Falsche Konfiguration ist das Sicherheitsproblem von Microsofts (Börse Frankfurt: MSF) .Net, sagt der Hacker und Senior Sicherheitsberater für digitale Abwehr, H.D. Moore auf der Cansecwest Security Konferenz. So könne das .Net-Gerüst fast jedem sonst bekannten Sicherheitsproblem von Microsoft-Produkten trotzen, doch die Server-Software sei einfach zu leicht falsch zu konfigurieren, besonders seitdem viele der Dokumentationen unsicheres Programmieren lehren würden.
„Es macht keinen Unterschied, wie sicher die Produkte ursprünglich sind, sondern vielmehr, wie man diese programmiert“, sagte Moore. „Den Entwicklern wird beigebracht, in vielen Situationen falsche Sachen zu tun.“
Der Hacker hatte einige Sicherheitslöcher in diversen Komponenten des .Net-Gerüsts gefunden, doch seine Hauptkritik galt den Autoren der Dokumentation von Microsoft. „Die meisten Hilfsmittel für Entwickler sind falsch“, schrieb der Sicherheitsberater in seiner Präsentation, und zählte dabei die fünf bekanntesten ASP.Net-Bücher auf. So hätte jede dieser Publikationen mindestens eines von vielen bekannten Sicherheitsproblemen von .Net nicht berücksichtigt.
So rate beispielsweise Microsofts Developer Network-Dokumentation den Entwicklern eine Datei mit den User-Passwörtern zu generieren und diese an einen vom Web zugänglichen Platz zu legen. Das sei jedoch ein absolutes Sicherheitsfaul.
Vertreter von Microsoft, die nicht zur Konferenz anwesend waren, wollten das Thema überprüfen, wie es hieß. „Das Produkt ist jetzt seit rund vier Monaten auf dem Markt“, sagte der Produktmanager für das .Net-Framework, Mike Kass. Die Dokumentation sei von der Entwicklergemeinde bisher sehr gut aufgenommen worden. Doch wenn es ein Problem gäbe, würde man sich darum kümmern.
Rund zwei Monate nach Veröffentlichung des „.Net Frameworks“ von Microsoft war schon das erste .Net Framework Service Pack 1 auf den Markt präsentiert worden (ZDNet berichtete). Das 1,4 MByte große Softwarepaket besteht laut dem Unternehmen aus vier Patches, die vor allem Sicherheitsprobleme der Version 1.0 von .Net lösen sollen. Entwickler sollen das Paket über MSDN downloaden, können.
Kontakt:
Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…
In einigen Unternehmensbereichen sind angeblich bis zu 30 Prozent der Beschäftigten betroffen. Samsung spricht in…
Sie erlauben eine Remotecodeausführung. Betroffen sind alle unterstützten Versionen von Adobe Reader und Acrobat für…