A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Tirando proveito das ferramentas da Microsoft para desenvolver aplicativos seguros Yuri Diogenes Senior Technical Writer Server and Cloud Division – Information.

Apresentações semelhantes


Apresentação em tema: "Tirando proveito das ferramentas da Microsoft para desenvolver aplicativos seguros Yuri Diogenes Senior Technical Writer Server and Cloud Division – Information."— Transcrição da apresentação:

1 Tirando proveito das ferramentas da Microsoft para desenvolver aplicativos seguros Yuri Diogenes Senior Technical Writer Server and Cloud Division – Information Experience Solutions Team

2 Yuri, você é Dev? Quem é você?

3 Agenda Preparando para desenvolver de forma seguraRecapitulando o escopo atual de segurançaVantagens e Oportunidades da plataforma Windows 8Ferramentas para auxiliar no desenvolvimento seguro

4 Recapitulando o escopo atual de segurança

5 Recapitulando o escopo de segurança APPS Nuvem Privada Nuvem Pública On-PremiseOnline DISPOSITIVOS Proteção e gerenciamento contra ameaças Proteção aos dados sensíveis Acesso Seguro aos Recursos

6 Onde estão as ameaças?

7 Preparando para desenvolver de forma segura

8 Se você pensou em SDL, acertou...

9 Espere, eu sou Dev...segurança é para infra.... Não diga isso nem brincando....  Ao adotar um modelo como SDL o primeiro passo é o treinamento básico de segurança para toda a equipe de desenvolvimento O projeto já nasce com “segurança embutida” pois a validação ocorre em cada fase

10 Literatura Recomendada

11 Vantagens e Oportunidades da Plataforma Windows 8

12 Você disse oportunidades?

13 Mas nada disso seria interessante para o consumidor se não fosse seguro...

14 Alinhando Oportunidade com Segurança Desenvolva suas aplicações com base em um framework de segurança (já ouviu falar de SDL?) Valide suas aplicações com ferramentas de segurança BinScope Binary Analyzer Valida o uso correto de algumas funções de segurança recomendada via SDL, como: SafeSEH Exception Handling Protection, AllowPartiallyTrustedCallersAttribute e outras. Attack Surface Analyzer Tira um “retrato” do sistema antes da aplicação ser instalada e depois compara com o estado após a instalação. Windows Store

15 Windows 8 e Visual Studio 2012 Windows 8 com Vistual Studio 2012 fornecem um conjunto de APIs, controle e ferramentas para minimizar vulnerabilidades de aplicações e mitigar problemas comuns de segurança Como padrão você não precisa fazer NADA...isso NADA para usar algumas características de segurança que antes precisavam ser ativadas, como: /GS (Buffer Security Check) – detecta buffer overrun /DYNAMICBASE – para uso de ASLR (Address Space Layout Randomization) DEP (Data Execution Prevention)- quando implementado em nível de software previne código malicioso de tirar vantagem de “exception-handling” SEHOP (Structured Exception Handling Overwrite Protection) – bloqueia exploits que usam técnicas SEH (Structured Exception Handler)

16 Hardening de Aplicações Através da declaração de App Capabilities é possível limitar o escopo de ação da aplicação.

17 Chega de achar que precisa de tudo... Se sua aplicação precisa acessar só alguns arquivos então não tem sentido requisitar acesso total a uma pasta e ainda com FULL CONTROL.... FileOpenPicker class

18 Não confie em conteúdo remoto/externo... Páginas remotas que sua aplicação precisa (porventura) interagir e que usam iFrame adicionam uma camada de risco Quando a entrada da sua aplicação vier de um conteúdo externo, faça a verificação (sanitization) para remover conteúdo executável Converte o script em conteúdo HTML estático Converte o script em texto

19 Não confie em conteúdo remoto/externo...parte 2 Se sua aplicação aceita entrada ou dados vindo da Web, não deixe que este conteúdo faça acesso ao WinRT (Windows Runtime)....sim, como padrão o Windows 8 permite que o conteúdo da sua app acesse o runtime. Coloque o conteúdo recebido em sandbox iframe

20 Confie na nuvem, mas valide antes Autentique o acesso a serviços da nuvem Sua aplicação pode usar GetAppReceiptAsync para validar a app obtida de um serviço de nuvem (App Store) A validação ocorre via checagem de certificado usando a URL abaixo Outros métodos de autenticação incluem: Shared certificate stores (Windows Store apps) us/library/windows/apps/xaml/hh aspx Web authentication broker Aqui vai ser o CertificateID do recipiente

21 Que mais? Isso foi só uma visão geral, próximo passo é ler o paper:

22 Comece pelo mais simples...

23 Contato

24


Carregar ppt "Tirando proveito das ferramentas da Microsoft para desenvolver aplicativos seguros Yuri Diogenes Senior Technical Writer Server and Cloud Division – Information."

Apresentações semelhantes


Anúncios Google