Спонсор проекта
Лучший вариант для анонимности купить прокси на выделенном сервере IPANN.NET.
Рекламки



Авторизация






Для восстановления доступа пишите на E-mail stoplinux@yandex.ru.
Последние комментарии
#1
2023 пишет: » Запостите:

s3r [точка] ru/stavka-tolko-na-linuks-et... (18.03.2023)
// ОСТОРОЖНО: ВИНДОФИЛИЯ!
#2
layder пишет: » Забавно следить за зиганутой публикой, особенно в ... (17.03.2023)
// Руслан Карманов о Украине
#3
бронедрочец пишет: » В костылинуксе порядок таков: нужен нормальный кал... (02.03.2023)
// Обзор калькуляторов в GNU/Linux
#4
Линупсодав пишет: » Костылинупс на десктопе не взлетит без прикладнухи... (13.02.2023)
// ОСТОРОЖНО: ВИНДОФИЛИЯ!
#5
admin пишет: » БоЗяН, ожидаемо. (30.01.2023)
// ReactOS 0.4.1
Цитаты
#linux <[unix]> вчера кстати сидел примерно полчаса рядом с девушкой <[unix]> это ппц... хуясе мачо
Наши сайты.
Наши другие сайты, которые всё ещё в сети:
1. Архив форума СЛОРа
2. Архив linexp.ru
3. Архив bitomatics.ru



Kwork.ru - услуги фрилансеров от 500 руб.

ASP.NET в 3 раза безопаснее PHP | автор: Luca | 7 июня 2012

Категория: Open Source


Как извествно «дырявость» сайта определяется еще в момент выбора языка. Компания Positive Technologies провела анализ защищенности популярных языков для Web: PHP, Java и ASP.NET. Оценка защищенности проводилась ручным способом методами черного и белого ящика с использованием вспомогательных автоматизированных средств. Различия оказались потрясающие: системы на PHP в 81% случаев содержат критические уязвимости, на Java — в 59% случаев, а на ASP.NET — только в 26%.




Kwork.ru - услуги фрилансеров от 500 руб.

Чего не видят фанатики обоих лагерей? Смотрите с минуты 25:40



Кто чего боится? Ресурсов на ASP.NET, уязвимых для обхода каталога, не оказалось вообще! Для выполнения команд ОС были уязвимы только 4%. А вот межсайтовому выполнению сценариев почти в два раза реже прочих подвержены сайты на Java. С небольшим отрывом Java выигрывает у ASP.NET и в чемпионате по защищенности от внедрения SQL-кода, а PHP грустно машет им ручкой (61% уязвимых сайтов — доля почти в три раза выше, чем у конкурентов). Та же история с CSRF: сайты на PHP уязвимы в два раза чаще. Ну а внедрению нулевого байта оказались подвержены и вовсе одни только PHP-сайты.

/uploads/images/external/habrastorage.org/storage2/e0c/f67/4bc/e0cf674bcba7d80fb36ec79303d543.png


источник

Чего не видят фанатики обоих лагерей? Смотрите с минуты 25:40



      ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 7 июня 2012-го года !



Голосов: 7


Прочитано 6512 раз и оставлено 14 комментариев.
Kwork.ru - услуги фрилансеров от 500 руб.

Мой VPS с 2016-го года !

Этот сайт размещён на мощностях компании Айпи Сервер с 2016-го года. Стабильность проверена временем !






Комментарии посетителей

#1. zg13

Сейчас начнутся вопли что исследование проплатили M$ и Oracle.

#2. beep

чтоб что-то сказать надо или основы их знать действия или хорошо знать и программировать на трех языках, только тогда можна чтото сказать. ИМХО
Уже была подобная инфа здесь, на Главной. Теперь вот опять. И все-таки, кто мне объяснит?
На ASP.NET разработано 19% ресурсов.
Под IIS крутится 17% сайтов (=ресурсов?)
Как?

"Воды по колено, а рыбы..."

#4. user4096

2%, которые на asp.net но не под IIS - это, очевидно:
1. mono, который становится уже более-менее годным и даже поддерживает asp.net mvc 3
2. self-hosting. Запускаем wcf servicehost в отдельном процессе. IIS в этом случае вообще не нужен
3. sharepoint. хотя шарпоинт и требует IIS, его часто почему-то считают отдельно

#5. gaal

http://habrahabr.ru/company/pt/blog/145329/

филькина грамота

#6. blow05

Это что получается, я не могу на php написать сайт без этих дыр? Или на asp.net не смогу добавить дыру для обхода каталога?

Что-то новости тут все бредовее и бредовее
user4096 написал:
2%, которые на asp.net но не под IIS - это, очевидно:
1. mono, который становится уже более-менее годным и даже поддерживает asp.net mvc 3

Допустим. Но это довольно редко встречается, IMHO. Или у Вас есть статистика?

user4096 написал:
2. self-hosting. Запускаем wcf servicehost в отдельном процессе. IIS в этом случае вообще не нужен

Сомневаюсь, чтобы кто-то использовал такое в production.
user4096 написал:
3. sharepoint. хотя шарпоинт и требует IIS, его часто почему-то считают отдельно.

Ну да!
А на PHP под IIS ничего не разворачивают. Да?

#8. Babusha

Павел написал:
А на PHP под IIS ничего не разворачивают. Да?


Обычно - нет. Просто IIS & Windows очень серьезные технологии, и дорогие. Разворачивают только дурачки, которым бабло за хостинг некуда девать. Линукс просто создан для PHP. Когда все глючит и тормозит одновременно: сервер, сайт, ядро, интерпретатор - то программист PHP получает оргазм.

#9. blow05

Babusha написал:
Разворачивают только дурачки

а ты не боишься, что администрация этого сайта обидится? Он ведь написан на php, а сервером тут как раз IIS (судя по информации в моменты падений и http заголовкам Server Microsoft-IIS/7.5 X-Poweredy ASP.NET)

#10. Babusha

blow05, это был намек на луку.
zg13 написал:
Сейчас начнутся вопли что исследование проплатили M$ и Oracle.
и еще Coca-Cola и Boeing Company вместе с President Barack Obamabiggrin

#12. user4096

Павел, asp.net в mono действительно весьма экзотичен.
Что касается wcf self hosting - это весьма широко использующийся подход для soap и rest сервисов.

#13. Павел

user4096 написал:
Что касается wcf self hosting - это весьма широко использующийся подход для soap и rest сервисов.

Странно. Microsoft специально предупреждает , что "Вы не должны использовать WCF Service Host для размещения сервисов в production environment, так как он не разрабатывался для этих целей. Он не удовлетворяет требованиям надежности, безопасности и управляемости, предъявляемым к таким средам. Вместо этого используйте IIS, так как он ...[тра-та-та]... предпочтительное решение".

Тут либо Вы заблуждаетесь, либо IIS - далеко не "тра-та-та". biggrin

#14. user4096

Пардон, я имел ввиду .net класс ServiceHost (System.ServiceModel.ServiceHost) экземпляр которого создает хост службы WCF, а не отладочное приложение из пакета Visual Studio - WcfSvcHost.exe

Так вот, этот хост wcf-службы вовсе не обязательно создавать внутри IIS. Даже наоборот, при любой возможности (то есть если у нас не шаред-хостинг) имеет смысл запускать его вне IISa (обычно в отдельной windows service). Так мы избавимся от лишней довольно тяжелой обертки (IIS все-таки многофункциональный комбайн), упростим настройку и развертывание.

Применяется такое в облачных сервисах, играх, высоконагруженных веб-приложениях. В веб-приложениях статику (картинки/html/js/css и т.д.) размещают на быстром веб-сервере (nginx), а динамический контент тягают аяксом из вот такой службы.

Kwork.ru - услуги фрилансеров от 500 руб.