Falsche Konfiguration ist das Sicherheitsproblem von Microsofts (Börse Frankfurt: MSF) .Net, sagt der Hacker und Senior Sicherheitsberater für digitale Abwehr, H.D. Moore auf der Cansecwest Security Konferenz. So könne das .Net-Gerüst fast jedem sonst bekannten Sicherheitsproblem von Microsoft-Produkten trotzen, doch die Server-Software sei einfach zu leicht falsch zu konfigurieren, besonders seitdem viele der Dokumentationen unsicheres Programmieren lehren würden.
„Es macht keinen Unterschied, wie sicher die Produkte ursprünglich sind, sondern vielmehr, wie man diese programmiert“, sagte Moore. „Den Entwicklern wird beigebracht, in vielen Situationen falsche Sachen zu tun.“
Der Hacker hatte einige Sicherheitslöcher in diversen Komponenten des .Net-Gerüsts gefunden, doch seine Hauptkritik galt den Autoren der Dokumentation von Microsoft. „Die meisten Hilfsmittel für Entwickler sind falsch“, schrieb der Sicherheitsberater in seiner Präsentation, und zählte dabei die fünf bekanntesten ASP.Net-Bücher auf. So hätte jede dieser Publikationen mindestens eines von vielen bekannten Sicherheitsproblemen von .Net nicht berücksichtigt.
So rate beispielsweise Microsofts Developer Network-Dokumentation den Entwicklern eine Datei mit den User-Passwörtern zu generieren und diese an einen vom Web zugänglichen Platz zu legen. Das sei jedoch ein absolutes Sicherheitsfaul.
Vertreter von Microsoft, die nicht zur Konferenz anwesend waren, wollten das Thema überprüfen, wie es hieß. „Das Produkt ist jetzt seit rund vier Monaten auf dem Markt“, sagte der Produktmanager für das .Net-Framework, Mike Kass. Die Dokumentation sei von der Entwicklergemeinde bisher sehr gut aufgenommen worden. Doch wenn es ein Problem gäbe, würde man sich darum kümmern.
Rund zwei Monate nach Veröffentlichung des „.Net Frameworks“ von Microsoft war schon das erste .Net Framework Service Pack 1 auf den Markt präsentiert worden (ZDNet berichtete). Das 1,4 MByte große Softwarepaket besteht laut dem Unternehmen aus vier Patches, die vor allem Sicherheitsprobleme der Version 1.0 von .Net lösen sollen. Entwickler sollen das Paket über MSDN downloaden, können.
Kontakt:
Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…
Schwachstelle weist laut Tenable auf schwerwiegende Sicherheitslücke in Google Cloud Diensten hin, insbesondere App Engine,…
Die neue Version kommt mit einem Supportzeitraum von fünf Jahren. Währenddessen erhält Office LTSC 2024…
Sie führen unter Umständen zur Preisgabe vertraulicher Informationen oder gar zu einem Systemabsturz. Apples KI-Dienste…
Das Projekt liegt wahrscheinlich für rund zwei Jahre auf Eis. Aus der Fertigungssparte Intel Foundry…
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…