Clique aqui para ler todos os artigos desta edição
SUPERFÍCIE DE ATAQUE
Reduza os riscos de segurança minimizando o código exposto a usuários não confiáveis
por Michael Howard
Este artigo discute |
Este artigo usa as seguintes tecnologias: |
·Limitação de danos se o seu código for atacado por hackers |
Windows Server 2003, Windows XP, Security
Download:
|
Chapéu Segurança |
|
Todo código falha. É um triste fato da vida. São essas falhas de segurança e as vulnerabilidades do código que mais me interessam. Na produção, nos preocupamos muito em melhorar a qualidade do código. Embora a qualidade do código seja excepcionalmente importante, a maioria acaba falhando, então não podemos enfocar exclusivamente a obtenção do código correto. Imagine por um momento que seu código seja perfeito. Será perfeito somente para os padrões atuais, um instantâneo das melhores práticas na época em que foi desenvolvido. Ainda assim o cenário da pesquisa de vulnerabilidade está em constante evolução. Há quatro anos, os ataques de integer overflow (sobrecarga de inteiro) eram quase desconhecidos; agora, eles são o ataque do momento! Imagine ampliar a abrangência a todo o código que você já distribuiu entre os clientes.
Você deve mudar sua visão geral de "meu código é de muito boa qualidade" para "embora meu código seja o melhor que se possa obter com os conhecimentos atuais, provavelmente ainda contém problemas de segurança". Se você adotar essa postura, a filosofia de redução da superfície de ataque (RSA) será fácil de digerir. A superfície de ataque de um aplicativo é a união do código, interfaces, serviços, protocolos e práticas disponíveis para todos os usuários, com um forte enfoque no que é inacessível para usuários não autenticados." [...] continue lendo...