La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Bonnes pratiques et top Issues Ce quapporte Vista Démos!

Publié parOuida Pierre Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Bonnes pratiques et top Issues Ce quapporte Vista Démos!"— Transcription de la présentation:

1

2 Bonnes pratiques et top Issues Ce quapporte Vista Démos!

3 Règle 1 : si une personne malveillante parvient à vous convaincre d'exécuter son programme sur votre ordinateur, ce dernier ne vous appartient plus Règle 2 : si une personne malveillante parvient à altérer le système d'exploitation de votre ordinateur, ce dernier ne vous appartient plus Règle 3 : si une personne malveillante bénéficie d'un accès physique illimité à votre ordinateur, ce dernier ne vous appartient plus Règle 4 : si vous autorisez une personne malveillante à télécharger des programmes sur votre site Web, ce dernier ne vous appartient plus Règle 5 : des mots de passe forts pour une meilleure sécurité Règle 6 : plus l'administrateur est digne de confiance plus l'ordinateur est sûr Règle 7 : les données chiffrées ne sont en sécurité que si la clé de déchiffrement l'est également Règle 8 : mieux vaut un antivirus obsolète que pas d'antivirus du tout Règle 9 : l'anonymat total est irréalisable, dans la vie comme sur Internet Règle 10 : la technologie n'est pas une panacée

4 Se méfier des entrées utilisateur Se protéger contre les saturations de tampon Éviter les scripts inter-site N'exigez pas d'autorisations d'administrateur système (sa) Attention au code de cryptage ! Réduisez votre profil d'attaque Utilisez le principe du moindre privilège Faites attention aux modes de défaillance L'emprunt d'identité est fragile Écrivez des applications que les non-administrateurs puissent réellement utiliser

5 Pratique n°1 : Assumer la responsabilité Pratique n°2 : Ne jamais se fier aux données Pratique n°3 : Modéliser les menaces à l'encontre de votre code Pratique n°4 : Conserver une longueur d'avance Pratique n°5 : Fuzzing Pratique n°6 : Ne pas écrire de code non sécurisé Pratique n°7 : Reconnaître l'asymétrie stratégique Pratique n°8 : Utiliser les meilleurs outils disponibles

6 (*) une version danti-XSS est dispo (encodage des chaines)

7 Code.NET 3.0Code Natif SQLInjectionUtiliser les objets paramètres dans ADO.NET Utiliser les objets paramètres dans OLEDB, ADO, ODBC… Valider les entréesValider la taille des buffers Utiliser les Expressions Régulières de.NET Utiliser les contrôles de saisie ASP.NET et valider coté client et serveur Valider la taille des buffers Utiliser la CRT Safe Utiliser les Expressions Régulières Utiliser /GS pour les buffers overrun /DynamicBase (ASLR) Cross Scripting Site Utiliser la bibliothèque.NET anti-XSS Valider tous les champs…

8 Code.NET 3.0Code Natif Cryptographie.Utiliser les classes.NET SecureString.NET DPAPI Hash des mots de passe Utiliser CAPICOM Utiliser CNG DPAPI natif Moindre privilègeUtiliser CAS Role Based Security Debug in zone de.NET Utiliser les ACL Utiliser des token restreints Code de défaillanceRester « discret » dans les msg derreur /SafeSEH

9 Code.NET 3.0Code Natif Nexiger pas des droits administrateur UAC Isoler les parties « admin » du code CAS et RoleBased UAC

10

11 http://www.infosecinstitute.com/blog/2005/12/fuzzers-ultimate-list.html http://msdn.microsoft.com/msdnmag/issues/06/11/ExtendingSDL/default.aspx?loc=fr http://msdn2.microsoft.com/en-us/security/default.aspx http://msdn.microsoft.com/msdnmag/issues/04/11/AttackSurface/ http://msdn.microsoft.com/msdnmag/issues/05/11/SDL/ http://msdn.microsoft.com/msdnmag/issues/02/09/SecurityTips/ http://msdn.microsoft.com/msdnmag/issues/06/11/SecureHabits/Default.aspx?loc=fr http://technet.microsoft.com/en-us/windowsvista/aa905108.aspx http://technet2.microsoft.com/WindowsVista/en/library/00d04415-2b2f-422c-b70e- b18ff918c2811033.mspx?mfr=true http://technet2.microsoft.com/WindowsVista/en/library/00d04415-2b2f-422c-b70e- b18ff918c2811033.mspx?mfr=true http://blogs.msdn.com/uac/ http://blogs.msdn.com/windowsvistasecurity/archive/2006/08/11/695993.aspx http://www.microsoft.com/technet/windowsvista/security/guide.mspx http://technet.microsoft.com/en-us/windowsvista/aa905072.aspx http://msdn.microsoft.com/library/default.asp?url=/workshop/security/protmode/overviews/p mie_intro.asp http://msdn.microsoft.com/library/default.asp?url=/workshop/security/protmode/overviews/p mie_intro.asp http://www.microsoft.com/technet/prodtechnol/windows/appcompatibility/default.mspx http://windowshelp.microsoft.com/Windows/en-US/Help/bf416877-c83f-4476-a3da- 8ec98dcf5f101033.mspx http://windowshelp.microsoft.com/Windows/en-US/Help/bf416877-c83f-4476-a3da- 8ec98dcf5f101033.mspx http://www.microsoft.com/technet/desktopdeployment/bdd/2007/AppCompact.mspx

12 Sinformer - Un portail dinformations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique Visual Studio 2005 + Abonnement MSDN Premium Abonnement TechNet Plus : Versions déval + 2 incidents support

13 © 2007 Microsoft France Votre potentiel, notre passion TM

Télécharger ppt "Bonnes pratiques et top Issues Ce quapporte Vista Démos!"

Présentations similaires

SQL Server Profiler Deadlock graph Outil : SQL Server Profiler Patrick Guimonet Architecte Infrastructure Division Développeurs et Plateforme dEntreprise.

SQL Server Profiler Deadlock graph Outil : SQL Server Profiler Patrick Guimonet Architecte Infrastructure Division Développeurs et Plateforme dEntreprise.
1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.

1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
Botnet, défense en profondeur

Botnet, défense en profondeur
On ne va pas se quitter comme ça !. Windows Presentation Foundation (Avalon) Windows Communication Foundation (Indigo) Windows Workflow Foundation Atlas.

On ne va pas se quitter comme ça !. Windows Presentation Foundation (Avalon) Windows Communication Foundation (Indigo) Windows Workflow Foundation Atlas.
Comment créer une alerte WMI ? WMI Windows Management Instrumentation Outils : SQL Server Management Studio SQL Agent Patrick Guimonet Architecte Infrastructure.

Comment créer une alerte WMI ? WMI Windows Management Instrumentation Outils : SQL Server Management Studio SQL Agent Patrick Guimonet Architecte Infrastructure.
Découverte de SQL Server par la pratique pour les administrateurs expérimentés Module 6 : Protection des données Bertrand Audras Microsoft Technology Center.

Découverte de SQL Server par la pratique pour les administrateurs expérimentés Module 6 : Protection des données Bertrand Audras Microsoft Technology Center.
Le déploiement dapplications et la gestion du réseau pédagogiques détablissements scolaires Brice DELONS Consultant manager EXAKIS.

Le déploiement dapplications et la gestion du réseau pédagogiques détablissements scolaires Brice DELONS Consultant manager EXAKIS.
Tableau de Bord DSI Lionel Gomes Da Rosa

Tableau de Bord DSI Lionel Gomes Da Rosa
Le programme Evolution

Le programme Evolution
Linq, fonctionnement et architecture

Linq, fonctionnement et architecture
Conclusion Rencontres ASP.NET : Développement Rapide dApplications Web.

Conclusion Rencontres ASP.NET : Développement Rapide dApplications Web.
1 HPC pour les opérations. Administration Compute Cluster Server.

1 HPC pour les opérations. Administration Compute Cluster Server.
Assistant paramétrage. du moteur de base de données

Assistant paramétrage. du moteur de base de données
Plan de formation Chapitre 1 : Présentation de SAP

Plan de formation Chapitre 1 : Présentation de SAP
Découvrez… 30/03/2017 © Agarik.

Découvrez… 30/03/2017 © Agarik.
Construire une Set Top Box Avec Windows CE 6.0

Construire une Set Top Box Avec Windows CE 6.0
MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.

MODEX WEB BAPTISTE DESPREZ Un peu de sécurité. Avant dentrer dans le vif du sujet JavaScript Langage de script (comme PHP) Exécuté par votre navigateur.
Synchronisation Outlook via Exchange et réseau EDGE Forum ARTIC 2007

Synchronisation Outlook via Exchange et réseau EDGE Forum ARTIC 2007
Un regard sur les bonnes pratiques d'implémentation Eric Mittelette Eric Vernié Microsoft France - DPE.

Un regard sur les bonnes pratiques d'implémentation Eric Mittelette Eric Vernié Microsoft France - DPE.
Introduction à ASP.NET 2.0 Christine DUBOIS MSDN Regional Director AGILCOM.

Introduction à ASP.NET 2.0 Christine DUBOIS MSDN Regional Director AGILCOM.

Présentations similaires

Annonces Google