.NET-Handbücher laden Hacker ein

RollerChris

R.I.P.
.NET-Handbücher laden Hacker ein

[ 03. Mai 2002 14:15:11 MEZ ]
Laut Moore ist das .NET-Framework in der Lage, nahezu jede bekannte Sicherheitslücke der aktuellen Microsoft-Produkte zu schließen. Wegen der zum Teil lücken- oder gar fehlerhaften Dokumentationen für Entwickler sei es allerdings leicht, die Server-Software falsch zu konfigurieren. "Es ist nicht entscheidend, wie sicher die Produkte ursprünglich sind, sondern wie man diese programmiert", sagte Moore. "Die Handbücher lehren die Entwickler, in vielen Situationen das Falsche zu tun".
Seine Hauptkritik richtet sich damit vor allem an die Verfasser der .NET-Dokumentation. Der Hacker präsentierte auf der CanSecWest seine Analyse der fünf bekanntesten Handbücher von ASP.NET, der Web-Services-Komponente des :NET.Framework. Jede dieser Dokumentationen verschweige mindestens eine bekannte Sicherheitslücke von .NET.
Zudem gebe beispielsweise die Developer-Network-Dokumentation in punkto Datensicherheit völlig falsche Anweisungen, kritisiert Moore. Das Handbuch leite Entwickler etwa an, eine Datei mit den Passwörtern der Nutzer zu erstellen und diese in einem Ordner abzulegen, der über das Internet frei zugänglich sei.
US-Medienberichten zufolge will Microsoft die Entdeckungen Moores überprüfen. "Bislang haben die Entwickler die Handbücher gut aufgenommen", sagte Mike Kass, der Produktmanager des .NET-Framework. "Sollte es allerdings Probleme geben, werden wir uns natürlich darum kümmern", so Kass weiter.
Microsoft hatte das .NET-Framework im Januar 2002 veröffentlicht und bereits im März das erste Service Pack mit Bugfixes und berichtigten Sicherheitseinstellungen für Behandlungen von Code aus der Internet-Zone nachgeschoben. (jma)
© IDG
Quelle: www.arcor.de
 
Oben