Спонсор проекта:
Лучший вариант для анонимности купить прокси на выделенном сервере IPANN.NET.
Ads



Последние комментарии
#1
X_perienced пишет: » А какое именно оборудование там подерживается - го... (25.08.2017)
// Обзор и попытка установки МСВС 5.0
#2
Linups_Troolvalds пишет: » Хватит писать бред. МСВС (возможно) не работает на... (24.07.2017)
// Обзор и попытка установки МСВС 5.0
#3
watersoda пишет: » Да и RHEL под "Эльбрус" не помешал бы... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#4
watersoda пишет: » Небольшая поправка: ... через соответствующий паке... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#5
watersoda пишет: » Кстати, мелькала где-то информация, что Red Hat сд... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#6
watersoda пишет: »
Цитата:
... МСВС отстаёт от ДОСа по поддержке виде...
(16.03.2017)
// Обзор и попытка установки МСВС 5.0
#7
admin пишет: » watersoda, этот ноутбук выпущен в 2012 году wink
Убунт... (16.03.2017)
// Обзор и попытка установки МСВС 5.0
#8
watersoda пишет: » И вот ещё, правда речь про МСВС 3.0:
Цитата:
Устрои...
(08.03.2017)
// Обзор и попытка установки МСВС 5.0
#9
watersoda пишет: » Я где-то читал, что ВНИИНС предоставляет список об... (08.03.2017)
// Обзор и попытка установки МСВС 5.0
#10
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#11
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#12
Gentoo пишет: » >>Autocad, Kompas, CorelDraw, SolidWorks, AD... (30.01.2017)
// Письма неадекватов
#13
watersoda пишет: » Just for fun как он есть.biggrin (15.01.2017)
// Линукса нет! Нас обманули !!!
#14
дохтур пишет: » admin, ага, ещё вот проприетарная лицензия на обще... (13.01.2017)
// Письма неадекватов
#15
admin пишет: » дохтур, а ранили его "тупые виндузяги" с... (13.01.2017)
// Письма неадекватов
Quotes
Вот Mac действительно солидно поднялся. А подъем линукса в пределах погрешности измерения.

ASP.NET в 3 раза безопаснее PHP | автор: Luca | 7 июня 2012 |

Категория: Open Source


Как извествно «дырявость» сайта определяется еще в момент выбора языка. Компания Positive Technologies провела анализ защищенности популярных языков для Web: PHP, Java и ASP.NET. Оценка защищенности проводилась ручным способом методами черного и белого ящика с использованием вспомогательных автоматизированных средств. Различия оказались потрясающие: системы на PHP в 81% случаев содержат критические уязвимости, на Java — в 59% случаев, а на ASP.NET — только в 26%.


Кто чего боится? Ресурсов на ASP.NET, уязвимых для обхода каталога, не оказалось вообще! Для выполнения команд ОС были уязвимы только 4%. А вот межсайтовому выполнению сценариев почти в два раза реже прочих подвержены сайты на Java. С небольшим отрывом Java выигрывает у ASP.NET и в чемпионате по защищенности от внедрения SQL-кода, а PHP грустно машет им ручкой (61% уязвимых сайтов — доля почти в три раза выше, чем у конкурентов). Та же история с CSRF: сайты на PHP уязвимы в два раза чаще. Ну а внедрению нулевого байта оказались подвержены и вовсе одни только PHP-сайты.

http//habrastorage.org/storage2/e0c/f67/4bc/e0cf674bcba7d80fb36ec79303d543.png


источник



Комментарии посетителей

#1. zg13

Сейчас начнутся вопли что исследование проплатили M$ и Oracle.

#2. beep

чтоб что-то сказать надо или основы их знать действия или хорошо знать и программировать на трех языках, только тогда можна чтото сказать. ИМХО
Уже была подобная инфа здесь, на Главной. Теперь вот опять. И все-таки, кто мне объяснит?
На ASP.NET разработано 19% ресурсов.
Под IIS крутится 17% сайтов (=ресурсов?)
Как?

"Воды по колено, а рыбы..."

#4. user4096

2%, которые на asp.net но не под IIS - это, очевидно:
1. mono, который становится уже более-менее годным и даже поддерживает asp.net mvc 3
2. self-hosting. Запускаем wcf servicehost в отдельном процессе. IIS в этом случае вообще не нужен
3. sharepoint. хотя шарпоинт и требует IIS, его часто почему-то считают отдельно

#5. gaal

http://habrahabr.ru/company/pt/blog/145329/

филькина грамота

#6. blow05

Это что получается, я не могу на php написать сайт без этих дыр? Или на asp.net не смогу добавить дыру для обхода каталога?

Что-то новости тут все бредовее и бредовее
user4096 написал:
2%, которые на asp.net но не под IIS - это, очевидно:
1. mono, который становится уже более-менее годным и даже поддерживает asp.net mvc 3

Допустим. Но это довольно редко встречается, IMHO. Или у Вас есть статистика?

user4096 написал:
2. self-hosting. Запускаем wcf servicehost в отдельном процессе. IIS в этом случае вообще не нужен

Сомневаюсь, чтобы кто-то использовал такое в production.
user4096 написал:
3. sharepoint. хотя шарпоинт и требует IIS, его часто почему-то считают отдельно.

Ну да!
А на PHP под IIS ничего не разворачивают. Да?

#8. Babusha

Павел написал:
А на PHP под IIS ничего не разворачивают. Да?


Обычно - нет. Просто IIS & Windows очень серьезные технологии, и дорогие. Разворачивают только дурачки, которым бабло за хостинг некуда девать. Линукс просто создан для PHP. Когда все глючит и тормозит одновременно: сервер, сайт, ядро, интерпретатор - то программист PHP получает оргазм.

#9. blow05

Babusha написал:
Разворачивают только дурачки

а ты не боишься, что администрация этого сайта обидится? Он ведь написан на php, а сервером тут как раз IIS (судя по информации в моменты падений и http заголовкам Server Microsoft-IIS/7.5 X-Poweredy ASP.NET)

#10. Babusha

blow05, это был намек на луку.
zg13 написал:
Сейчас начнутся вопли что исследование проплатили M$ и Oracle.
и еще Coca-Cola и Boeing Company вместе с President Barack Obamabiggrin

#12. user4096

Павел, asp.net в mono действительно весьма экзотичен.
Что касается wcf self hosting - это весьма широко использующийся подход для soap и rest сервисов.

#13. Павел

user4096 написал:
Что касается wcf self hosting - это весьма широко использующийся подход для soap и rest сервисов.

Странно. Microsoft специально предупреждает , что "Вы не должны использовать WCF Service Host для размещения сервисов в production environment, так как он не разрабатывался для этих целей. Он не удовлетворяет требованиям надежности, безопасности и управляемости, предъявляемым к таким средам. Вместо этого используйте IIS, так как он ...[тра-та-та]... предпочтительное решение".

Тут либо Вы заблуждаетесь, либо IIS - далеко не "тра-та-та". biggrin

#14. user4096

Пардон, я имел ввиду .net класс ServiceHost (System.ServiceModel.ServiceHost) экземпляр которого создает хост службы WCF, а не отладочное приложение из пакета Visual Studio - WcfSvcHost.exe

Так вот, этот хост wcf-службы вовсе не обязательно создавать внутри IIS. Даже наоборот, при любой возможности (то есть если у нас не шаред-хостинг) имеет смысл запускать его вне IISa (обычно в отдельной windows service). Так мы избавимся от лишней довольно тяжелой обертки (IIS все-таки многофункциональный комбайн), упростим настройку и развертывание.

Применяется такое в облачных сервисах, играх, высоконагруженных веб-приложениях. В веб-приложениях статику (картинки/html/js/css и т.д.) размещают на быстром веб-сервере (nginx), а динамический контент тягают аяксом из вот такой службы.
Просмотров: 4853