JohnnyCage

Hacker a Microsoft .Net biztonságáról

A Microsoft webes szolgáltatásokhoz fejlesztett következő generációs platformjának biztonságáról jót és rosszat egyaránt lehetett hallani. Egy biztonsági konzulens szerint a .Net platform jó, de néhány helyen még foltozásra szorul.

H.D. Moore, a Digital Defense hackere és egyben vezető biztonsági elemzője a Vancouver-i CanSecWest biztonsági konferencián tartott beszédében elmondta, hogy a .Net szerkezete számos olyan biztonsági rés típust kiküszöböl, amelyek jelenleg komoly fejfájást okoznak a Microsoftnak, a szerver szoftvert azonban továbbra is igen könnyen félre lehet konfiguárálni, különösen, mivel a legtöbb esetben maga a dokumentáció is veszélyes beállításokra tanít.

- Nincs feltűnő különbség abban, hogy a megoldások alapesetben milyen biztonságosak, és sokkal fontosabb a helyes beállítás - mondta Moore. - És a fejlesztőket számos esetben rossz tanácsokkal látják el - tette hozzá.

A hacker a konferencián nyilvánosságra hozta az ASP.Net-tel, vagyis a .Net web-alapú szolgáltatási részével kapcsolatos elemzésének eredményét. Bár a keretrendszer a szakértő szerint számos helyen sebezhető, Moore kritikája mégis inkább a dokumentáció készítői felé irányult. - A legtöbb dokumentáció rossz! - állítja Moore hozzátéve, hogy az öt legnépszerűbb ASP.Net könyv egyike sem tartalmaz említést a .Net közismert biztonsági problémáiról.

Moore szerint a Microsoft Developer Network dokumentációja arra tanítja a fejlesztőket, hogy készítsenek egy olyan fájlt, amely a felhasználók jelszavait tartalmazza, és azt tegyék egy olyan könyvtárba, amely az internetről is elérhető. A Microsoft képviselői elmondták, hogy meg fogják vizsgálni az említett problémákat.

"A termék már közel négy hónapja létezik" - mondta Mike Kass, a .Net keretrendszer termékmenedzsere. "A dokumentációt jól fogadták a fejlesztői közösségben, amennyiben azonban valós problémára derült fény, meg fogjuk vizsgálni" - tette hozzá.

Moore egyébként egyetért a Microsofttal abban, hogy a .Net számos területen sokkal biztonságosabb lesz, mint a jelenlegi webes szolgáltatási infrastruktúrák. Elmondása szerint a kezdeti problémák azonban egy ideig káros hatással lehetnek a webes alkalmazások biztonságára, és a helyes beállítások továbbra is kritikus tényezőnek fognak számítani.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Pheel #6
    Mindig vannak ilyen önjelölt okosok. Néha még igazuk is van, máskor csak hírnevet akarnak...
  • gz8 #5
    "Moore szerint a Microsoft Developer Network dokumentációja arra tanítja a fejlesztőket, hogy készítsenek egy olyan fájlt, amely a felhasználók jelszavait tartalmazza, és azt tegyék egy olyan könyvtárba, amely az internetről is elérhető."

    Hát, erre igazából nem lehet mit mondani...
  • Pheel #4
    Szerintem az átlagembernek a programot sem tudod elmagyarázni, mint fogalmat. Én tegnap próbálkoztam vele. Abban maradtunk, hogy attól világít a mobiltelefonja is és itt feladtam :)
  • Laci73 #2
    www.microsoft.com/hun

    Nagy koponya vagy....