploit framework
Pentesting con metasploit framework
 
Malware en android
Malware en androidMalware en android
Malware en android
 
Despliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdmDespliegue empresarial de smartphones mdm
Despliegue empresarial de smartphones mdm
 
Atacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnetAtacando iphone a través de wireless y javascript botnet
Atacando iphone a través de wireless y javascript botnet
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil Foca
 
Windows 8
Windows 8Windows 8
Windows 8
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02Análisis forense de dispositivos android 02
Análisis forense de dispositivos android 02
 
Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01Análisis forense de dispositivos android 01
Análisis forense de dispositivos android 01
 
Análisis forense de dispositivos ios
Análisis forense de dispositivos iosAnálisis forense de dispositivos ios
Análisis forense de dispositivos ios
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en ios
 
Jailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivoJailbreak y rooting más allá de los límites del dispositivo
Jailbreak y rooting más allá de los límites del dispositivo
 
I os en el entorno corporativo
I os en el entorno corporativoI os en el entorno corporativo
I os en el entorno corporativo
 
Análisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etcAnálisis forense de tarjetas sim, smartcards, etc
Análisis forense de tarjetas sim, smartcards, etc
 
Lo que las apps esconden
Lo que las apps escondenLo que las apps esconden
Lo que las apps esconden
 
Firma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móvilesFirma digital y biométrica en dispositivos móviles
Firma digital y biométrica en dispositivos móviles
 
Nfc en móviles
Nfc en móvilesNfc en móviles
Nfc en móviles
 
Fraude en tecnológias móviles
Fraude en tecnológias móvilesFraude en tecnológias móviles
Fraude en tecnológias móviles
 

Último

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 

Último (16)

International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 

Seguridad en Navegadores

  • 1. Seguridad en Navegadores Chema Alonso MS MVP Enterprise Security chema@informatica64.com
  • 2. Code Windows Code Library Code Application Code Arquitectura: Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization DEP ASLR Stack Locals LoadLibrary() Return Address Parameters Previous Frames
  • 3. Arquitectura: MIC & UIPI MandatoryIntegrity Control (MIC). Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo. Niveles de Integridad: Bajo, Medo, Alto y de Sistema Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso UserInterfacerPrivilegeIsolation (UIPI) Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior. Virtual Store: Acceso a carpetas y claves del registro virtualizadas en perfil de usuario
  • 5.
  • 6. Extensiones, administración y configuración (I) Todos los navegadores, excepto Safari permiten el uso de extensiones. Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados. Solo IE8 y Firefox* permiten configuración por GPO’s Firefox con software adicional en AD y en cliente
  • 7. Extensiones, administración y configuración (II) Sólo IE8 permite controlar componentes por sitio y usuario.
  • 9. Extensiones, administración y configuración (III)
  • 10. Control de cookies y sesiones IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting. Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.
  • 11.
  • 13. Ingeniería Social: Resalto del dominio Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL. Internet Explorer Google Chrome
  • 15. Alertas sobre certificados Todos los navegadores muestran alertas sobre certificados en los siguientes casos: Certificado generado para otro dominio Certificado caducado Certificado emitido por una CA desconocida
  • 16. Certificados con validación extendida Todos los navegadores realizan un resalto de los certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.
  • 17. Almacén de certificados Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de MozillaFirefox, Opera Browser o Apple Safari.
  • 19.
  • 20.
  • 21. Protección ante phishing y malware (III)
  • 22. Firefox y el Malware http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf
  • 23. Gestión de información de navegación
  • 24. Configuración de Javascript Todos los navegadores permiten deshabilitar Javascript. Chrome y Safari no permiten una configuración avanzada de opciones Javascript. Solo IE8 y Google Chrome permiten hacer listas.
  • 26. Número de vulnerabilidades Internet Explorer 8 [12 meses] Marzo 2009 Chrome 2, 3 y 4 [10 meses] Mayo 2009 Firefox >= 3.5 [ 9 meses] Julio 2009 Opera >=9.6 [14 meses] Enero 2009 Apple Safari 4.0 [9 meses] Julio de 2009
  • 32. ¿Preguntas? Chema Alonso Microsoft MVP Enterprise Security chema@informatica64.com http://twitter.com/chemaalonso http://elladodelmal.blogspot.com Informática64 i64@informatica64.com http://www.informatica64.com http://twitter.com/informatica64