JohnnyCage
Hacker a Microsoft .Net biztonságáról
A Microsoft webes szolgáltatásokhoz fejlesztett következő generációs platformjának biztonságáról jót és rosszat egyaránt lehetett hallani. Egy biztonsági konzulens szerint a .Net platform jó, de néhány helyen még foltozásra szorul.
H.D. Moore, a Digital Defense hackere és egyben vezető biztonsági elemzője a Vancouver-i CanSecWest biztonsági konferencián tartott beszédében elmondta, hogy a .Net szerkezete számos olyan biztonsági rés típust kiküszöböl, amelyek jelenleg komoly fejfájást okoznak a Microsoftnak, a szerver szoftvert azonban továbbra is igen könnyen félre lehet konfiguárálni, különösen, mivel a legtöbb esetben maga a dokumentáció is veszélyes beállításokra tanít.
- Nincs feltűnő különbség abban, hogy a megoldások alapesetben milyen biztonságosak, és sokkal fontosabb a helyes beállítás - mondta Moore. - És a fejlesztőket számos esetben rossz tanácsokkal látják el - tette hozzá.
A hacker a konferencián nyilvánosságra hozta az ASP.Net-tel, vagyis a .Net web-alapú szolgáltatási részével kapcsolatos elemzésének eredményét. Bár a keretrendszer a szakértő szerint számos helyen sebezhető, Moore kritikája mégis inkább a dokumentáció készítői felé irányult. - A legtöbb dokumentáció rossz! - állítja Moore hozzátéve, hogy az öt legnépszerűbb ASP.Net könyv egyike sem tartalmaz említést a .Net közismert biztonsági problémáiról.
Moore szerint a Microsoft Developer Network dokumentációja arra tanítja a fejlesztőket, hogy készítsenek egy olyan fájlt, amely a felhasználók jelszavait tartalmazza, és azt tegyék egy olyan könyvtárba, amely az internetről is elérhető. A Microsoft képviselői elmondták, hogy meg fogják vizsgálni az említett problémákat.
"A termék már közel négy hónapja létezik" - mondta Mike Kass, a .Net keretrendszer termékmenedzsere. "A dokumentációt jól fogadták a fejlesztői közösségben, amennyiben azonban valós problémára derült fény, meg fogjuk vizsgálni" - tette hozzá.
Moore egyébként egyetért a Microsofttal abban, hogy a .Net számos területen sokkal biztonságosabb lesz, mint a jelenlegi webes szolgáltatási infrastruktúrák. Elmondása szerint a kezdeti problémák azonban egy ideig káros hatással lehetnek a webes alkalmazások biztonságára, és a helyes beállítások továbbra is kritikus tényezőnek fognak számítani.
H.D. Moore, a Digital Defense hackere és egyben vezető biztonsági elemzője a Vancouver-i CanSecWest biztonsági konferencián tartott beszédében elmondta, hogy a .Net szerkezete számos olyan biztonsági rés típust kiküszöböl, amelyek jelenleg komoly fejfájást okoznak a Microsoftnak, a szerver szoftvert azonban továbbra is igen könnyen félre lehet konfiguárálni, különösen, mivel a legtöbb esetben maga a dokumentáció is veszélyes beállításokra tanít.
- Nincs feltűnő különbség abban, hogy a megoldások alapesetben milyen biztonságosak, és sokkal fontosabb a helyes beállítás - mondta Moore. - És a fejlesztőket számos esetben rossz tanácsokkal látják el - tette hozzá.
A hacker a konferencián nyilvánosságra hozta az ASP.Net-tel, vagyis a .Net web-alapú szolgáltatási részével kapcsolatos elemzésének eredményét. Bár a keretrendszer a szakértő szerint számos helyen sebezhető, Moore kritikája mégis inkább a dokumentáció készítői felé irányult. - A legtöbb dokumentáció rossz! - állítja Moore hozzátéve, hogy az öt legnépszerűbb ASP.Net könyv egyike sem tartalmaz említést a .Net közismert biztonsági problémáiról.
Moore szerint a Microsoft Developer Network dokumentációja arra tanítja a fejlesztőket, hogy készítsenek egy olyan fájlt, amely a felhasználók jelszavait tartalmazza, és azt tegyék egy olyan könyvtárba, amely az internetről is elérhető. A Microsoft képviselői elmondták, hogy meg fogják vizsgálni az említett problémákat.
"A termék már közel négy hónapja létezik" - mondta Mike Kass, a .Net keretrendszer termékmenedzsere. "A dokumentációt jól fogadták a fejlesztői közösségben, amennyiben azonban valós problémára derült fény, meg fogjuk vizsgálni" - tette hozzá.
Moore egyébként egyetért a Microsofttal abban, hogy a .Net számos területen sokkal biztonságosabb lesz, mint a jelenlegi webes szolgáltatási infrastruktúrák. Elmondása szerint a kezdeti problémák azonban egy ideig káros hatással lehetnek a webes alkalmazások biztonságára, és a helyes beállítások továbbra is kritikus tényezőnek fognak számítani.
