Egy hacker a Microsoft .Net biztonságáról

Tóth Kristóf, 2002. május 4. 10:15
A Microsoft webes szolgáltatásokhoz fejlesztett következő generációs platformjának biztonságáról jót és rosszat egyaránt lehetett hallani. Egy biztonsági konzulens szerint a .Net platform jó, de néhány helyen még foltozásra szorul.
H. D. Moore, a Digital Defense hackere és egyben vezető biztonsági elemzője a vancouveri CanSecWest biztonsági konferencián tartott beszédében elmondta, hogy a .Net szerkezete számos olyan biztonsági rés típust kiküszöböl, amelyek jelenleg komoly fejfájást okoznak a Microsoftnak, a szerverszoftvert azonban továbbra is igen könnyen félre lehet konfiguárálni, különösen, mivel a legtöbb esetben maga a dokumentáció is veszélyes beállításokra tanít.

- Nincs feltűnő különbség abban, hogy a megoldások alapesetben milyen biztonságosak, és sokkal fontosabb a helyes beállítás - mondta Moore. - És a fejlesztőket számos esetben rossz tanácsokkal látják el - tette hozzá.

A hacker a konferencián nyilvánosságra hozta az ASP.Net-tel, vagyis a .Net webalapú szolgáltatási részével kapcsolatos elemzésének eredményét. Bár a keretrendszer a szakértő szerint számos helyen sebezhető, Moore kritikája mégis inkább a dokumentáció készítői felé irányult. - A legtöbb dokumentáció rossz! - állítja Moore, hozzátéve, hogy az öt legnépszerűbb ASP.Net-könyv egyike sem tartalmaz említést a .Net közismert biztonsági problémáiról.

Moore szerint a Microsoft Developer Network dokumentációja arra tanítja a fejlesztőket, hogy készítsenek egy olyan fájlt, amely a felhasználók jelszavait tartalmazza, és azt tegyék egy olyan könyvtárba, amely az internetről is elérhető. A Microsoft képviselői elmondták, hogy meg fogják vizsgálni az említett problémákat.

"A termék már közel négy hónapja létezik" - mondta Mike Kass, a .Net keretrendszer termékmenedzsere. "A dokumentációt jól fogadták a fejlesztői közösségben, amennyiben azonban valós problémára derült fény, meg fogjuk vizsgálni" - tette hozzá.

Moore egyébként egyetért a Microsofttal abban, hogy a .Net számos területen sokkal biztonságosabb lesz, mint a jelenlegi webes szolgáltatási infrastruktúrák. Elmondása szerint a kezdeti problémák azonban egy ideig káros hatással lehetnek a webes alkalmazások biztonságára, és a helyes beállítások továbbra is kritikus tényezőnek fognak számítani.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59