Att skriva säker kod – del 2

Slides:



Advertisements
Liknande presentationer
Sweden SharePoint User Group Wictor Wilén
Advertisements

BAS-M Hur du på ett enkelt sätt administrerar din båtklubbs register.
Avtalsdatabasen kommer att byta utseende
Motivation och förändring
First Class Arken - Introduktionskurs
Tomas Sandström, Adtollo
E-post i mobilen -Ett sätt att öka tekno-stressen, eller en lysande effektivitetshöjare?
Skapa ett video-CV på YouTube
Metodstöd.
Affärsplaner för samhällsentreprenörer?
Migrera befintliga system till Windows Azure
Serverkampanj för mellanmarknaden – genom partnerpresentation: Bild endast för presentatör: visa inte Talare: Partner Presentationens titel: Kraften att.
Access med Sebastian och Robert
Föreläsare: Per Sahlin
E-post juni 2013.
Mjukvara och nätverk Vad är det?.
Utveckling av Er IT-miljö Hjälp med datorproblem Allmän IT-support.
Smartare administration i Quality Center HUGS 3 april 2008 Jan Czajkowski
Hämta företagsdata till Excel
”Ett sätt att distribuera Business Objects via webben”
Problemformulering Vad är problemet eller behovet– gapen i våra resultat? Vad: Vad påverkas? Är det specifikt? Innehåller det ett implicit förslag till.
Trådlös (o)säkerhet Vanliga missuppfattningar Det krävs dyr utrustning Vi har inte trådlös access Vi är säkra för vi använder kryptering Vi är säkra för.
PKI & Active Directory Certificate Services
Verktyg för att hantera IT-Projekt
Inkapsling.
NETinfo 2009–10-09 Magnus Persson Epost: Telefon: 046 –
MSDN Live för utvecklare av utvecklare
Microsoft Dynamics CRM 3.0
MIIS 2003 – User Identity Lifecycle Management
Säkerhet i praktiken – med Windows Server 2003 och XP! Marcus Thorén, MCT, MCSE+Security Security Consultant Nexus Security Consultants Technology Nexus.
Virus och skräppost
En introduktion till Datakommunikation och Säkerhetstänkande
TIPS & RÅDAKUTEN av Lina och Johan. SÖKA, LAGRA och ÖVERFÖRA INFORMATION PÅ DATORN - SÅ KAN DU GÖRA!
Workshop inför Projektet
Marknadsförarens mall för att skapa köpares persona!
© Anders Ingeborn Säkerhet i trådlösa LAN Älvsjö april 2001.
Identitetshantering i praktiken
Beskrivning av SVT1 – SVT2 registreringsfel Möte på SVT 14 nov 2008.
Helpdesk – 10 i topp.. 2 Glömt anv.namn/lösenord –Användaren har bytt anv.namn/lösen och kommer inte ihåg till vad, eller så har de inte kvar mailet de.
Projekt och Arkitektur
Känna till och ha provat metoder och verktyg för processledning
De 6 största hoten mot din PC. 1. Datorns skydd är för dåligt Kolla virusskyddet Kör fullständig virusgranskning emellanåt Ha en endast ETT virusskydd.
Elisabeth Ingesson, Kalmar Läns Landstingsavdelning 097
A Federation-Ninja’s warstories from the field…
KONFIDENTIELLT. Distribution endast till partners enligt sekretessavtal. Microsoft utfäster inga garantier, varken uttryckliga eller underförstådda. ©
IT-säkerhet Gästföreläsning av Christian Ohlsson 2011.
© Anders Ingeborn IT-säkerhetsprojekt Vinnande strategier.
© Anders Ingeborn, Infosec 2000 Penetrationstester Att bryta sig in i andras datorer.
Viktigt när du upphandlar molntjänster
Navision – RIM Rapid Implementation Methodology - anpassning.
Nyttan med en säker meddelande- och kommunikationsplattform Lasse Pettersson, Humandata.
Datorer och privat säkerhet (privacy). Innehåll Handel på internet Risker som en användare utsätt för på internet Hur man skyddar sig från attacker Hur.
1.1. TechNet Security Summit 2004 Security Framework ”Introduktion av ”Security in Depth” Marcus Murray.
Security Management John Laerum Instruktör Upprätthålla säkerhetsnivån Group Policies i Active Directory IIS Lockdown tool och IIS 6 VPN karantän i RAS.
Jonny Karlsson PROCESSPROGRAMMERING Föreläsning 8 ( )‏ Innehåll:  Introduktion till Java EE (Enterprise Edition)  Enterprise Java Beans.
Utvecklarna Karin Älfvåg Marknadschef Developer & Platform Evangelism Microsoft AB Your potential. Our passion.
Edge Client och Server OS Server Applikationer Agenda  Intro  Komponenter  Server installation  Definition updates  FCS konfiguration  Klient deployment.
OPERATIVSYSTEM OCH PRAKTISK LINUX Föreläsning 10 – Vecka INNEHÅLL  Säkra nätverksförbindelser  SSH (Secure Shell)  SSL (Secure Sockets Layer)
Navision – RIM Rapid Implementation Methodology – användning David Knezevic, Stockholm,
Rätt informationssäkerhet
Föreläsning om RUP RUP – Rational Unified Process
Om HSA och HSA-ansvarigs roll
Trådlösa nätverk WPA v1 TKIP EAP Christian Johansson, Robin Nilsson, Jonas Rådström.
Datasäkerhet 1.Skydda informationen – Ändra, förstöras eller kopieras 2.Säkerställa driften – Se till att program, datorer, servrar, nätverk och kommunikation.
Michael Hansson Löfqvist SISU Idrottsutbildarna Stockholm
Analytics - Vad ni kan göra
Säkerhet - Vad ni kan göra
Gratis testkonto med egen inloggning
IT Databas Göran Wiréen
FSO dagar 2019.
Presentationens avskrift:

Att skriva säker kod – del 2 MGB 2003 Att skriva säker kod – del 2 Fredrik Hesse Säkerhetskonsult Nexus Technology AB © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda En säker utvecklingsprocess Hotbildsmodellering Riskanalys MGB 2003 Agenda En säker utvecklingsprocess Hotbildsmodellering Riskanalys Rekommendationer och riktlinjer © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Förbättra utvecklingsprocessen MGB 2003 Förbättra utvecklingsprocessen Tänk på säkerheten… vid början av processen genom hela utvecklingscykeln vid alla milstolpar och “reviews” vid utrullning och installation Sluta inte att leta efter säkerhetshål och buggar förrän utvecklingen är helt klar! © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Säkerhetsramverket SD3 MGB 2003 Säkerhetsramverket SD3 ”Secure by design” Säker arkitektur och kod Hotbildsanalys Mindre sårbarheter ”Secure by default” Minskad exponering av sårbarheter Slå av funktioner som inte används Använd så få rättigheter som möjligt ”Secure in deployment” Identifiera, skydda och hantera Använd riktlinjer, arkitektur Utbilda personalen © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Tidslinje Genomför extern granskning Analysera hot MGB 2003 Tidslinje Genomför extern granskning Analysera hot Lär av misstag och applicera Inventera säkerhetskompetens vid anställning Bestäm kriterier för säkerhet Testa luckor och sårbarheter Koncept Lansering Efter lansering Design klar Testplaner klara Koden klar Utbilda deltagare i projektet Lös säkerhetsfrågor, verifiera kod mot riktlinjer Genomför granskning av säkerhetsgrupp Tester av datapåverkan och minsta rättigheter =pågående © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

“Secure By Design” Öka säkerhetskunskapen i designteam MGB 2003 “Secure By Design” Öka säkerhetskunskapen i designteam Utbilda kontinuerligt Utmana attityder – “Det jag inte vet kan inte påverka mig” är fel, fel, fel… Få säkerheten på plats under designfasen Definera säkerhetsmål i produkten Implementera säkerhet som en nyckelfunktion Använd hotbildsmodellering vid designfasen © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda En säker utvecklingsprocess Hotbildsmodellering Riskanalys MGB 2003 Agenda En säker utvecklingsprocess Hotbildsmodellering Riskanalys Rekommendationer och riktlinjer © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Vad är hotbildsmodellering? MGB 2003 Vad är hotbildsmodellering? En säkerhetsbaserad analys som: Hjälper en produktgrupp att förstå var produkten är som mest sårbar Utvärderar hot och sårbarheter Har som mål att minska allmäna säkerhetsrisker Identifierar tillgångar Exponerar sårbarheter Identifierar hot Ska ligga till grund för designspecifikationen om säkerhet © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Fördelar med hotbildsmodellering MGB 2003 Fördelar med hotbildsmodellering Hjälper dig förstå din applikation bättre Hjälper dig hitta buggar Identifierar komplexa buggar i designen Hjälper till att integrera nya medlemmar i utvecklingsteamet Erbjuder väldesignade planer för säkerhetstester Hot Sårbarhet Tillgång © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Hotbildsmodelleringsprocessen MGB 2003 Processen Hotbildsmodelleringsprocessen Identifiera tillgångar 1 Skapa en överblick av arkitekturen 2 Dela upp applikationen 3 Identifiera hot 4 Dokumentera hot 5 Rangordna hot 6 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

1. Identifiera tillgångar MGB 2003 1. Identifiera tillgångar Skapa en lista av tillgångar som kräver skydd, inkludera: Hemlig data, t.ex. databas över kunder Webbsidor Tillgänglighet på systemet Allt som, om något händer, kommer att påverka tillförlitligheten i din applikation © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2. Överblick av arkitekturen MGB 2003 2. Överblick av arkitekturen Identifiera vad applikationen gör Skapa ett diagram över arkitekturen Identifiera tekniker Filauktorisering URL-auktorisering .NET roller (auktorisering) NTFS rättigheter (auktorisering) Egendefinerade roller (auktorisering) “Trust”-gräns “Trust”-gräns ASPNET (process-identitet) Alice Mary IIS Microsoft ASP.NET Microsoft SQL Server™ Bob IPSec SSL Anonym autentisering “Forms Authentication” Windows autentisering © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3. Dela upp applikationen MGB 2003 3. Dela upp applikationen Bryt ned applikationen i delar Skapa en säkerhetsprofil baserat på traditionella sårbarheter Undersök interaktion med olika system Använd DFD eller UML Identifiera “Trust”-gränser Identifiera dataflöden Identifiera inmatningstillfällen Identifiera priviligerad kod Dokumentera säkerhetsprofilen © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4. Identifiera hot Sätt samman en grupp Identifiera hot MGB 2003 4. Identifiera hot Sätt samman en grupp Identifiera hot Nätverksspecifika hot Maskinspecifika hot Applikationsspecifika hot © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Identifiera hot med STRIDE MGB 2003 Identifiera hot med STRIDE Hottyp Exempel Spoofing Förfalska epostmeddelanden Repetera autentiseringspaket Tampering Ändra data vid transport Förändra data i filer Repudiation Ta bort en fil och neka Köpa en produkt och neka Information disclosure Exponera information i felmeddelanden Exponera kod på webbsidor Denial of service Överrösa ett nätverk med SYN-paket Överrösa ett nätverk med förfalskade ICMP-paket Elevation of privilege Utnyttja buffertöverskrivningar Olovligen få administrativa rättigheter © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Använda attackträd 1.0 Se löneinformation (I) MGB 2003 Använda attackträd 1.0 Se löneinformation (I) 1.1 Traffiken är oskyddad (AND) 1.2 Attackeraren tittar på trafiken 1.2.1 Sniffa traffiken med en ... 1.2.2 Lyssna på trafik på routers 1.2.2.1 Routern är inte uppdaterad (AND) 1.2.2.2 Routern är påverkad 1.2.2.3 Någon gissar routerns lösenord Hot 1 (I) Se löneinformation 1.1 Traffiken är oskyddad 1.2 Attackeraren tittar på trafiken 1.2.1 Sniffa trafiken med protokollövervakare 1.2.2 Lyssna på trafik på routers 1.2.2.1 Routern är inte uppdaterad 1.2.2.2 Routern är påverkad 1.2.2.3 Någon gissar routerns lösenord © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

5. Dokumentera hot Dokumentera hot med hjälp av en mall: MGB 2003 5. Dokumentera hot Dokumentera hot med hjälp av en mall: Lämna “Risk” blank (just nu i alla fall) Hotbeskrivning SQL Injection Mål för hot Komponenter för dataåtkomst Risk Attacktekniker Attackerare lägger in SQL-kommandon i användarnamn, som används för att skapa ett SQL-program Motstånd Använda reguljära uttryck för att validera användarnamnet, och en lagrad procedur med parametrar för att få åtkomst till databasen, få rättigheter behövs © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

6. Rangordna hot Använd formeln: Använd DREAD att rangordna hot MGB 2003 6. Rangordna hot Använd formeln: Risk = Chans * Potentiell skada Använd DREAD att rangordna hot “Damage potential” “Reproducibility” “Exploitability” “Affected users” “Discoverability” © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Exempel: Rangordna hot MGB 2003 Exempel: Rangordna hot “Damage potential” “Affected Users” eller “Damage” Hot 1 (I) Se löneinformation 1.1 Traffiken är oskyddad 1.2 Attackeraren tittar på trafiken “Reproducibility” “Exploitability” “Discoverability” eller “Chance” 1.2.1 Sniffa trafiken med protokollövervakare 1.2.2 Lyssna på trafik på routers 1.2.2.1 Routern är inte uppdaterad 1.2.2.2 Routern är påverkad 1.2.2.3 Någon gissar routerns lösenord © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Koda mot en hotbildsmodell MGB 2003 Koda mot en hotbildsmodell Använd hotbildsmodellering för att hjälpa till med att: bestämma vilka delar av din applikation som är mest “sårbar” prioritera säkerhetsfokusering prioritera pågående kodgranskningar bestämma vilka lösningstekniker som ska användas bestämma flödet av data och information © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda En säker utvecklingsprocess Hotbildsmodellering Riskanalys MGB 2003 Agenda En säker utvecklingsprocess Hotbildsmodellering Riskanalys Rekommendationer och riktlinjer © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Riskanalys Alternativ 1: Gör ingenting! Alternativ 2: Varna användaren MGB 2003 Riskanalys Alternativ 1: Gör ingenting! Alternativ 2: Varna användaren Alternativ 3: Eliminera problemet Alternativ 4: Lös problemet © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Processen Hottyp (STRIDE) Lösningsteknik Lösningsteknik Teknik Teknik MGB 2003 Processen Hottyp (STRIDE) Identifiera kategori Exempel: “Spoofing” Välj tekniker Exempel: Autentisering eller skydda hemlig data Lösningsteknik Lösningsteknik Teknik Teknik Teknik Teknik Välj teknik Exempel: Kerberos “Spoofing” Autentisering NTLM X.509 certifikat PGP nycklar “Basic” “Digest” Kerberos SSL/TLS © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Vanliga tekniker STRIDE STRIDE STRIDE STRIDE Konfiguration MGB 2003 Vanliga tekniker Konfiguration STRIDE SSL/TLS IPSec RPC/DCOM STRIDE Stark åtkomstkontroll Digitala signaturer Monitorering Osäkert nätverk Autentiserings data Brandvägg Minska användningen av resurser för anonyma uppkopplingar Klient STRIDE Server STRIDE Persistent data © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda En säker utvecklingsprocess Hotbildsmodellering Riskanalys MGB 2003 Agenda En säker utvecklingsprocess Hotbildsmodellering Riskanalys Rekommendationer och riktlinjer © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Exekvera med minsta rättigheter MGB 2003 Exekvera med minsta rättigheter Välkänd säkerhetstes: “Exekvera med tillräckliga rättigheter för att utföra uppgiften, och inte mer!” Eleverade rättigheter kan få katastrofala konsekvenser Felaktig och fientlig kod som exekverar i en högt priviligerad process exekverar också med extra rättigheter Många virus sprids på grund av att mottagaren har administrativa rättigheter © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MGB 2003 Minska exponeringen Exponera endast begränsade, väldokumenterade gränssnitt i din applikation Använd bara det som applikationen kräver Virusen “Slammer” och “CodeRed” skulle inte ha hänt om vissa funktioner varit avslagna som grundinställning “ILoveYou” (och andra virus) skulle inte ha varit möjliga om exekvering av skript varit avslaget Slå av allt annat! © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Lita inte på inmatning Validera all inmatning MGB 2003 Lita inte på inmatning Validera all inmatning Anta att all inmatning är felaktig Leta efter korrekt data och neka allt annat Begränsa, neka och sanera inmatning med Typkontroller Längdkontroller Kontroller på räckvidd Format Validator.ValidationExpression = "\w+([-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*"; © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Skydd på djupet (1/3) Använd flera brandväggar SQL Server MGB 2003 Skydd på djupet (1/3) SQL Server Använd flera brandväggar IPSec ISA brandvägg IIS ISA brandvägg SSL © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Skydd på djupet (2/3) Applicera korrekt nivå av säkerhet i alla nivåer MGB 2003 Skydd på djupet (2/3) Applicera korrekt nivå av säkerhet i alla nivåer Kontrollera säkerhet Kontrollera säkerhet Applikation.dll Kontrollera säkerhet Säkra resurser med ACL:er Applikation.exe Kontrollera säkerhet Applikation.dll © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MGB 2003 Skydd på djupet (3/3) Ta hänsyn till (och använd) ACL:er i applikationen från början Applicera ACL:er på filer, kataloger, webbsidor, registernycklar, databasfiler, skrivare och objekt i Active Directory Skapa egna ACL:er vid installation av applikationen Inkludera DENY ACE:er Använd inte NULL DACL:er © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Lita inte bara på “obfuscation” MGB 2003 Lita inte bara på “obfuscation” Dölj inte säkerhetsnycklar i filer Lita inte på icke dokumenterade registernycklar Anta alltid att en attackerare kan det du kan och vet det du vet © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Använda DPAPI Två funktioner i DPAPI: MGB 2003 Använda DPAPI Två funktioner i DPAPI: CryptProtectData CryptUnprotectData Två lagringssätt för data som krypteras: “User” “Machine” Egentligen ett sätt att slippa hantera nycklar! © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Smart felhantering (1/2) MGB 2003 Smart felhantering (1/2) DWORD dwRet = IsAccessAllowed(...); if (dwRet == ERROR_ACCESS_DENIED) { // Kontrollen misslyckades // Informera användaren om fel } else { // Kontrollen lyckades // Utför uppgift... } Vad händer om IsAccessAllowed() returnerar ERROR_NOT_ ENOUGH_MEMORY? Se till att hantera eventuella misslyckanden säkert i din kod © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Smart felhantering (2/2) MGB 2003 Smart felhantering (2/2) Gör absolut inte detta: Exponera information i felmeddelanden! Konsumera resurser under långa perioder efter fel Men du bör däremot göra detta: Använd felhantering och skräddarsydda fel för att inte propagera fel tillbaka till användaren Logga misstänkta fel i händelseloggen <customErrors mode="On"/> © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Testa säkerheten Involvera testgrupper från början i projekt MGB 2003 Testa säkerheten Involvera testgrupper från början i projekt Utveckla en strategi för säkerhetstester “Think Evil. Be Evil. Test Evil.” Automatisera attacker med skript och lågnivåspråk Mata in en mängd felaktig data Ta bort eller neka åtkomst till filer och registret Testa med ett konto som inte är en administratör Lär känna din fiende och lär känna dig själv! Vilka tekniker kommer hackers använda? Vilka tekniker ska dina testare använda? © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Lär av misstag! Om du hittar ett säkerhetsproblem, lär dig från det! MGB 2003 Lär av misstag! Om du hittar ett säkerhetsproblem, lär dig från det! Hur uppstod felet? Kan det existera någon annanstans i koden? Hur kunde det ha förhindrats? Vad bör göras för att förhindra repetition? Behövs en uppdatering av utbildningsmaterial eller analysverktyg? © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Summering En säker utvecklingsprocess Hotbildsmodellering Riskanalys MGB 2003 Summering En säker utvecklingsprocess Hotbildsmodellering Riskanalys Rekommendationer och riktlinjer © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Nästa steg! Var uppdaterad och informerad! Mer träning och utbildning: MGB 2003 Nästa steg! Var uppdaterad och informerad! Svensk sida om säkerhet för utvecklare: www.microsoft.se/msdn/security Senaste riktlinjerna: www.microsoft.com/security/guidance/ Mer träning och utbildning: Workshops och labbar: www.microsoft.se/msdn/security Kurser hos CTEC: www.microsoft.com/learning/ © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Kontrollskott Nämn några olika hot! På vilka plattformar finns DPAPI? MGB 2003 Kontrollskott Nämn några olika hot! Svar: På vilka plattformar finns DPAPI? Vad är STRIDE? © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Nästa presentation Säkerhet i .NET Framework MGB 2003 Nästa presentation Säkerhet i .NET Framework Kod och bevisbaserad säkerhet WSE © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MGB 2003 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.