3 Dudas en examen de seguridad

Question

Buenas tardes a todos!

He presentado el tercer y último examen para obtener la estrella 3 y lastimosamente saqué 65, anotando las preguntas que quedé con muchisimas dudas las pongo aqui para que me ayuden un poco. He tratado de buscar en toda la documentación que han sugerido en otros post, pero la verdad son perguntas que se dan tan ambiguas que no he logrado dar con su respuesta. Me podrian aclara un poco las dudas?

1era Duda:
Configurando un sitio ASP.net con seguridad de texto implicita(Digest) y agregando
<autenticatio mode="windows"/> en la seccion <system.web> del archivo de configuracion
del stiio web ocurre lo siguiente:

a) La propiedad user del objeto windowsIdentity devuelve el usuario que ingreso al sitio
b*) El proceso de ASP.net se ejecuta con la identidad del usuario que ingreso al sitio
c*) La propiedad user del objeto windowsIdentity devuelve el usuario IUSR_<nombreEquipo>
d) A y b correctas

Las que marco como * son las que me generan muchisimas dudas, osea tengo la respuesta entre esas dos.


2da Duda:
El metodo DREAD permite analizar las amenazas con nivel de importancia

Estoy entre 3 y 5 niveles. Me genera gran ambiguedad esta pregunta. He leido varias referencias a msdn y no encuentro cual de las dos es


3era Duda
Que mejoras de seguridad nos provee la firma de ensamble con un nombre seguro? (duda)

a) Garantizan la exclusividad del nombre al basarse en pares de claves únicas
b) Protegen la procedencia de la versión de un ensamblado
c) Proporcionan una comprobación de integridad importante
d) Todas son validas

La verdad he encontrado poca documentacion sobre esto, me suena mucho la b) pero las otras en tal caso podrian ser ciertas y daria con la d)


Bueno les agradeceria muchisimo si me pueden ayudar con esas tres duditas

Answer 1

Hola Dacar7,

 

intentaré aclarar tus dudas, a ver si puedo:

 

1.- La respuesta correcta es C. Por defecto, al marcar <authentication="windows"/> y no indicar en ningún sitio <identity .../> ASP.NET cogerá como identidad la del usuario IUSR_<nombre_Equipo>.

 

2.- Analiza las amenezas con nivel de importancia 3

http://download.microsoft.com/download/b/8/4/b843735d-2010-4780-9442-89648aad66fc/Seguridad.ppt#279,9,DREAD, Cont.

 

 

 

3.- La respuesta correcta es d), ya que al firmar un ensamblado obtienes todas las ventajas que se te están indicando. Piensa que para firmar el ensamblado, es necesario generar un par de claves únicas (así que la respuesta a) es válida). Al utilizar el CLR la validación de estas claves antes de la ejecución del ensamblado, la respuesta b) también es correcta. Sólo con esto ya se vé que la respuesta correcta es la d).

 

Espero que te sirva de ayuda!

 

Si es así, porfavor, marca la respuesta como válida!

 

Gracias!

Answer 2

Hola Javier!

Que bien amigo mil gracias, he logrado aclarar mis dudas gracias a tu respuesta.

La primera pregunta, si, definitivamente tienes razón

La segunda, casi no logro verlo, miré y miré esas dos diapositivas de la presentación hasta que pude concluir que son las amenazas de tipo 3.

La tercera mejor explicada no pudo haber quedado. Muchas Gracias Javier.



Marco tu mensaje com respuesta (sin discusiones jeje)




SAludos!

Answer 3

Yo encontre esto por que la solucion ya esta offline.!

http://download.microsoft.com/download/e/a/f/eaf88397-3ce0-48b7-a56a-557b428cfac6/Escudo%20Azul%20-%20Seguridad%20en%20Aplicaciones%20Web.doc

http://msdn.microsoft.com/en-us/library/aa480475.aspx

---

Juan Camilo Caro J.