Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Best Practices der sicheren Programmierung mit.NET Andrea Janes.

Veröffentlicht von:Katrina Neisler Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Best Practices der sicheren Programmierung mit.NET Andrea Janes."—  Präsentation transkript:

1 Best Practices der sicheren Programmierung mit.NET Andrea Janes

2 IT Security Day - Folie 2 Inhalt Einleitung Sichere Systeme entwerfen Software testen Empfehlenswerte Verfahren

3 IT Security Day - Folie 3 Sichere Systeme entwerfen

4 IT Security Day - Folie 4 Design der Archi- tektur und des Anwendungskerns Sicherheit im Softwareentwicklungsprozess Konzept Erste Anforderungs- analyse Eine Version entwickeln Feedback berücksichtigen Version liefern Feedback des Kunden ermitteln Fertige Version ausliefern

5 IT Security Day - Folie 5 Design der Archi- tektur und des Anwendungskerns Sicherheit im Softwareentwicklungsprozess Konzept Erste Anforderungs- analyse Eine Version entwickeln Feedback berücksichtigen Version liefern Feedback des Kunden ermitteln Fertige Version ausliefern  Worum geht es?  Welches Resultat wird angestrebt?  Wer hat welchen Nutzen?  Wie wird dieser Nutzen erreicht?  Ermittlung der Anforderungen basierend auf potentielle Kunden oder  Ermittlung der Anforderungen basierend auf dem Markt (d.h. unter Berücksichtigung der Anforderungen der anzusprechenden Marktsegmente) Anforderungsentwicklung 1)  Funktionale Anforderungen beschreiben die möglichen Features, d.h.: welche Möglichkeiten hat der Benutzer die Anwendung zu verwenden? 1) http://en.wikipedia.org/wiki/Functional_requirements 2) http://www-128.ibm.com/developerworks/web/library/wa-qualbust1/  Nicht-funktionale Anforderungen legen Design- Einschränkungen fest (Beispiele: Anforderungen hinsichtlich der Geschwindigkeit, Qualität, Design und Sicherheit)  Anforderungen müssen klar, korrekt, eindeutig, spezifisch und überprüfbar sein.  Einflussfaktoren bei der Anwendungsentwicklung 2) :

6 IT Security Day - Folie 6 Sicherheit zu spät berücksichtigen Zeit Kosten Konzept Analyse & Design CodingEinsatz Konzept

7 IT Security Day - Folie 7 Überprüfen Ausführen Richten Sie einen Sicherheitsprozess ein. Planen Handeln Sicherheitsprozess verbessern Prozess und Änderungen des Prozesses dokumentieren (z.B. indem Sie ein Wiki verwenden) Planen Sicherheitszielsetzungen für das Produkt definieren Bedrohungsmodellierung –Bedrohungen ermitteln –Klassifizierung der Gefahrentypen –Wie soll reagiert werden? –Welche Techniken werden zur Abwehr gewählt? Überprüfen Lernen Sie aus Ihren Fehlern Dokumentieren Sie wieso etwas fehlschlägt. Ausführen Verwenden Sie minimale Rechte Errichten Sie mehrere Verteidigungslinien Externe Systeme sind unsicher Planen Sie ein Versagen ein Sicherheitsfeature != sicheres Feature Setzen Sie sichere Standardeinstellungen Verstecken != Sicherheit

8 IT Security Day - Folie 8 Software testen

9 IT Security Day - Folie 9 Wieso/Was/Womit wird getestet? Was? (Application, components,...) Wie? (Test strategien, Test tools,...) Wieso? (Regressionstest, Sicherheitstest, Verhaltenstest, Performancetest,...)

10 IT Security Day - Folie 10 Rückverfolgbarkeit “Rückverfolgbarkeit bezieht sich auf die Vollständigkeit der Information über jeden Schritt einer Prozesskette.” 1) 1) http://www.answers.com/traceability

11 IT Security Day - Folie 11 Rückverfolgbarkeit Test Design Coding Anforderungen “Test first” Tests bestätigen die Implementierung von Anforderungen Stellt sicher, dass der “richtige” Code erstellt wird

12 IT Security Day - Folie 12 Wie soll „test-first“ Code erstellt werden? “Schreibe mindestens einen Test für jedes Feature.” “Schreibe zuerst die Schnittstelle/das Klassengerüst, dann schreib den Test, stelle sicher dass der Test fehlschlägt (da ja der Code, der die gewünschte Funktionalität umsetzt noch nicht existiert!) “Nur ein fehlgeschlagener Test gibt dir das Recht, ein neues Feature zu implementieren. Das Ziel jeder Zeile Code sollte sein, den fehlgeschlagenen Test zum Laufen zu bringen.” Wenn du einen Fehler findest, repariere ihn nicht......stattdessen, schreibe einen Test der den Fehler findet und deshalb fehlschlägt......und dann bereinige den Fehler.

13 IT Security Day - Folie 13 NUnit

14 IT Security Day - Folie 14 NUnit

15 IT Security Day - Folie 15 Empfehlenswerte Verfahren

16 IT Security Day - Folie 16 Empfehlenswerte Verfahren Datenschutz! Verraten Sie dem Angreifer nichts! Alle Codezweige prüfen! Lassen Sie es ausgeschaltet! Sichern Sie sicherheitsrelevante Codeteile durch Tests ab! Nutzen Sie die Fähigkeiten des Betriebssystems! Bürden Sie dem Benutzer keine Entscheidungen auf!

17 IT Security Day - Folie 17 Empfehlenswerte Verfahren Verwenden Sie minimale Rechte –Schreiben Sie keine Benutzerdateien in „C:\Programme\“ –Schreiben Sie keine Benutzerdateien in HKLM –Wasser predigen und Wein trinken... (http://nonadmin.editme.com/) Speichern Sie temporäre Dateien in %TEMP%! Speichern Sie keine privaten Schlüssel in.NET Code! Verwenden Sie einen Obfuscator! START F. Wieso ist Windows so unsicher? A. Weil jeder als Administrator eingeloggt ist. F. Wieso loggt sich jeder als Administrator ein? A. Weil die meisten Sicherheitsprobleme nicht verstehen und meinen, ein User Account gäbe ihnen nur eingeschränkte Arbeits- möglichkeiten. F. Wieso verstehen die meisten nichts von Sicherheit? A. Weil Sie als Administrator eingeloggt sind und so alle Sicherheitsmechanismen umgehen. ZURÜCK ZUM START

18 IT Security Day - Folie 18 Faule Ausreden Niemand wird so etwas tun! Warum sollte irgendjemand so etwas tun? Wir wurden nie angegriffen. Wir sind sicher – wir nutzen Kryptografie. Wir sind sicher – wir verwenden ACLs. Wir sind sicher – wir haben eine Firewall. Wir haben unseren Code prüfen lassen, er enthält keine Sicherheitsprobleme. Es ist zwar die Standardeinstellung, aber der Administrator kann es abschalten. Wenn wir uns nicht als Administrator anmelden, funktioniert das Zeug nicht.

Herunterladen ppt "Best Practices der sicheren Programmierung mit.NET Andrea Janes."

Ähnliche Präsentationen

Prüfung objektorientierter Programme -1

Prüfung objektorientierter Programme -1
Phasen und ihre Workflows

Phasen und ihre Workflows
Designing Software for Ease of Extension and Contraction

Designing Software for Ease of Extension and Contraction
Das „Vorgehensmodell“

Das „Vorgehensmodell“
Das secologic Projekt im Kurzüberblick - Stand Sept

Das secologic Projekt im Kurzüberblick - Stand Sept
Fragedateien für „Wer wird Millionär“ selbst erstellen

Fragedateien für „Wer wird Millionär“ selbst erstellen
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
Systemanalyse In der Systemanalyse wird aus den fachspezifischen Anforderungen das Systemmodell erstellt; im Systemmodell ist spezifiziert, was das System.

Systemanalyse In der Systemanalyse wird aus den fachspezifischen Anforderungen das Systemmodell erstellt; im Systemmodell ist spezifiziert, was das System.
Passwörter.

Passwörter.
Prototyping.

Prototyping.
Universität Stuttgart Institut für Kernenergetik und Energiesysteme Was ist Refactoring? Bevor man die Integration angeht, mag es angebracht sein, den.

Universität Stuttgart Institut für Kernenergetik und Energiesysteme Was ist Refactoring? Bevor man die Integration angeht, mag es angebracht sein, den.
Erfahrungen aus Tests komplexer Systeme

Erfahrungen aus Tests komplexer Systeme
Universität Stuttgart Institut für Kernenergetik und Energiesysteme Aufgaben des Testens Vergleich des Verhaltens einer Software mit den an sie gestellten.

Universität Stuttgart Institut für Kernenergetik und Energiesysteme Aufgaben des Testens Vergleich des Verhaltens einer Software mit den an sie gestellten.
Universität Stuttgart Institut für Kernenergetik und Energiesysteme Agile Software Entwicklung mit dem RUP Agile Softwareentwicklung Best Practice bei.

Universität Stuttgart Institut für Kernenergetik und Energiesysteme Agile Software Entwicklung mit dem RUP Agile Softwareentwicklung Best Practice bei.
es gibt (fast) nichts, was nicht anders gemacht werden könnte

es gibt (fast) nichts, was nicht anders gemacht werden könnte
Berufspräsentation Fachinformatiker.

Berufspräsentation Fachinformatiker.
Kurs Datenbanken Anleitung zur Erstellung von Kombinationsfeldern in Formularen.

Kurs Datenbanken Anleitung zur Erstellung von Kombinationsfeldern in Formularen.
Daten auf den Server Wie bekomme ich die Daten zum ersten Mal auf den Server, wenn ich für meine Anwender die Vereinsdaten zum gemeinsamen Arbeiten bereitstellen.

Daten auf den Server Wie bekomme ich die Daten zum ersten Mal auf den Server, wenn ich für meine Anwender die Vereinsdaten zum gemeinsamen Arbeiten bereitstellen.
Uwe Habermann Venelina Jordanova dFPUG – Silverlight Wizard.

Uwe Habermann Venelina Jordanova dFPUG – Silverlight Wizard.
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.

Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.

Ähnliche Präsentationen

Google-Anzeigen