IISPASSWORD καί ασφάλεια

Τεχνικές και μόνο Συζητήσεις για WEB hosting servers, Mail servers, DNS servers. Όχι αναζήτηση υπηρεσιών εδώ!

Συντονιστές: WebDev Moderators, Super-Moderators

Απάντηση
Άβαταρ μέλους
nikirtsi
Δημοσιεύσεις: 169
Εγγραφή: 02 Ιουν 2006 16:35

IISPASSWORD καί ασφάλεια

Δημοσίευση από nikirtsi » 15 Οκτ 2008 22:52

To IISPASSWORD είναι μια τεχνολογία της Ms όπου βασιζόμενο σε HTTP Authentication
(όπως το .htaccess στον Apache) μπορεί να προσφέρει ταυτοποιημένη πρόσβαση στο περιεχόμενο (φακέλων, αρχείων).

Σχετικώς είναι ένα καινούργιος τρόπος προστασίας περιεχομένου (ακόμα δέν έχει πάει στην έκδοση 2 για τον IIS).

Μέσα σε αυτά τα πλαίσια επομένως και κυρίως ερευνητικώς θέλω να ρωτήσω
κατά πόσο είναι ασφαλές κατά τήν κρίση σας ή κατά μελέτες σας;
Έχει "σπάσει"; Υπάρχει κάποια τεχνική επιθέσεως στην οποία να είναι ευάλωτο;

Αυτό το ερώτημα γεννιέται από δύο λόγους .
1ον) Μιάς και η λογική προστασίας δέν υλοποιείται από τόν προγραμματιστή κατά πόσο η αυτή κλειστή και συγκεκριμένη λογική είναι ασφαλής ή τί θα πρέπει από πλευράς προγραμματιστή να γίνει έτσι ώστε να είναι περισσότερο.

2ον) Ο λόγος της ερωτήσεως είναι εγκυκλοπαιδικός και ουδεμία σχέση δεν έχει με την παρόρμηση επιτείδιων μέσω τής γνώσης που θα συγκεντρωθεί σε αυτό το θέμα για επιθέσεις, αλλά αντιθέτως για τήν ενίσχυση της ασφαλείας και τήν συζήτηση τεχνικών αποφυγείς επιθέσεων βασιζόμενες στην τεχνολογία IISPassword.
Ακόμα και ο ήλιος, στό αριστερό μελίγγι μου ανατέλλει καί στό ζερβό δύει.

Άβαταρ μέλους
nikirtsi
Δημοσιεύσεις: 169
Εγγραφή: 02 Ιουν 2006 16:35

IISPASSWORD καί ασφάλεια

Δημοσίευση από nikirtsi » 17 Οκτ 2008 19:08

Kαλά λένε τελικά πως στην Ελλάδα δεν ενδιαφέρει κανέναν η ασφάλεια...
Ακόμα και ο ήλιος, στό αριστερό μελίγγι μου ανατέλλει καί στό ζερβό δύει.

Άβαταρ μέλους
tix-3-
Δημοσιεύσεις: 827
Εγγραφή: 25 Μαρ 2004 05:12
Τοποθεσία: Θεσσαλονικη-Καβαλα-βεροια(το τριγωνο της καταρας)
Επικοινωνία:

IISPASSWORD καί ασφάλεια

Δημοσίευση από tix-3- » 18 Οκτ 2008 17:22

Σιγουρα ειναι vulnerable σε brute force.
Πριν απο καποιο καιρο ειχαν εμφανιστει καποια προβληματα με το IISprotect αλλα και ενα asp script που εκανε authentication bypass στον IIS 5.
Το κατα ποσο ειναι "ασφαλες" ειναι μια τεραστια συζητηση που εχει πολλους παραγοντες.Κατι που ειναι ασφαλες για μενα μπορει να μην ειναι ασφαλες για σενα.
Δεν θελω να φανω κακεντρεχης αλλα ποτε δεν εμπιστευτηκα τον windows server ουτε το IIS.Αν κανεις συνεχως τα updates λογικα θα εισαι ok αν δεν βγει καποιο 0-day exploit και κλαψουν παλι 2500 admins.
Αν δεν υπήρχανε οι κνίτες κι'η ηρωίνη...

Απάντηση

Επιστροφή στο “Apache, IIS, DNS Servers”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες