A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança na Web Java, ActiveX, JavaScript por Hednilson Bezerra Hugo Morais Vicente Beltrão.

Apresentações semelhantes


Apresentação em tema: "Segurança na Web Java, ActiveX, JavaScript por Hednilson Bezerra Hugo Morais Vicente Beltrão."— Transcrição da apresentação:

1 Segurança na Web Java, ActiveX, JavaScript por Hednilson Bezerra Hugo Morais Vicente Beltrão

2 Programação F Conteúdos Executáveis F Segurança em Java F Segurança em ActiveX F Java vs. ActiveX F Segurança em JavaScript

3 Programação F Conteúdo Executável F Segurança em Java F Segurança em ActiveX F Java vs. ActiveX F Segurança em JavaScript

4 Conteúdos Executáveis F programas transportados na rede para rodar em máquinas remotas F idéia muito interessante e poderosa F convite a problemas de segurança F acesso a certos recursos da máquina hospedeira F programa pode não ser confiável

5 Conteúdos Executáveis F pode tornar à tona um programa malicioso com a mesma habilidade de destruir tal como hacker F solução não é tão simples como restringir completamente o acesso a recursos dos programas que são baixados F recursos da máquina precisam ser controlados

6 Conteúdos Executáveis F identificar os recursos e providenciar certos tipos de acesso limitado a estes recursos, de acordo com os ataques que esses recursos podem sofrer F recursos: sistema de arquivos, rede, memória, dispositivos de entrada e saída, controle de processos, ambiente, chamadas ao sistema operacional

7 Conteúdos Executáveis F Os principais tipos de ataque, causados por conteúdos executáveis são: –ataques de integridade –ataques de disponibilidade –ataques de revelação –ataques de aborrecimento

8 Segurança em Java F característica de Java: portabilidade F applets podem ser dinamicamente carregados através da rede e serem executados localmente F Web browser + interpretador Java + biblioteca dinâmica F 3 níveis de segurança devem ser estudados: a linguagem, as bibliotecas e o web browser

9 Segurança em Java A Linguagem F características de segurança da linguagem: –controle de acesso para variáveis e métodos dos objetos –segurança do sistema de tipos –não uso de ponteiros com tipo de dados da linguagem –garbage collection –pacotes com espaço de nomes distintos

10 Segurança em Java As Bibliotecas F oferece acesso aos recursos do sistema F implementação correta dessas bibliotecas F As restrições de acessos dessas bibliotecas: –mecanismo da linguagem de oferecer restrições de acesso aos métodos e variáveis dos objetos –ClassLoaders especializados em carregar código importado –chamadas explícitas ao SecurityManager global para checar a validade de certas operações

11 Segurança em Java Web Browsers F define e implementa a política de segurança para rodar o código Java baixado F SecurityManager controla o acesso aos recursos críticos do sistema F Se o web browser não instala um SecurityManager, um applet poderá ter o mesmo tipo de acesso de uma aplicação Java local

12 Problemas de Segurança em Java F O SecurityManager não tem um método para controlar a criação de janelas ou controlar o que pode ser mostrado ou tocado F Não há um mecanismo para controlar o acesso do applet aos dispositivos de entrada F Um applet pode alocar uma quantidade de memória arbitrária, criando novos objetos

13 Segurança em Java Poder X Segurança F Java foi proposta para providenciar maior poder e flexibilidade às aplicações F balanceamento entre o poder das aplicações e os riscos de segurança do sistema F Qualquer um que esteja considerando usar Java precisa entender que há um aumento nos riscos de segurança, mas ela prover um mecanismo de segurança de certa forma razoável para aplicações da Internet

14 ActiveX - Introdução F O que é esta nova Tecnologia –Apresentada pela Microsoft na Internet Professional Developers Conference (PDC) –Constitui um conjunto de tecnologias –Formada por ActiveX Controls, ActiveX Scripting e ActiveX Documents –Pode ser encarado como uma reformulação da antiga Tecnologia OLE para a Web –Promove a iteração entre Software em ambiente de rede

15 ActiveX - Vantagens F Excelente funcionalidade F Ambientes amigáveis e iterativos F Maior aproximação com o usuário final F É baixado uma única vez, a menos da versão estar desatualizada F Bom desempenho por entender diretamente a linguagem da plataforma Windows 95 e NT

16 ActiveX - Desvantagens F Nem tudo são flores... F Ganha-se por um lado e perde por outro F A Microsoft apostou na funcionalidade F E a segurança ? Esta merece maior atenção e dedicação F A compatibilidade também é um fator desfavorável (por enquanto)

17 ActiveX - Segurança F Até que ponto a Web é segura, mesmo antes desta nova tecnologia ? F A maior funcionalidade do ActiveX promove boas ambições aos Hackers F Pode-se Instalar vírus, excluir arquivos F Pode acabar com sua máquina e suas informações F Uma vez instalado, ele tem total poder

18 ActiveX - Segurança F Quais os recursos de proteção ? F O Internet Explorer (acima da versão 3.0), oferece três níveis de segurança –Alto (recomendado a todos usuários) –Médio (para usuários experientes) –Baixo (para nenhum usuário !!) F Sistema de Authenticode

19 ActiveX - Segurança F O que é a Assinatura Digital ? F Possui informações com relação a empresa e autor que desenvolveram o ActiveX F Questão de confiança no autor e na Microsoft F Funciona muito bem para Intranets F Alguns especialistas apostam nesta tecnologia

20 Java Applet x ActiveX F Java roda em uma JVM F Carregado toda vez que é acessado F Maior segurança, menor flexibilidade e funcionalidade F Java é seguro ? F Teoricamente não pode escrever no sistema de arquivos do cliente e não se comunicam com aplicativos não-java

21 Java Applet x ActiveX F Bugs encontrados em algumas JVM, promovem alto grau de insegurança

22 Novas tendências F Firewalls são usados para proteger redes de ActiveX e Java Applet F Há o bloqueio do código sem haver algum tipo de inspeção de sua validae F Pouco prático e inflexível F As tecnologias mudam F Surgem os Firewalls inteligentes

23 Novas tendências F Baseiam-se no estado da comunicação F Utilizam estados de comunicações passadas e o estado da aplicação em si F Armazenamento de estado F Aprende com as comunicações passadas F Avaliam as presentes e futuras F Quando a origem é desconhecida, usa-se a adivinhação

24 Conclusão F Não existe algo realmente seguro na Internet F Há sempre um risco inerente F Toda a sociedade perde com isto F Não é dever do usuário distinguir determinadas tecnologias F De alguma forma tem que se possibilitar um ambiente seguro F ActiveX é um vilão ou herói?

25 Breve Histórico F Semelhança com Java, mas desenvolvido pela Netscape F Browsers que suportam JavaScript –Netscape Navigator (2.x, 3.x) –Netscape Comunicator (4.x) –Internet Explorer (3.x, 4.0)

26 Breve Histórico F Originalmente chamada de LiveScript, o código JavaScript é colocado diretamente no texto de um documento HTML F É visto como um comentário em browsers que não o interpretam F Dão uma funcionalidade adicional para página Web. F JavaScript prover uma funcionalidade incremental, ela é sintaticamente simples e menos poderosa que Java

27 Brechas conhecidas na segurança de JavaScript JavaScript também tem uma história de problemas com segurança. Não como as brechas de Java, que potencialmente podem trocar dados no disco do usuário, as brechas de JavaScript geralmente envolvem a privacidade do usuário. Apesar de alguns bugs terem sidos resolvidos outros explodem a cada dia. O mais recente foi relatado em 16 de outubro de 1997.

28 Interceptação de arquivos F Brecha do IE 4.0 F permitem um operador de um Web Site remoto espionar o conteúdo de algum texto imagem ou arquivo HTML localizado na sua máquina ou um arquivo localizado em um servidor de arquivo.

29 Interceptação de arquivos F Firewalls não podem nos proteger contra este ataque e os browsers estão vulneráveis mesmo quando rodam no modo de Alta Segurança. F versão para Macintosh do IE 4.0 aparentemente não são afetadas.

30 Interceptação de arquivos F Descoberto pelo consultor alemão Ralf Hueskes e é conhecido como Freiburg attack F Quando o browser abre o site, o programa JavaScript cria um frame invisível e vai varrendo todos os arquivos da máquina em busca de arquivos de nomes bem conhecidos enviando-os para algum site na Internet F Este bug não permite que JavaScript modifique ou prejudique os arquivos.

31 Monitoração da Sessão do Usuário F Esta brecha permite que páginas com JavaScript monitore todas as páginas visitadas pelo usuário durante a sessão. F Variações: capturar conteúdo de formulários, cookies e informações sobre outros elementos na página.

32 Monitoração da Sessão do Usuário F Informações sempre podem ser roubadas mesmo se o usuário estiver visualizando páginas seguras encriptadas com SSL F Usuários trabalhando atrás de sistemas de Firewalls corporativos estão tão vulneráveis quanto aqueles que estão conectados diretamente na Internet F Risco: privacidade do usuário, dados e softwares localizados na máquina do usuário não podem ser modificados. F Todos os browsers estão sujeitos a este bug

33 Observação de Informações através de Frames F Um JavaScript não pode recuperar a URL de um documento baixado de um outro site, mas ele pode detectar os seguintes itens do respectivo documento URLs de todas imagens no documento Outras informações das imagens, como largura e comprimento URLs de todos os Applets URLs de todos os ActiveX Controls

34 Brecha de Enviar Arquivo F Não estritamente relacionada com JavaScript F Bug no modo em que formulários são tratados pelo Navigator F Programas JavaScript enganam o browser enviando algum arquivo do HD do usuário local

35 Brecha de Enviar Arquivo F O Usuário não terá conhecimento a não ser que tenha habilitado a opção de Aviso antes de Submeter F O Navigator falhará em produzir um aviso se o servidor remoto por acaso utilizar SSL para estabelecer uma conexão segura

36 Conclusão JavaScript contém brechas na segurança. Muitas delas tem sido diagnosticadas, mas novas vem aparecendo numa taxa constante. Indubitavelmente ainda existem bugs desconhecidos. As pessoas que se preocupam com a falta de privacidade das informações são encorajadas a desabilitar JavaScript completamente.


Carregar ppt "Segurança na Web Java, ActiveX, JavaScript por Hednilson Bezerra Hugo Morais Vicente Beltrão."

Apresentações semelhantes


Anúncios Google