SlideShare una empresa de Scribd logo

Seguridad en Navegadores

Descargar como PPTX, PDF
Chema Alonso
Chema Alonso

Este documento resume las características de seguridad de los principales navegadores web como Internet Explorer, Firefox, Chrome, Opera y Safari. Describe funciones como protección de memoria, gestión de extensiones, detección de phishing y malware, y vulnerabilidades reportadas para cada navegador. También analiza las cuotas de mercado de los navegadores y cómo cada uno gestiona la corrección de vulnerabilidades encontradas.

Empresariales
1 de 32
Seguridad en Navegadores Chema Alonso MS MVP Enterprise Security chema@informatica64.com
Code Windows Code Library Code Application Code Arquitectura: Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization DEP ASLR Stack Locals LoadLibrary() Return Address Parameters Previous Frames
Arquitectura: MIC & UIPI MandatoryIntegrity Control (MIC). Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo. Niveles de Integridad: Bajo, Medo, Alto y de Sistema Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso UserInterfacerPrivilegeIsolation (UIPI) Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior. Virtual Store: Acceso a carpetas y claves del registro virtualizadas en perfil de usuario
DEMo
Extensiones, administración y configuración (I) Todos los navegadores, excepto Safari permiten el uso de extensiones. Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados. Solo IE8 y Firefox* permiten configuración por GPO’s Firefox con software adicional en AD y en cliente
Extensiones, administración y configuración (II) Sólo IE8 permite controlar componentes por sitio y usuario.
Administrador de complementos en IE8
Extensiones, administración y configuración (III)
Control de cookies y sesiones IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting. Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.
Ingeniería Social
Ingeniería Social: Resalto del dominio Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL. Internet Explorer Google Chrome
Nombre de dominioresaltado
Alertas sobre certificados Todos los navegadores muestran alertas sobre certificados en los siguientes casos: Certificado generado para otro dominio Certificado caducado Certificado emitido por una CA desconocida
Certificados con validación extendida Todos los navegadores realizan un resalto de los certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.
Almacén de certificados Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de MozillaFirefox, Opera Browser o Apple Safari.
Programa PADRE
Protección ante phishing y malware (I) ,[object Object]
Los tiempos de respuesta de Opera respecto a los demás está muy distante.,[object Object]
Protección ante phishing y malware (III)
Firefox y el Malware http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf
Gestión de información de navegación
Configuración de Javascript Todos los navegadores permiten deshabilitar Javascript. Chrome y Safari no permiten una configuración avanzada de opciones Javascript. Solo IE8 y Google Chrome permiten hacer listas.
Vulnerabilidades
Número de vulnerabilidades Internet Explorer 8 [12 meses] Marzo 2009 Chrome 2, 3 y 4 [10 meses] Mayo 2009 Firefox >= 3.5 [ 9 meses] Julio 2009 Opera >=9.6 [14 meses] Enero 2009 Apple Safari 4.0 [9 meses] Julio de 2009
Número de vulnerabilidades totales
Número de vulnerabilidades por mes
Vulnerabilidades por criticidad
Cuota de Mercado
Corrección de vulnerabilidades
¿Preguntas? Chema Alonso Microsoft MVP Enterprise Security chema@informatica64.com http://twitter.com/chemaalonso http://elladodelmal.blogspot.com Informática64 i64@informatica64.com http://www.informatica64.com http://twitter.com/informatica64

Recomendados

Seguridad 002 seguridad en aplicaciones web y bases de datos
Seguridad 002 seguridad en aplicaciones web y bases de datosSeguridad 002 seguridad en aplicaciones web y bases de datos
Seguridad 002 seguridad en aplicaciones web y bases de datos
Luis Fernando
 
Resumen general Criptografía, Criptoanálisis, criptograma,etc.
Resumen general Criptografía, Criptoanálisis, criptograma,etc.Resumen general Criptografía, Criptoanálisis, criptograma,etc.
Resumen general Criptografía, Criptoanálisis, criptograma,etc.
Noel Cruz
 
Knovio andrea isnardi
Knovio andrea isnardiKnovio andrea isnardi
Knovio andrea isnardi
andreaisnardi1
 
Portátiles A Prueba De Robos
Portátiles A Prueba De RobosPortátiles A Prueba De Robos
Portátiles A Prueba De Robos
Chema Alonso
 
MS Forefront Client Security
MS Forefront Client SecurityMS Forefront Client Security
MS Forefront Client Security
Chema Alonso
 
Default Passwords: Adelante por favor
Default Passwords: Adelante por favorDefault Passwords: Adelante por favor
Default Passwords: Adelante por favor
Chema Alonso
 
Fortificación de MS SharePon
Fortificación de MS SharePonFortificación de MS SharePon
Fortificación de MS SharePon
Chema Alonso
 
Asegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionAsegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL Injection
Chema Alonso
 

Recomendados

Seguridad 002 seguridad en aplicaciones web y bases de datos
Seguridad 002 seguridad en aplicaciones web y bases de datosSeguridad 002 seguridad en aplicaciones web y bases de datos
Seguridad 002 seguridad en aplicaciones web y bases de datos
Luis Fernando
 
Resumen general Criptografía, Criptoanálisis, criptograma,etc.
Resumen general Criptografía, Criptoanálisis, criptograma,etc.Resumen general Criptografía, Criptoanálisis, criptograma,etc.
Resumen general Criptografía, Criptoanálisis, criptograma,etc.
Noel Cruz
 
Knovio andrea isnardi
Knovio andrea isnardiKnovio andrea isnardi
Knovio andrea isnardi
andreaisnardi1
 
Portátiles A Prueba De Robos
Portátiles A Prueba De RobosPortátiles A Prueba De Robos
Portátiles A Prueba De Robos
Chema Alonso
 
MS Forefront Client Security
MS Forefront Client SecurityMS Forefront Client Security
MS Forefront Client Security
Chema Alonso
 
Default Passwords: Adelante por favor
Default Passwords: Adelante por favorDefault Passwords: Adelante por favor
Default Passwords: Adelante por favor
Chema Alonso
 
Fortificación de MS SharePon
Fortificación de MS SharePonFortificación de MS SharePon
Fortificación de MS SharePon
Chema Alonso
 
Asegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL InjectionAsegúr@IT 7: Serialized SQL Injection
Asegúr@IT 7: Serialized SQL Injection
Chema Alonso
 
Seguridad en Apache Web Server
Seguridad en Apache Web ServerSeguridad en Apache Web Server
Seguridad en Apache Web Server
Chema Alonso
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
Chema Alonso
 
Circuitos de Video Vigilancia IP
Circuitos de Video Vigilancia IPCircuitos de Video Vigilancia IP
Circuitos de Video Vigilancia IP
Chema Alonso
 
Apadrina un malware
Apadrina un malwareApadrina un malware
Apadrina un malware
Chema Alonso
 
Connection String Parameter Pollution Attacks
Connection String Parameter Pollution AttacksConnection String Parameter Pollution Attacks
Connection String Parameter Pollution Attacks
Chema Alonso
 
RootedCON 2011: DUST
RootedCON 2011: DUSTRootedCON 2011: DUST
RootedCON 2011: DUST
Chema Alonso
 
Hacking, Ciberguerra y otros Palabros
Hacking, Ciberguerra y otros PalabrosHacking, Ciberguerra y otros Palabros
Hacking, Ciberguerra y otros Palabros
Chema Alonso
 
Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010
Chema Alonso
 
MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0
Chema Alonso
 
Codemotion 2013: Feliz 15 aniversario, SQL Injection
Codemotion 2013: Feliz 15 aniversario, SQL InjectionCodemotion 2013: Feliz 15 aniversario, SQL Injection
Codemotion 2013: Feliz 15 aniversario, SQL Injection
Chema Alonso
 
Defcon 18: FOCA 2
Defcon 18: FOCA 2Defcon 18: FOCA 2
Defcon 18: FOCA 2
Chema Alonso
 
Hachetetepé dos puntos SLAAC SLAAC
Hachetetepé dos puntos SLAAC SLAACHachetetepé dos puntos SLAAC SLAAC
Hachetetepé dos puntos SLAAC SLAAC
Chema Alonso
 
FC00::1 (Algunos) Ataques en IPv6
FC00::1 (Algunos) Ataques en IPv6FC00::1 (Algunos) Ataques en IPv6
FC00::1 (Algunos) Ataques en IPv6
Chema Alonso
 
WebBrowsing Fingerprinting y Privacidad en entornos de Big Data
WebBrowsing Fingerprinting y Privacidad en entornos de Big DataWebBrowsing Fingerprinting y Privacidad en entornos de Big Data
WebBrowsing Fingerprinting y Privacidad en entornos de Big Data
Chema Alonso
 
XSS Google Persistentes
XSS Google PersistentesXSS Google Persistentes
XSS Google Persistentes
Chema Alonso
 
Bitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresaBitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresa
Chema Alonso
 
Latch Security Scenarios
Latch Security ScenariosLatch Security Scenarios
Latch Security Scenarios
Chema Alonso
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismo
Chema Alonso
 
Digital latches for your digital Life
Digital latches for your digital LifeDigital latches for your digital Life
Digital latches for your digital Life
Chema Alonso
 
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaX Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
Chema Alonso
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
guest022763
 
Respuestas
RespuestasRespuestas
Respuestas
Hadassa HAdassa
 

Más contenido relacionado

Destacado

Seguridad en Apache Web Server
Seguridad en Apache Web ServerSeguridad en Apache Web Server
Seguridad en Apache Web Server
Chema Alonso
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
Chema Alonso
 
Circuitos de Video Vigilancia IP
Circuitos de Video Vigilancia IPCircuitos de Video Vigilancia IP
Circuitos de Video Vigilancia IP
Chema Alonso
 
Apadrina un malware
Apadrina un malwareApadrina un malware
Apadrina un malware
Chema Alonso
 
Connection String Parameter Pollution Attacks
Connection String Parameter Pollution AttacksConnection String Parameter Pollution Attacks
Connection String Parameter Pollution Attacks
Chema Alonso
 
RootedCON 2011: DUST
RootedCON 2011: DUSTRootedCON 2011: DUST
RootedCON 2011: DUST
Chema Alonso
 
Hacking, Ciberguerra y otros Palabros
Hacking, Ciberguerra y otros PalabrosHacking, Ciberguerra y otros Palabros
Hacking, Ciberguerra y otros Palabros
Chema Alonso
 
Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010
Chema Alonso
 
MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0
Chema Alonso
 
Codemotion 2013: Feliz 15 aniversario, SQL Injection
Codemotion 2013: Feliz 15 aniversario, SQL InjectionCodemotion 2013: Feliz 15 aniversario, SQL Injection
Codemotion 2013: Feliz 15 aniversario, SQL Injection
Chema Alonso
 
Defcon 18: FOCA 2
Defcon 18: FOCA 2Defcon 18: FOCA 2
Defcon 18: FOCA 2
Chema Alonso
 
Hachetetepé dos puntos SLAAC SLAAC
Hachetetepé dos puntos SLAAC SLAACHachetetepé dos puntos SLAAC SLAAC
Hachetetepé dos puntos SLAAC SLAAC
Chema Alonso
 
FC00::1 (Algunos) Ataques en IPv6
FC00::1 (Algunos) Ataques en IPv6FC00::1 (Algunos) Ataques en IPv6
FC00::1 (Algunos) Ataques en IPv6
Chema Alonso
 
WebBrowsing Fingerprinting y Privacidad en entornos de Big Data
WebBrowsing Fingerprinting y Privacidad en entornos de Big DataWebBrowsing Fingerprinting y Privacidad en entornos de Big Data
WebBrowsing Fingerprinting y Privacidad en entornos de Big Data
Chema Alonso
 
XSS Google Persistentes
XSS Google PersistentesXSS Google Persistentes
XSS Google Persistentes
Chema Alonso
 
Bitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresaBitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresa
Chema Alonso
 
Latch Security Scenarios
Latch Security ScenariosLatch Security Scenarios
Latch Security Scenarios
Chema Alonso
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismo
Chema Alonso
 
Digital latches for your digital Life
Digital latches for your digital LifeDigital latches for your digital Life
Digital latches for your digital Life
Chema Alonso
 
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaX Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
Chema Alonso
 

Destacado (20)

Seguridad en Apache Web Server
Seguridad en Apache Web ServerSeguridad en Apache Web Server
Seguridad en Apache Web Server
 
Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
 
Circuitos de Video Vigilancia IP
Circuitos de Video Vigilancia IPCircuitos de Video Vigilancia IP
Circuitos de Video Vigilancia IP
 
Apadrina un malware
Apadrina un malwareApadrina un malware
Apadrina un malware
 
Connection String Parameter Pollution Attacks
Connection String Parameter Pollution AttacksConnection String Parameter Pollution Attacks
Connection String Parameter Pollution Attacks
 
RootedCON 2011: DUST
RootedCON 2011: DUSTRootedCON 2011: DUST
RootedCON 2011: DUST
 
Hacking, Ciberguerra y otros Palabros
Hacking, Ciberguerra y otros PalabrosHacking, Ciberguerra y otros Palabros
Hacking, Ciberguerra y otros Palabros
 
Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010
 
MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0MetaShield Protector & FOCA 2.0
MetaShield Protector & FOCA 2.0
 
Codemotion 2013: Feliz 15 aniversario, SQL Injection
Codemotion 2013: Feliz 15 aniversario, SQL InjectionCodemotion 2013: Feliz 15 aniversario, SQL Injection
Codemotion 2013: Feliz 15 aniversario, SQL Injection
 
Defcon 18: FOCA 2
Defcon 18: FOCA 2Defcon 18: FOCA 2
Defcon 18: FOCA 2
 
Hachetetepé dos puntos SLAAC SLAAC
Hachetetepé dos puntos SLAAC SLAACHachetetepé dos puntos SLAAC SLAAC
Hachetetepé dos puntos SLAAC SLAAC
 
FC00::1 (Algunos) Ataques en IPv6
FC00::1 (Algunos) Ataques en IPv6FC00::1 (Algunos) Ataques en IPv6
FC00::1 (Algunos) Ataques en IPv6
 
WebBrowsing Fingerprinting y Privacidad en entornos de Big Data
WebBrowsing Fingerprinting y Privacidad en entornos de Big DataWebBrowsing Fingerprinting y Privacidad en entornos de Big Data
WebBrowsing Fingerprinting y Privacidad en entornos de Big Data
 
XSS Google Persistentes
XSS Google PersistentesXSS Google Persistentes
XSS Google Persistentes
 
Bitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresaBitdefender - Malware & Mac OS X en la empresa
Bitdefender - Malware & Mac OS X en la empresa
 
Latch Security Scenarios
Latch Security ScenariosLatch Security Scenarios
Latch Security Scenarios
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismo
 
Digital latches for your digital Life
Digital latches for your digital LifeDigital latches for your digital Life
Digital latches for your digital Life
 
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad MálignaX Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
X Fórum AUSAPE 2014: Un Decálogo de Seguridad Máligna
 

Similar a Seguridad en Navegadores

Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
guest022763
 
Respuestas
RespuestasRespuestas
Respuestas
Hadassa HAdassa
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
teddy666
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
teddy666
 
Pdf2
Pdf2Pdf2
Pdf2
dianitacajilema92
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformatica
hmitre17
 
virtual pc
virtual pcvirtual pc
virtual pc
Chamakito Edwinshito Cruz Guevara
 
Mc afee
Mc afeeMc afee
Mc afee
Roberta Zaccarini
 
LA CIBERSEGURIDAD informática y definición
LA CIBERSEGURIDAD informática y definiciónLA CIBERSEGURIDAD informática y definición
LA CIBERSEGURIDAD informática y definición
Asheninka Gran Pajonal
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
acksec
 
Framework .NET 3.5 11 Seguridad
Framework .NET 3.5 11 SeguridadFramework .NET 3.5 11 Seguridad
Framework .NET 3.5 11 Seguridad
Antonio Palomares Sender
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidores
AXELELIANAMAVIZCA
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKS
Core2014
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
lalunabrilla
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
lalunabrilla
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
lalunabrilla
 
Cuestionario de concepto de seguridad
Cuestionario de concepto de seguridadCuestionario de concepto de seguridad
Cuestionario de concepto de seguridad
raul115
 
1. introduccioìn a la seguridad
1. introduccioìn a la seguridad1. introduccioìn a la seguridad
1. introduccioìn a la seguridad
1 2d
 
Portátiles a Prueba de Robos
Portátiles a Prueba de RobosPortátiles a Prueba de Robos
Portátiles a Prueba de Robos
guest022763
 
Análisis de clientes ICA
Análisis de clientes ICAAnálisis de clientes ICA
Análisis de clientes ICA
Joaquin Herrero
 

Similar a Seguridad en Navegadores (20)

Navegadores en la Empresa
Navegadores en la EmpresaNavegadores en la Empresa
Navegadores en la Empresa
 
Respuestas
RespuestasRespuestas
Respuestas
 
Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000Microsoft Windows Server 2003 Y Windows 2000
Microsoft Windows Server 2003 Y Windows 2000
 
Microsoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 IMicrosoft Windows Server 2003 Y Windows 2000 I
Microsoft Windows Server 2003 Y Windows 2000 I
 
Pdf2
Pdf2Pdf2
Pdf2
 
Segurida dinformatica
Segurida dinformaticaSegurida dinformatica
Segurida dinformatica
 
virtual pc
virtual pcvirtual pc
virtual pc
 
Mc afee
Mc afeeMc afee
Mc afee
 
LA CIBERSEGURIDAD informática y definición
LA CIBERSEGURIDAD informática y definiciónLA CIBERSEGURIDAD informática y definición
LA CIBERSEGURIDAD informática y definición
 
Los 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo WebLos 7 pecados del Desarrollo Web
Los 7 pecados del Desarrollo Web
 
Framework .NET 3.5 11 Seguridad
Framework .NET 3.5 11 SeguridadFramework .NET 3.5 11 Seguridad
Framework .NET 3.5 11 Seguridad
 
Seguridad en servidores
Seguridad en servidoresSeguridad en servidores
Seguridad en servidores
 
Presentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKSPresentación SPAC CORE NETWORKS
Presentación SPAC CORE NETWORKS
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
 
Manejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo deManejo de software de seguridad de equipo de
Manejo de software de seguridad de equipo de
 
Cuestionario de concepto de seguridad
Cuestionario de concepto de seguridadCuestionario de concepto de seguridad
Cuestionario de concepto de seguridad
 
1. introduccioìn a la seguridad
1. introduccioìn a la seguridad1. introduccioìn a la seguridad
1. introduccioìn a la seguridad
 
Portátiles a Prueba de Robos
Portátiles a Prueba de RobosPortátiles a Prueba de Robos
Portátiles a Prueba de Robos
 
Análisis de clientes ICA
Análisis de clientes ICAAnálisis de clientes ICA
Análisis de clientes ICA
 

Más de Chema Alonso

CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
Chema Alonso
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
Chema Alonso
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en Magento
Chema Alonso
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Chema Alonso
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
Chema Alonso
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajar
Chema Alonso
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with Tacyt
Chema Alonso
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWord
Chema Alonso
 
Foca API v0.1
Foca API v0.1Foca API v0.1
Foca API v0.1
Chema Alonso
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Chema Alonso
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of Magic
Chema Alonso
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackers
Chema Alonso
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Chema Alonso
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase II
Chema Alonso
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?
Chema Alonso
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
Chema Alonso
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con Python
Chema Alonso
 
Shuabang Botnet
Shuabang BotnetShuabang Botnet
Shuabang Botnet
Chema Alonso
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu Windows
Chema Alonso
 
Codemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityCodemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & Humility
Chema Alonso
 

Más de Chema Alonso (20)

CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en Magento
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajar
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with Tacyt
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWord
 
Foca API v0.1
Foca API v0.1Foca API v0.1
Foca API v0.1
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of Magic
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackers
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase II
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con Python
 
Shuabang Botnet
Shuabang BotnetShuabang Botnet
Shuabang Botnet
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu Windows
 
Codemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityCodemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & Humility
 

Último

Gestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de SumnistroGestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de Sumnistro
hrbuildersaccom
 
ejercicios y modelos de los libros contables usados en una empresa
ejercicios y modelos de los libros contables usados en una empresaejercicios y modelos de los libros contables usados en una empresa
ejercicios y modelos de los libros contables usados en una empresa
Padit Atachagua
 
Practica individual-Semana.Curso Liderazgo y comportamiento organizacional
Practica individual-Semana.Curso Liderazgo y comportamiento organizacionalPractica individual-Semana.Curso Liderazgo y comportamiento organizacional
Practica individual-Semana.Curso Liderazgo y comportamiento organizacional
JanethLozanoLozano
 
Semana 2 - Competidores en el analisis de administracion
Semana 2 - Competidores en el analisis de administracionSemana 2 - Competidores en el analisis de administracion
Semana 2 - Competidores en el analisis de administracion
MarinaGutierrez35
 
El consumidor en el 2024_V5_21Mar24 (Presentación evento)_0.pdf
El consumidor en el 2024_V5_21Mar24 (Presentación evento)_0.pdfEl consumidor en el 2024_V5_21Mar24 (Presentación evento)_0.pdf
El consumidor en el 2024_V5_21Mar24 (Presentación evento)_0.pdf
lrequejonn
 
Las Inteligencias Artificiales pdf que hizimos en grupo
Las Inteligencias Artificiales pdf que hizimos en grupoLas Inteligencias Artificiales pdf que hizimos en grupo
Las Inteligencias Artificiales pdf que hizimos en grupo
fabianlomparteomg
 
Lo nuevo NOI 11 haz ese momento historico
Lo nuevo NOI 11 haz ese momento historicoLo nuevo NOI 11 haz ese momento historico
Lo nuevo NOI 11 haz ese momento historico
Cade Soluciones
 
Mario Mendoza Marichal - La Perennia.pdf
Mario Mendoza Marichal - La Perennia.pdfMario Mendoza Marichal - La Perennia.pdf
Mario Mendoza Marichal - La Perennia.pdf
Mario Mendoza Marichal
 
LA MACROECONOMIA Y MICROECONOMIA, CONCEPTOS
LA MACROECONOMIA Y MICROECONOMIA, CONCEPTOSLA MACROECONOMIA Y MICROECONOMIA, CONCEPTOS
LA MACROECONOMIA Y MICROECONOMIA, CONCEPTOS
amelyquispecaxi2006
 
Trabajo sobre Presupuesto Empresarial .pdf
Trabajo sobre Presupuesto Empresarial .pdfTrabajo sobre Presupuesto Empresarial .pdf
Trabajo sobre Presupuesto Empresarial .pdf
YennyGarcia45
 
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
micarnavaltupatrimon
 
CALDERAS PROTOCOLO DE SEGURIDAD INDUSTRIAL
CALDERAS PROTOCOLO DE SEGURIDAD INDUSTRIALCALDERAS PROTOCOLO DE SEGURIDAD INDUSTRIAL
CALDERAS PROTOCOLO DE SEGURIDAD INDUSTRIAL
america magallanes
 
TECNOLOGIA FARMACEUTICA II GRANULACION.pdf
TECNOLOGIA FARMACEUTICA II GRANULACION.pdfTECNOLOGIA FARMACEUTICA II GRANULACION.pdf
TECNOLOGIA FARMACEUTICA II GRANULACION.pdf
IsaacUsca
 
Documentos comerciales, documento comercial
Documentos comerciales, documento comercialDocumentos comerciales, documento comercial
Documentos comerciales, documento comercial
JaimeMorra
 
Sesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdfSesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdf
JhoanaSilvaHeredia
 
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdfDIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
peruvip2
 
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANOINVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
jennicaceres
 
Caso de Éxito Scorpion - Juan Corona.pdf
Caso de Éxito Scorpion - Juan Corona.pdfCaso de Éxito Scorpion - Juan Corona.pdf
Caso de Éxito Scorpion - Juan Corona.pdf
juancorona45
 
Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999
MiguelZavala76
 
Nutrición amway Nutrilite PPT EMPRESARIOS MAYO 2024.pdf
Nutrición amway Nutrilite PPT EMPRESARIOS MAYO 2024.pdfNutrición amway Nutrilite PPT EMPRESARIOS MAYO 2024.pdf
Nutrición amway Nutrilite PPT EMPRESARIOS MAYO 2024.pdf
JulianCorrea38
 

Último (20)

Gestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de SumnistroGestión de Inventarios - Cadena de Sumnistro
Gestión de Inventarios - Cadena de Sumnistro
 
ejercicios y modelos de los libros contables usados en una empresa
ejercicios y modelos de los libros contables usados en una empresaejercicios y modelos de los libros contables usados en una empresa
ejercicios y modelos de los libros contables usados en una empresa
 
Practica individual-Semana.Curso Liderazgo y comportamiento organizacional
Practica individual-Semana.Curso Liderazgo y comportamiento organizacionalPractica individual-Semana.Curso Liderazgo y comportamiento organizacional
Practica individual-Semana.Curso Liderazgo y comportamiento organizacional
 
Semana 2 - Competidores en el analisis de administracion
Semana 2 - Competidores en el analisis de administracionSemana 2 - Competidores en el analisis de administracion
Semana 2 - Competidores en el analisis de administracion
 
El consumidor en el 2024_V5_21Mar24 (Presentación evento)_0.pdf
El consumidor en el 2024_V5_21Mar24 (Presentación evento)_0.pdfEl consumidor en el 2024_V5_21Mar24 (Presentación evento)_0.pdf
El consumidor en el 2024_V5_21Mar24 (Presentación evento)_0.pdf
 
Las Inteligencias Artificiales pdf que hizimos en grupo
Las Inteligencias Artificiales pdf que hizimos en grupoLas Inteligencias Artificiales pdf que hizimos en grupo
Las Inteligencias Artificiales pdf que hizimos en grupo
 
Lo nuevo NOI 11 haz ese momento historico
Lo nuevo NOI 11 haz ese momento historicoLo nuevo NOI 11 haz ese momento historico
Lo nuevo NOI 11 haz ese momento historico
 
Mario Mendoza Marichal - La Perennia.pdf
Mario Mendoza Marichal - La Perennia.pdfMario Mendoza Marichal - La Perennia.pdf
Mario Mendoza Marichal - La Perennia.pdf
 
LA MACROECONOMIA Y MICROECONOMIA, CONCEPTOS
LA MACROECONOMIA Y MICROECONOMIA, CONCEPTOSLA MACROECONOMIA Y MICROECONOMIA, CONCEPTOS
LA MACROECONOMIA Y MICROECONOMIA, CONCEPTOS
 
Trabajo sobre Presupuesto Empresarial .pdf
Trabajo sobre Presupuesto Empresarial .pdfTrabajo sobre Presupuesto Empresarial .pdf
Trabajo sobre Presupuesto Empresarial .pdf
 
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...
 
CALDERAS PROTOCOLO DE SEGURIDAD INDUSTRIAL
CALDERAS PROTOCOLO DE SEGURIDAD INDUSTRIALCALDERAS PROTOCOLO DE SEGURIDAD INDUSTRIAL
CALDERAS PROTOCOLO DE SEGURIDAD INDUSTRIAL
 
TECNOLOGIA FARMACEUTICA II GRANULACION.pdf
TECNOLOGIA FARMACEUTICA II GRANULACION.pdfTECNOLOGIA FARMACEUTICA II GRANULACION.pdf
TECNOLOGIA FARMACEUTICA II GRANULACION.pdf
 
Documentos comerciales, documento comercial
Documentos comerciales, documento comercialDocumentos comerciales, documento comercial
Documentos comerciales, documento comercial
 
Sesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdfSesión 1-2 Formulación de Estados Financieros (2).pdf
Sesión 1-2 Formulación de Estados Financieros (2).pdf
 
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdfDIRECTORIO órgano de control institucional - ABRIL 2024.pdf
DIRECTORIO órgano de control institucional - ABRIL 2024.pdf
 
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANOINVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
INVESTIGACION FORMATIVA GESTIÓN DE TALENTO HUMANO
 
Caso de Éxito Scorpion - Juan Corona.pdf
Caso de Éxito Scorpion - Juan Corona.pdfCaso de Éxito Scorpion - Juan Corona.pdf
Caso de Éxito Scorpion - Juan Corona.pdf
 
Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999Bloqueo y candadeo, norma NOM-004-STPS-1999
Bloqueo y candadeo, norma NOM-004-STPS-1999
 
Nutrición amway Nutrilite PPT EMPRESARIOS MAYO 2024.pdf
Nutrición amway Nutrilite PPT EMPRESARIOS MAYO 2024.pdfNutrición amway Nutrilite PPT EMPRESARIOS MAYO 2024.pdf
Nutrición amway Nutrilite PPT EMPRESARIOS MAYO 2024.pdf
 

Seguridad en Navegadores

  • 1. Seguridad en Navegadores Chema Alonso MS MVP Enterprise Security chema@informatica64.com
  • 2. Code Windows Code Library Code Application Code Arquitectura: Protección de la Memoria Data ExecutionProtectionAddressSpaceLayoutRandomization DEP ASLR Stack Locals LoadLibrary() Return Address Parameters Previous Frames
  • 3. Arquitectura: MIC & UIPI MandatoryIntegrity Control (MIC). Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo. Niveles de Integridad: Bajo, Medo, Alto y de Sistema Los objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de Integridad A cada proceso se le asigna un Nivel de Integridad en su testigo de acceso UserInterfacerPrivilegeIsolation (UIPI) Bloquea el acceso mediante mensajes de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior. Virtual Store: Acceso a carpetas y claves del registro virtualizadas en perfil de usuario
  • 5.
  • 6. Extensiones, administración y configuración (I) Todos los navegadores, excepto Safari permiten el uso de extensiones. Internet Explorer y Firefox son los únicos que permiten el uso de complementos firmados. Solo IE8 y Firefox* permiten configuración por GPO’s Firefox con software adicional en AD y en cliente
  • 7. Extensiones, administración y configuración (II) Sólo IE8 permite controlar componentes por sitio y usuario.
  • 9. Extensiones, administración y configuración (III)
  • 10. Control de cookies y sesiones IE8 es el único navegador que da soporte al flag ‘Write’ de HTTPOnly, y que implementa un filtro anti Cross-Site Scripting. Todos los navegadores, excepto Firefox, proporcionan soporte a la cabecera X-FRAME-OPTION para la prevención de clickjacking Todos los navegadores, excepto Opera, soportan el uso de la cabecera Access-Control-* para evitar ‘Cross DomainRequest’.
  • 11.
  • 13. Ingeniería Social: Resalto del dominio Unicamente los navegadores IE8.0 y Chrome 4.1 realizan un resalto de dominio en la URL. Internet Explorer Google Chrome
  • 15. Alertas sobre certificados Todos los navegadores muestran alertas sobre certificados en los siguientes casos: Certificado generado para otro dominio Certificado caducado Certificado emitido por una CA desconocida
  • 16. Certificados con validación extendida Todos los navegadores realizan un resalto de los certificados con validación extendida. Sin embargo en Chrome 4.1 y Safari 4.0 no queda bien reflejado.
  • 17. Almacén de certificados Entidades emisoras de certificados como la FNMT o CATCert, no son incluidas en las almacenes de certificados de MozillaFirefox, Opera Browser o Apple Safari.
  • 19.
  • 20.
  • 21. Protección ante phishing y malware (III)
  • 22. Firefox y el Malware http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/firefox_and_malware.pdf
  • 23. Gestión de información de navegación
  • 24. Configuración de Javascript Todos los navegadores permiten deshabilitar Javascript. Chrome y Safari no permiten una configuración avanzada de opciones Javascript. Solo IE8 y Google Chrome permiten hacer listas.
  • 26. Número de vulnerabilidades Internet Explorer 8 [12 meses] Marzo 2009 Chrome 2, 3 y 4 [10 meses] Mayo 2009 Firefox >= 3.5 [ 9 meses] Julio 2009 Opera >=9.6 [14 meses] Enero 2009 Apple Safari 4.0 [9 meses] Julio de 2009
  • 32. ¿Preguntas? Chema Alonso Microsoft MVP Enterprise Security chema@informatica64.com http://twitter.com/chemaalonso http://elladodelmal.blogspot.com Informática64 i64@informatica64.com http://www.informatica64.com http://twitter.com/informatica64