Реклама
.
Рекламки



Авторизация






Последние комментарии
#1
2023 пишет: » Запостите:

s3r [точка] ru/stavka-tolko-na-linuks-et... (18.03.2023)
// ОСТОРОЖНО: ВИНДОФИЛИЯ!
#2
бронедрочец пишет: » В костылинуксе порядок таков: нужен нормальный кал... (02.03.2023)
// Обзор калькуляторов в GNU/Linux
#3
Линупсодав пишет: » Костылинупс на десктопе не взлетит без прикладнухи... (13.02.2023)
// ОСТОРОЖНО: ВИНДОФИЛИЯ!
#4
admin пишет: » БоЗяН, ожидаемо. (30.01.2023)
// ReactOS 0.4.1
#5
БоЗяН пишет: » Хех. Чёт делать было нечего - дело было вечером)))... (29.01.2023)
// ReactOS 0.4.1
Цитаты
Продам Linux-сервер почти новый. Причина - покупка Winserver 2008 для устойчивой работы.



ASP.NET в 3 раза безопаснее PHP | автор: Luca | 7 июня 2012

Категория: Open Source


Как извествно «дырявость» сайта определяется еще в момент выбора языка. Компания Positive Technologies провела анализ защищенности популярных языков для Web: PHP, Java и ASP.NET. Оценка защищенности проводилась ручным способом методами черного и белого ящика с использованием вспомогательных автоматизированных средств. Различия оказались потрясающие: системы на PHP в 81% случаев содержат критические уязвимости, на Java — в 59% случаев, а на ASP.NET — только в 26%.









Кто чего боится? Ресурсов на ASP.NET, уязвимых для обхода каталога, не оказалось вообще! Для выполнения команд ОС были уязвимы только 4%. А вот межсайтовому выполнению сценариев почти в два раза реже прочих подвержены сайты на Java. С небольшим отрывом Java выигрывает у ASP.NET и в чемпионате по защищенности от внедрения SQL-кода, а PHP грустно машет им ручкой (61% уязвимых сайтов — доля почти в три раза выше, чем у конкурентов). Та же история с CSRF: сайты на PHP уязвимы в два раза чаще. Ну а внедрению нулевого байта оказались подвержены и вовсе одни только PHP-сайты.

/uploads/images/external/habrastorage.org/storage2/e0c/f67/4bc/e0cf674bcba7d80fb36ec79303d543.png


источник





      ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 7 июня 2012-го года !



Голосов: 7


Прочитано 6609 раз и оставлено 14 комментариев.





Комментарии посетителей

#1. zg13

Сейчас начнутся вопли что исследование проплатили M$ и Oracle.

#2. beep

чтоб что-то сказать надо или основы их знать действия или хорошо знать и программировать на трех языках, только тогда можна чтото сказать. ИМХО
Уже была подобная инфа здесь, на Главной. Теперь вот опять. И все-таки, кто мне объяснит?
На ASP.NET разработано 19% ресурсов.
Под IIS крутится 17% сайтов (=ресурсов?)
Как?

"Воды по колено, а рыбы..."

#4. user4096

2%, которые на asp.net но не под IIS - это, очевидно:
1. mono, который становится уже более-менее годным и даже поддерживает asp.net mvc 3
2. self-hosting. Запускаем wcf servicehost в отдельном процессе. IIS в этом случае вообще не нужен
3. sharepoint. хотя шарпоинт и требует IIS, его часто почему-то считают отдельно

#5. gaal

http://habrahabr.ru/company/pt/blog/145329/

филькина грамота

#6. blow05

Это что получается, я не могу на php написать сайт без этих дыр? Или на asp.net не смогу добавить дыру для обхода каталога?

Что-то новости тут все бредовее и бредовее
user4096 написал:
2%, которые на asp.net но не под IIS - это, очевидно:
1. mono, который становится уже более-менее годным и даже поддерживает asp.net mvc 3

Допустим. Но это довольно редко встречается, IMHO. Или у Вас есть статистика?

user4096 написал:
2. self-hosting. Запускаем wcf servicehost в отдельном процессе. IIS в этом случае вообще не нужен

Сомневаюсь, чтобы кто-то использовал такое в production.
user4096 написал:
3. sharepoint. хотя шарпоинт и требует IIS, его часто почему-то считают отдельно.

Ну да!
А на PHP под IIS ничего не разворачивают. Да?

#8. Babusha

Павел написал:
А на PHP под IIS ничего не разворачивают. Да?


Обычно - нет. Просто IIS & Windows очень серьезные технологии, и дорогие. Разворачивают только дурачки, которым бабло за хостинг некуда девать. Линукс просто создан для PHP. Когда все глючит и тормозит одновременно: сервер, сайт, ядро, интерпретатор - то программист PHP получает оргазм.

#9. blow05

Babusha написал:
Разворачивают только дурачки

а ты не боишься, что администрация этого сайта обидится? Он ведь написан на php, а сервером тут как раз IIS (судя по информации в моменты падений и http заголовкам Server Microsoft-IIS/7.5 X-Poweredy ASP.NET)

#10. Babusha

blow05, это был намек на луку.
zg13 написал:
Сейчас начнутся вопли что исследование проплатили M$ и Oracle.
и еще Coca-Cola и Boeing Company вместе с President Barack Obamabiggrin

#12. user4096

Павел, asp.net в mono действительно весьма экзотичен.
Что касается wcf self hosting - это весьма широко использующийся подход для soap и rest сервисов.

#13. Павел

user4096 написал:
Что касается wcf self hosting - это весьма широко использующийся подход для soap и rest сервисов.

Странно. Microsoft специально предупреждает , что "Вы не должны использовать WCF Service Host для размещения сервисов в production environment, так как он не разрабатывался для этих целей. Он не удовлетворяет требованиям надежности, безопасности и управляемости, предъявляемым к таким средам. Вместо этого используйте IIS, так как он ...[тра-та-та]... предпочтительное решение".

Тут либо Вы заблуждаетесь, либо IIS - далеко не "тра-та-та". biggrin

#14. user4096

Пардон, я имел ввиду .net класс ServiceHost (System.ServiceModel.ServiceHost) экземпляр которого создает хост службы WCF, а не отладочное приложение из пакета Visual Studio - WcfSvcHost.exe

Так вот, этот хост wcf-службы вовсе не обязательно создавать внутри IIS. Даже наоборот, при любой возможности (то есть если у нас не шаред-хостинг) имеет смысл запускать его вне IISa (обычно в отдельной windows service). Так мы избавимся от лишней довольно тяжелой обертки (IIS все-таки многофункциональный комбайн), упростим настройку и развертывание.

Применяется такое в облачных сервисах, играх, высоконагруженных веб-приложениях. В веб-приложениях статику (картинки/html/js/css и т.д.) размещают на быстром веб-сервере (nginx), а динамический контент тягают аяксом из вот такой службы.