Falsche Konfiguration ist das Sicherheitsproblem von Microsofts (Börse Frankfurt: MSF) .Net, sagt der Hacker und Senior Sicherheitsberater für digitale Abwehr, H.D. Moore auf der Cansecwest Security Konferenz. So könne das .Net-Gerüst fast jedem sonst bekannten Sicherheitsproblem von Microsoft-Produkten trotzen, doch die Server-Software sei einfach zu leicht falsch zu konfigurieren, besonders seitdem viele der Dokumentationen unsicheres Programmieren lehren würden.
„Es macht keinen Unterschied, wie sicher die Produkte ursprünglich sind, sondern vielmehr, wie man diese programmiert“, sagte Moore. „Den Entwicklern wird beigebracht, in vielen Situationen falsche Sachen zu tun.“
Der Hacker hatte einige Sicherheitslöcher in diversen Komponenten des .Net-Gerüsts gefunden, doch seine Hauptkritik galt den Autoren der Dokumentation von Microsoft. „Die meisten Hilfsmittel für Entwickler sind falsch“, schrieb der Sicherheitsberater in seiner Präsentation, und zählte dabei die fünf bekanntesten ASP.Net-Bücher auf. So hätte jede dieser Publikationen mindestens eines von vielen bekannten Sicherheitsproblemen von .Net nicht berücksichtigt.
So rate beispielsweise Microsofts Developer Network-Dokumentation den Entwicklern eine Datei mit den User-Passwörtern zu generieren und diese an einen vom Web zugänglichen Platz zu legen. Das sei jedoch ein absolutes Sicherheitsfaul.
Vertreter von Microsoft, die nicht zur Konferenz anwesend waren, wollten das Thema überprüfen, wie es hieß. „Das Produkt ist jetzt seit rund vier Monaten auf dem Markt“, sagte der Produktmanager für das .Net-Framework, Mike Kass. Die Dokumentation sei von der Entwicklergemeinde bisher sehr gut aufgenommen worden. Doch wenn es ein Problem gäbe, würde man sich darum kümmern.
Rund zwei Monate nach Veröffentlichung des „.Net Frameworks“ von Microsoft war schon das erste .Net Framework Service Pack 1 auf den Markt präsentiert worden (ZDNet berichtete). Das 1,4 MByte große Softwarepaket besteht laut dem Unternehmen aus vier Patches, die vor allem Sicherheitsprobleme der Version 1.0 von .Net lösen sollen. Entwickler sollen das Paket über MSDN downloaden, können.
Kontakt:
Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)
Neueste Kommentare
Noch keine Kommentare zu Hacker findet wieder Sicherheitsprobleme in .Net
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.