Microsoft, ejemplo de seguridad
Normalmente, Microsoft ha sido un pim-pam-pum en temas referentes a la seguridad, históricamente ha ido arrastrando fama de que sus productos son inseguros, y ciertamente hace unos años así era.
En estos últimos tiempos, por contra, Microsoft se está tomando muy en serio la seguridad en sus desarrollos, aparte de fichar a verdaderos cracks para su equipo de seguridad, ha ido dando pasos significativos a la hora de desarrollar sus productos.
Tal vez el primer hito fue añadir a su compilador Visual Studio el flag /GS que introduce en el software compilado con ese flag una interesante protección basada en 'canarios' ante buffer overflows.
Otro paso bastante significativo ha sido recopilar una serie de funciones que tradicionalmente han sido problemáticas a la hora de provocar vulnerabilidades, y crear una lista de funciones baneadas para que jamas sean usadas en sus productos y siempre se usen sus funciones alternativas mas seguras. Es conocido que el lenguaje de programación C tiene, por compatibilidad, un buen numero de funciones que gestionan el copiado de cadenas / memoria sin preocuparse de si lo que van a copiar excede el tamaño de la variable destino, y estas funciones han sido un enorme lastre que ha ido generando innumerables bugs.
En definitiva, va tocando replantearse antiguos tópicos ¿no?Contenido completo
Autor: Yago Jesus
Fuente: Security By Default
En estos últimos tiempos, por contra, Microsoft se está tomando muy en serio la seguridad en sus desarrollos, aparte de fichar a verdaderos cracks para su equipo de seguridad, ha ido dando pasos significativos a la hora de desarrollar sus productos.
Tal vez el primer hito fue añadir a su compilador Visual Studio el flag /GS que introduce en el software compilado con ese flag una interesante protección basada en 'canarios' ante buffer overflows.
Otro paso bastante significativo ha sido recopilar una serie de funciones que tradicionalmente han sido problemáticas a la hora de provocar vulnerabilidades, y crear una lista de funciones baneadas para que jamas sean usadas en sus productos y siempre se usen sus funciones alternativas mas seguras. Es conocido que el lenguaje de programación C tiene, por compatibilidad, un buen numero de funciones que gestionan el copiado de cadenas / memoria sin preocuparse de si lo que van a copiar excede el tamaño de la variable destino, y estas funciones han sido un enorme lastre que ha ido generando innumerables bugs.
En definitiva, va tocando replantearse antiguos tópicos ¿no?Contenido completo
Autor: Yago Jesus
Fuente: Security By Default
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!