Мой VPS с 2016 года !
✅ Виртуальные от 300 ₽/месяц, RAM 1-10GB, DISK 20-360 GB;
✅ Выделенные от 3000 ₽/месяц. RAM 4-64GB, DISK до 4TB;
✅ Intel Xeon, SSD, XEN, iLO/KVM, Windows/Linux, Администрирование;
✅ Бесплатно Full Backup и Anti-DDoS.
Спонсор проекта
Лучший вариант для анонимности купить прокси на выделенном сервере IPANN.NET.
Рекламки



Авторизация






Для восстановления доступа пишите на E-mail stoplinux@yandex.ru.
Последние комментарии
#1
A_L_M пишет: » Обычных пользователей вводят в заблуждение обещани... (22.06.2020)
// Экзорцизм
#2
watersoda пишет: »
Цитата:
... сделать хоть совсем немного полезного ...
(16.06.2020)
// Переход с Windows на Linux - ГЛУПОСТЬ
#3
roblox robux пишет: » I just love what you said. If you like free roblox... (07.06.2020)
// Риски безопасности в Red Hat Enterprise Linux
#4
Spotter пишет: » когда первый раз писал тот лонгрид, имел надежду. ... (03.06.2020)
// Экзорцизм
#5
admin пишет: » Spotter, попробуй корпоративную десятку. (02.06.2020)
// Экзорцизм
Цитаты
Линуксом нужно заниматься, а не пользоваться
Наши сайты.
Наши другие сайты, которые всё ещё в сети:
1. Архив форума СЛОРа
2. Архив linexp.ru
3. Архив bitomatics.ru



ASP.NET в 3 раза безопаснее PHP | автор: Luca | 7 июня 2012

Категория: Open Source


Как извествно «дырявость» сайта определяется еще в момент выбора языка. Компания Positive Technologies провела анализ защищенности популярных языков для Web: PHP, Java и ASP.NET. Оценка защищенности проводилась ручным способом методами черного и белого ящика с использованием вспомогательных автоматизированных средств. Различия оказались потрясающие: системы на PHP в 81% случаев содержат критические уязвимости, на Java — в 59% случаев, а на ASP.NET — только в 26%.





Кто чего боится? Ресурсов на ASP.NET, уязвимых для обхода каталога, не оказалось вообще! Для выполнения команд ОС были уязвимы только 4%. А вот межсайтовому выполнению сценариев почти в два раза реже прочих подвержены сайты на Java. С небольшим отрывом Java выигрывает у ASP.NET и в чемпионате по защищенности от внедрения SQL-кода, а PHP грустно машет им ручкой (61% уязвимых сайтов — доля почти в три раза выше, чем у конкурентов). Та же история с CSRF: сайты на PHP уязвимы в два раза чаще. Ну а внедрению нулевого байта оказались подвержены и вовсе одни только PHP-сайты.

/uploads/images/external/habrastorage.org/storage2/e0c/f67/4bc/e0cf674bcba7d80fb36ec79303d543.png


источник


      ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 7 июня 2012 года !



Голосов: 7


Прочитано 5473 раз и оставлено 14 комментариев.

Мой VPS с 2016 года !

Этот сайт размещён на мощностях компании Айпи Сервер с 2016 года. Стабильность проверена временем !






Комментарии посетителей

#1. zg13

Сейчас начнутся вопли что исследование проплатили M$ и Oracle.

#2. beep

чтоб что-то сказать надо или основы их знать действия или хорошо знать и программировать на трех языках, только тогда можна чтото сказать. ИМХО
Уже была подобная инфа здесь, на Главной. Теперь вот опять. И все-таки, кто мне объяснит?
На ASP.NET разработано 19% ресурсов.
Под IIS крутится 17% сайтов (=ресурсов?)
Как?

"Воды по колено, а рыбы..."

#4. user4096

2%, которые на asp.net но не под IIS - это, очевидно:
1. mono, который становится уже более-менее годным и даже поддерживает asp.net mvc 3
2. self-hosting. Запускаем wcf servicehost в отдельном процессе. IIS в этом случае вообще не нужен
3. sharepoint. хотя шарпоинт и требует IIS, его часто почему-то считают отдельно

#5. gaal

http://habrahabr.ru/company/pt/blog/145329/

филькина грамота

#6. blow05

Это что получается, я не могу на php написать сайт без этих дыр? Или на asp.net не смогу добавить дыру для обхода каталога?

Что-то новости тут все бредовее и бредовее
user4096 написал:
2%, которые на asp.net но не под IIS - это, очевидно:
1. mono, который становится уже более-менее годным и даже поддерживает asp.net mvc 3

Допустим. Но это довольно редко встречается, IMHO. Или у Вас есть статистика?

user4096 написал:
2. self-hosting. Запускаем wcf servicehost в отдельном процессе. IIS в этом случае вообще не нужен

Сомневаюсь, чтобы кто-то использовал такое в production.
user4096 написал:
3. sharepoint. хотя шарпоинт и требует IIS, его часто почему-то считают отдельно.

Ну да!
А на PHP под IIS ничего не разворачивают. Да?

#8. Babusha

Павел написал:
А на PHP под IIS ничего не разворачивают. Да?


Обычно - нет. Просто IIS & Windows очень серьезные технологии, и дорогие. Разворачивают только дурачки, которым бабло за хостинг некуда девать. Линукс просто создан для PHP. Когда все глючит и тормозит одновременно: сервер, сайт, ядро, интерпретатор - то программист PHP получает оргазм.

#9. blow05

Babusha написал:
Разворачивают только дурачки

а ты не боишься, что администрация этого сайта обидится? Он ведь написан на php, а сервером тут как раз IIS (судя по информации в моменты падений и http заголовкам Server Microsoft-IIS/7.5 X-Poweredy ASP.NET)

#10. Babusha

blow05, это был намек на луку.
zg13 написал:
Сейчас начнутся вопли что исследование проплатили M$ и Oracle.
и еще Coca-Cola и Boeing Company вместе с President Barack Obamabiggrin

#12. user4096

Павел, asp.net в mono действительно весьма экзотичен.
Что касается wcf self hosting - это весьма широко использующийся подход для soap и rest сервисов.

#13. Павел

user4096 написал:
Что касается wcf self hosting - это весьма широко использующийся подход для soap и rest сервисов.

Странно. Microsoft специально предупреждает , что "Вы не должны использовать WCF Service Host для размещения сервисов в production environment, так как он не разрабатывался для этих целей. Он не удовлетворяет требованиям надежности, безопасности и управляемости, предъявляемым к таким средам. Вместо этого используйте IIS, так как он ...[тра-та-та]... предпочтительное решение".

Тут либо Вы заблуждаетесь, либо IIS - далеко не "тра-та-та". biggrin

#14. user4096

Пардон, я имел ввиду .net класс ServiceHost (System.ServiceModel.ServiceHost) экземпляр которого создает хост службы WCF, а не отладочное приложение из пакета Visual Studio - WcfSvcHost.exe

Так вот, этот хост wcf-службы вовсе не обязательно создавать внутри IIS. Даже наоборот, при любой возможности (то есть если у нас не шаред-хостинг) имеет смысл запускать его вне IISa (обычно в отдельной windows service). Так мы избавимся от лишней довольно тяжелой обертки (IIS все-таки многофункциональный комбайн), упростим настройку и развертывание.

Применяется такое в облачных сервисах, играх, высоконагруженных веб-приложениях. В веб-приложениях статику (картинки/html/js/css и т.д.) размещают на быстром веб-сервере (nginx), а динамический контент тягают аяксом из вот такой службы.

Добавление комментария:

Имя:
Пароль: (если зарегистрирован)
Email: (обязательно!)

теги форматирования

добавить смайлы


Правила комментирования >>