Bonnes pratiques et top Issues Ce quapporte Vista Démos!
Règle 1 : si une personne malveillante parvient à vous convaincre d'exécuter son programme sur votre ordinateur, ce dernier ne vous appartient plus Règle 2 : si une personne malveillante parvient à altérer le système d'exploitation de votre ordinateur, ce dernier ne vous appartient plus Règle 3 : si une personne malveillante bénéficie d'un accès physique illimité à votre ordinateur, ce dernier ne vous appartient plus Règle 4 : si vous autorisez une personne malveillante à télécharger des programmes sur votre site Web, ce dernier ne vous appartient plus Règle 5 : des mots de passe forts pour une meilleure sécurité Règle 6 : plus l'administrateur est digne de confiance plus l'ordinateur est sûr Règle 7 : les données chiffrées ne sont en sécurité que si la clé de déchiffrement l'est également Règle 8 : mieux vaut un antivirus obsolète que pas d'antivirus du tout Règle 9 : l'anonymat total est irréalisable, dans la vie comme sur Internet Règle 10 : la technologie n'est pas une panacée
Se méfier des entrées utilisateur Se protéger contre les saturations de tampon Éviter les scripts inter-site N'exigez pas d'autorisations d'administrateur système (sa) Attention au code de cryptage ! Réduisez votre profil d'attaque Utilisez le principe du moindre privilège Faites attention aux modes de défaillance L'emprunt d'identité est fragile Écrivez des applications que les non-administrateurs puissent réellement utiliser
Pratique n°1 : Assumer la responsabilité Pratique n°2 : Ne jamais se fier aux données Pratique n°3 : Modéliser les menaces à l'encontre de votre code Pratique n°4 : Conserver une longueur d'avance Pratique n°5 : Fuzzing Pratique n°6 : Ne pas écrire de code non sécurisé Pratique n°7 : Reconnaître l'asymétrie stratégique Pratique n°8 : Utiliser les meilleurs outils disponibles
(*) une version danti-XSS est dispo (encodage des chaines)
Code.NET 3.0Code Natif SQLInjectionUtiliser les objets paramètres dans ADO.NET Utiliser les objets paramètres dans OLEDB, ADO, ODBC… Valider les entréesValider la taille des buffers Utiliser les Expressions Régulières de.NET Utiliser les contrôles de saisie ASP.NET et valider coté client et serveur Valider la taille des buffers Utiliser la CRT Safe Utiliser les Expressions Régulières Utiliser /GS pour les buffers overrun /DynamicBase (ASLR) Cross Scripting Site Utiliser la bibliothèque.NET anti-XSS Valider tous les champs…
Code.NET 3.0Code Natif Cryptographie.Utiliser les classes.NET SecureString.NET DPAPI Hash des mots de passe Utiliser CAPICOM Utiliser CNG DPAPI natif Moindre privilègeUtiliser CAS Role Based Security Debug in zone de.NET Utiliser les ACL Utiliser des token restreints Code de défaillanceRester « discret » dans les msg derreur /SafeSEH
Code.NET 3.0Code Natif Nexiger pas des droits administrateur UAC Isoler les parties « admin » du code CAS et RoleBased UAC
b18ff918c mspx?mfr=true b18ff918c mspx?mfr=true mie_intro.asp mie_intro.asp 8ec98dcf5f mspx 8ec98dcf5f mspx
Sinformer - Un portail dinformations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique Visual Studio Abonnement MSDN Premium Abonnement TechNet Plus : Versions déval + 2 incidents support
© 2007 Microsoft France Votre potentiel, notre passion TM