大肆突显下一代网络服务平台的安全虽然是椿好事,但是一位安全顾问表示,微软仍有许多问题需要解决。
H.D. Moore是「数码的监护」(Digital Defense)的资深分析师也是位黑客,在CanSecWest安全会议上告诉与会者说,.Net Framework(基础框架)几乎能够排除现今危害微软产品的所有漏洞,然而这个服务器软件还是容易有错误的配置(misconfigure),特别是它的许多文档都教导了不安全的程序。
Moore说道:「产品原本有多安全并没有多大的差别,反而是你怎样程序化是比较重要的。」「他们告诉开发者的事,很多情况下都是错误的。」
这位黑客在会议上简报了他对ASP.Net(.Net Framework网络服务的部分)的分析结果。在发现到这个基础框架许多组件的漏洞的同时,他也把矛头指向了微软撰写文档的主管头上。
他在一片幻灯片上写着:「大部分的开发者从根源就错了!」他同时补充说,市面上最受欢迎的ASP.Net的书籍,完全都没有提到最常见的.Net安全问题。
此外Moore还表示,主要的示范里程序设计师可看到,开发中的.Net网络应用(微软的IBuySpy商店应用)有Unicode的漏洞,而且还留下两个配置的项目档(project files)让任何人都可以存取网络。
最后他补充道,微软的开发者网络(Developer Network)文档指导开发者创建包含口令的档案,并把它放在网络上可存取的目录上──这绝对是安全上的大忌。
微软的代表虽然未出席该简报,但表示会了解该问题。
.Net Framework的产品经理Mike Kass表示,该产品已问世将近四个月了,「文档相当受到社群的喜爱,但如果里面有问题,我们绝对会进一步了解的。」
微软已经就其所有的软件及应用展开全面的安全检查,近来也有迹象显示微软采取更严格的方法强化其产品的安全。
就某些方面来看,Moore的分析支持微软所宣称的,.Net将会比任何现有的网络服务基础建设都还要安全。他说:「有许多功能可以保护网络应用。」
但是他补充说,学习曲线将会很陡峭,而且其中的错误将会伤害到网络应用的安全。
例如,一位在计算机上安装微软.Net网络软件Internet Information Server的开发者将会发现到,它的默认配置──一个比过去还要安全的配置──将会打断该网络服务器所提供的许多服务。他说,要安全的打开这些服务并非易事。
他说,他们做得不错,在默认的安装上就锁住了,「但在你一开始打开功能之后,可能就会有(安全)问题了。」
新的软件还新增了十八个部分,他说,有些可能会成为新漏洞的管道。此外,现有的.Net Framework修正版有一些组件可能会在错误发生时泄露机密文档,而且某些情况下,泄漏露了档案在服务器中的路迳。
Moore建议,服务器配置要谨慎小心为上。开发者改变任何的默认配置都可能会让安全松动。「许多功能都有严重的问题,」「改变之前先研究其设置。」
