A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Tirando proveito das ferramentas da Microsoft para desenvolver aplicativos seguros Yuri Diogenes Senior Technical Writer Server and Cloud Division – Information.

PublicouBrenno Sancho Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Tirando proveito das ferramentas da Microsoft para desenvolver aplicativos seguros Yuri Diogenes Senior Technical Writer Server and Cloud Division – Information."— Transcrição da apresentação:

1 Tirando proveito das ferramentas da Microsoft para desenvolver aplicativos seguros Yuri Diogenes Senior Technical Writer Server and Cloud Division – Information Experience Solutions Team

2 Yuri, você é Dev? Quem é você?

3 Agenda Preparando para desenvolver de forma seguraRecapitulando o escopo atual de segurançaVantagens e Oportunidades da plataforma Windows 8Ferramentas para auxiliar no desenvolvimento seguro

4 Recapitulando o escopo atual de segurança

5 Recapitulando o escopo de segurança APPS Nuvem Privada Nuvem Pública On-PremiseOnline DISPOSITIVOS Proteção e gerenciamento contra ameaças Proteção aos dados sensíveis Acesso Seguro aos Recursos

6 Onde estão as ameaças?

7 Preparando para desenvolver de forma segura

8 Se você pensou em SDL, acertou...

9 Espere, eu sou Dev...segurança é para infra.... Não diga isso nem brincando....  Ao adotar um modelo como SDL o primeiro passo é o treinamento básico de segurança para toda a equipe de desenvolvimento O projeto já nasce com “segurança embutida” pois a validação ocorre em cada fase

10 Literatura Recomendada

11 Vantagens e Oportunidades da Plataforma Windows 8

12 Você disse oportunidades?

13 Mas nada disso seria interessante para o consumidor se não fosse seguro...

14 Alinhando Oportunidade com Segurança Desenvolva suas aplicações com base em um framework de segurança (já ouviu falar de SDL?) Valide suas aplicações com ferramentas de segurança BinScope Binary Analyzer Valida o uso correto de algumas funções de segurança recomendada via SDL, como: SafeSEH Exception Handling Protection, AllowPartiallyTrustedCallersAttribute e outras. Attack Surface Analyzer Tira um “retrato” do sistema antes da aplicação ser instalada e depois compara com o estado após a instalação. Windows Store

15 Windows 8 e Visual Studio 2012 Windows 8 com Vistual Studio 2012 fornecem um conjunto de APIs, controle e ferramentas para minimizar vulnerabilidades de aplicações e mitigar problemas comuns de segurança Como padrão você não precisa fazer NADA...isso NADA para usar algumas características de segurança que antes precisavam ser ativadas, como: /GS (Buffer Security Check) – detecta buffer overrun /DYNAMICBASE – para uso de ASLR (Address Space Layout Randomization) DEP (Data Execution Prevention)- quando implementado em nível de software previne código malicioso de tirar vantagem de “exception-handling” SEHOP (Structured Exception Handling Overwrite Protection) – bloqueia exploits que usam técnicas SEH (Structured Exception Handler)

16 Hardening de Aplicações Através da declaração de App Capabilities é possível limitar o escopo de ação da aplicação.

17 Chega de achar que precisa de tudo... Se sua aplicação precisa acessar só alguns arquivos então não tem sentido requisitar acesso total a uma pasta e ainda com FULL CONTROL.... FileOpenPicker class

18 Não confie em conteúdo remoto/externo... Páginas remotas que sua aplicação precisa (porventura) interagir e que usam iFrame adicionam uma camada de risco Quando a entrada da sua aplicação vier de um conteúdo externo, faça a verificação (sanitization) para remover conteúdo executável Converte o script em conteúdo HTML estático Converte o script em texto

19 Não confie em conteúdo remoto/externo...parte 2 Se sua aplicação aceita entrada ou dados vindo da Web, não deixe que este conteúdo faça acesso ao WinRT (Windows Runtime)....sim, como padrão o Windows 8 permite que o conteúdo da sua app acesse o runtime. Coloque o conteúdo recebido em sandbox iframe

20 Confie na nuvem, mas valide antes Autentique o acesso a serviços da nuvem Sua aplicação pode usar GetAppReceiptAsync para validar a app obtida de um serviço de nuvem (App Store) A validação ocorre via checagem de certificado usando a URL abaixo Outros métodos de autenticação incluem: Shared certificate stores (Windows Store apps) http://msdn.microsoft.com/en- us/library/windows/apps/xaml/hh465029.aspx Web authentication broker http://code.msdn.microsoft.com/windowsapps/Web-Authentication-d0485122 Aqui vai ser o CertificateID do recipiente

21 Que mais? Isso foi só uma visão geral, próximo passo é ler o paper: http://msdn.microsoft.com/en-us/library/windows/apps/hh849625.aspx

22 Comece pelo mais simples...

23 Contato

24

Carregar ppt "Tirando proveito das ferramentas da Microsoft para desenvolver aplicativos seguros Yuri Diogenes Senior Technical Writer Server and Cloud Division – Information."

Apresentações semelhantes

UNIPAC – ARAGUARI CAMPUS – IX PROF. EVERTON HIPÓLITO DE FREITAS

UNIPAC – ARAGUARI CAMPUS – IX PROF. EVERTON HIPÓLITO DE FREITAS
Curso Técnico de Informática

Curso Técnico de Informática
Área de Desenvolvimento de Sistemas

Área de Desenvolvimento de Sistemas
Emitindo seu Certificado Digital

Emitindo seu Certificado Digital
TIPOS DE TESTES APLICÁVEIS E NÃO APLICÁVEIS AO PROJETO

TIPOS DE TESTES APLICÁVEIS E NÃO APLICÁVEIS AO PROJETO
Domain-Specific Modelling na Engenharia de Software.

Domain-Specific Modelling na Engenharia de Software.
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
Unicamp 2012 – Prova de Redação

Unicamp 2012 – Prova de Redação
Segurança Completa, como nehuma outra solução tem.

Segurança Completa, como nehuma outra solução tem.
Técnico em Informática “ Aprendendo a aprender !!! “

Técnico em Informática “ Aprendendo a aprender !!! “
Conhecendo o Visual Studio.NET

Conhecendo o Visual Studio.NET
Rodrigo Cristiano Silva

Rodrigo Cristiano Silva
Trabalho – 03/09/2012 1 2 3 4 FIM.

Trabalho – 03/09/ FIM.
DOCUMENTO CONFIDENCIAL DA MICROSOFT Set 2009 | Página 1 | Apresentação para BDMs.

DOCUMENTO CONFIDENCIAL DA MICROSOFT Set 2009 | Página 1 | Apresentação para BDMs.
Redes de Computadores Prof. Rafael Silva.

Redes de Computadores Prof. Rafael Silva.
Fundamentos de Segurança da Informação

Fundamentos de Segurança da Informação
SETEMBRO, 2010 | SÃO PAULO. Utilizando o AppLocker para proteger seu ambiente da execução de aplicações não autorizadas C Ó DIGO DA SESS Ã O: CLI307 Rodrigo.

SETEMBRO, 2010 | SÃO PAULO. Utilizando o AppLocker para proteger seu ambiente da execução de aplicações não autorizadas C Ó DIGO DA SESS Ã O: CLI307 Rodrigo.
Rodrigo Cristiano Silva

Rodrigo Cristiano Silva
Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.

Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.
Aula prática 13 Orientação a Objetos – C++ Parte 1

Aula prática 13 Orientação a Objetos – C++ Parte 1

Apresentações semelhantes

Anúncios Google