1/13/2012 7:28 PM

Vulnerabilidades? Dnde? Vulnerabilidades? Dnde?

Seguridad y Privacidad
Servidor Web y Aplicaciones

Navegador

Ing. Ing. Social y Privacidad

Navegacin segura
Navegador
Security Development Lifecycle (SDL) Modo Protegido Seguridad mejorada en Controles ActiveX Data Execution Prevention (DEP)

Navegador
Security Development Lifecycle (SDL)
Metodologa de desarrollo de software que ayuda a reducir el nmero de vulnerabilidades de forma sistemtica.

Servidor Web y Aplicaciones

Cookies HTTPOnly Polticas de grupo XDomainRequests Cross Domain Requests XDM Cross Domain Messaging Filtro XSS Cross Site Scripting Proteccin contra ClickJacking

The Security Development Lifecycle

Michael Howard and Steve Lipner Microsoft Press http://www.microsoft.com/learning/en/us/book.aspx?ID=8753

Certificados SSL con Extended Validation (EV)

Ing. Ing. Social y Privacidad

Filtro SmartScreen Bloqueo de Phishing y Malware Destaque del nombre de dominio Borrado de histrico mejorado Navegacin y Filtrado InPrivate

Navegador
Modo Protegido
Ejecucin del navegador en modo restringido (low Integrity Level), (low Level), reduciendo de esta forma la superficie de ataque. Mecanismos de seguridad necesarios:
User Account Control (UAC) Integrity Levels User Interface Privilege Isolation (UIPI)

Navegador
Seguridad mejorada en Controles ActiveX
ActiveX Killbits (IE5)
Entrada en el registro (Compatibility Flags del CLSID) que impide la ejecucin de un objeto o control marcado como no seguro cuando alojado en el navegador. navegador.

OptOpt-In (IE7) Disponible en:

Windows Vista Windows 7 Windows Server 2008 Windows Server 2008 R2 Mecanismo que reduce el nmero de controles disponible para los sitios web y que permite al usuario decidir que controles quiere habilitar. habilitar.

2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

1/13/2012 7:28 PM

Navegador
Seguridad mejorada en Controles ActiveX
Per Site (IE8)
Bloqueo de los controles para que solo se puedan lanzar desde los sites para los que se disearon.

Navegador
Data Execution Prevention (DEP)
Evita la ejecucin de cdigo en paginas de memoria de datos, marcadas como no ejecutables.

Habilitado por defecto en IE8 IE8 Deshabilitado por defecto en IE7 por temas de compatibilidad de algunos Add-Ons Add-

Per User (IE8)

Permite la instalacin de ActiveX solo para el usuario, sin necesidad de permisos de administracin o elevacin de permisos. Se puede deshabilitar mediante poltica.

Servidor Web y Aplicaciones

Cookies HTTPOnly Polticas de grupo XDomainRequests Cross Domain Requests XDM Cross Domain Messaging Filtro XSS Cross Site Scripting Proteccin contra ClickJacking

Ing. Ing. Social y Privacidad

Certificados SSL con Extended Validation (EV) (EV)
Estndar de certificados que aparte del canal de comunicacin seguro, proporciona informacin adicional y verificacin de la identidad del propietario de un sitio web.

Ing. Ing. Social y Privacidad

Filtro SmartScreen Bloqueo de SmartScreen Phishing y Malware
Mecanismo de seguridad que protege a los usuarios ante ataques de phishing o descarga y ejecucin de malware.

Ing. Ing. Social y Privacidad

Destaque del nombre de dominio
Hace ms visible el nombre del dominio, ayudando al usuario a dominio, estar seguro del sitio web donde se est conectando

Clasificacin de sites basada en reputacin de URLs Evaluacin de reputacin de URLs basada en heursticas y telemetra Servicio de reputacin de URLs de la plataforma Live

2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

1/13/2012 7:28 PM

Ing. Ing. Social y Privacidad

Borrado de histrico mejorado

Ing. Ing. Social y Privacidad

Navegacin y Filtrado InPrivate InPrivate
Navegacin InPrivate InPrivate

Mayor granularidad en el borrado de datos de navegacin Borrado selectivo de entradas del histrico Posibilidad de mantener la informacin de los sitios favoritos

Permite navegar de forma segura sin almacenar informacin localmente en el PC (por ejemplo: ficheros temporales, histrico, acceso a cookies persistentes).

Filtrado InPrivate InPrivate

Permite controlar la informacin asociada a la navegacin que se enva a terceros, posibilitando el bloqueo de contenidos de los mismos. mismos.

2009 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.