Prim Hírek

H. D. Moore, a Digital Defense hackere és egyben vezető biztonsági elemzője a vancouveri CanSecWest biztonsági konferencián tartott beszédében elmondta, hogy a .Net szerkezete számos olyan biztonsági rés típust kiküszöböl, amelyek jelenleg komoly fejfájást okoznak a Microsoftnak, a szerverszoftvert azonban továbbra is igen könnyen félre lehet konfiguárálni, különösen, mivel a legtöbb esetben maga a dokumentáció is veszélyes beállításokra tanít.

- Nincs feltűnő különbség abban, hogy a megoldások alapesetben milyen biztonságosak, és sokkal fontosabb a helyes beállítás - mondta Moore. - És a fejlesztőket számos esetben rossz tanácsokkal látják el - tette hozzá.

A hacker a konferencián nyilvánosságra hozta az ASP.Net-tel, vagyis a .Net webalapú szolgáltatási részével kapcsolatos elemzésének eredményét. Bár a keretrendszer a szakértő szerint számos helyen sebezhető, Moore kritikája mégis inkább a dokumentáció készítői felé irányult. - A legtöbb dokumentáció rossz! - állítja Moore, hozzátéve, hogy az öt legnépszerűbb ASP.Net-könyv egyike sem tartalmaz említést a .Net közismert biztonsági problémáiról.

Moore szerint a Microsoft Developer Network dokumentációja arra tanítja a fejlesztőket, hogy készítsenek egy olyan fájlt, amely a felhasználók jelszavait tartalmazza, és azt tegyék egy olyan könyvtárba, amely az internetről is elérhető. A Microsoft képviselői elmondták, hogy meg fogják vizsgálni az említett problémákat.

"A termék már közel négy hónapja létezik" - mondta Mike Kass, a .Net keretrendszer termékmenedzsere. "A dokumentációt jól fogadták a fejlesztői közösségben, amennyiben azonban valós problémára derült fény, meg fogjuk vizsgálni" - tette hozzá.

Moore egyébként egyetért a Microsofttal abban, hogy a .Net számos területen sokkal biztonságosabb lesz, mint a jelenlegi webes szolgáltatási infrastruktúrák. Elmondása szerint a kezdeti problémák azonban egy ideig káros hatással lehetnek a webes alkalmazások biztonságára, és a helyes beállítások továbbra is kritikus tényezőnek fognak számítani.