Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 105
Помню когда появилось сообщение о серьезной дыре в ядре linux, обновление вышло через час(sic!)
Вендекапец близок как никогда
Вендекапец близок как никогда
По моему автор просто врёт выдавая желаемое за действительное. Где написано что это вообще IIS? Где это было написано ранее? Какое отношение "SQL injections" имеет к IIS? Смешные, ей богу...
да да, венда опасносте
Ужасный бред.
Сама новость - желтушная.
Если пройдете по ссылке Fsecure, то внизу прочитаете:
We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.
Очевидно нашли серьезную уязвимость в каком-то очень распространенном движке, или использовали сразу несколько уязвимостей в разных движках.
Но на данный момент нету ни одного факта, подтверждающего, что эта дыра относится к IIS или MSSQL, зато какой 3.14здеж подняли, ламера.
Сама новость - желтушная.
Если пройдете по ссылке Fsecure, то внизу прочитаете:
We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.
Очевидно нашли серьезную уязвимость в каком-то очень распространенном движке, или использовали сразу несколько уязвимостей в разных движках.
Но на данный момент нету ни одного факта, подтверждающего, что эта дыра относится к IIS или MSSQL, зато какой 3.14здеж подняли, ламера.
Для тех кому интересно (Published: April 17, 2008)
http://www.microsoft.com/technet/securit…
Читаем и убеждаемся - нормально настроенные системы неподвержены, те где покопались быдло-админы - несомненно.
А вообще изощренная атака - захавать токен одного приложения и через него получить ЛокалСистем на другое - я даже не очень хороше представляю через что такое возможно, а уж найти такое - высший пилотаж..
http://www.microsoft.com/technet/securit…
Читаем и убеждаемся - нормально настроенные системы неподвержены, те где покопались быдло-админы - несомненно.
А вообще изощренная атака - захавать токен одного приложения и через него получить ЛокалСистем на другое - я даже не очень хороше представляю через что такое возможно, а уж найти такое - высший пилотаж..
Еще пару таких эпидемий и IIS конец
Не так быстро, как мы надеемся. Ведь существуют кучи корпораций, которые девжат свои Web-сайты на IIS и им проще дождаться запоздалого, но гарантированного патча, чем снова напрягать разработчиков, в том числе и российских, чтоб перенести сервер на Apache. Хотя камешек, конечно увесистый.
А почему вы на это надеетесь?
Какая вам от этого польза как веб разработчику? Это даже не IE6 :)
Какая вам от этого польза как веб разработчику? Это даже не IE6 :)
От багов и уязвимостей вообще мало кому есть польза, а это - так, привычное злопыхательство в сторону крупнейшей в мире софтверной корпорации. Ведь, по большому счёту всем плевать подо что писать, если платят. А основная масса заказов всё равно под IIS/ASP. За это собственно так и уважают тех людей, которые двигают открытые стандарты и бесплатный софт. Но поворчать же всем охота. ;) Тем более если не все такие умные, как OpenSource community. И не такие трудолюбивые.
Я имел ввиду польза от гибели IIS :) От уязвимостей конечно нету пользы.
Ваш ответ понравился. Не совсем только заметно что заказов IIS/ASP больше. Как известно спрос рождает предложение. Следовательно народ стремился бы изучать MS технологии. А ведь разбирающихся в них людей на несколько порядком меньше чем людей, работающих на других платформах.
Ваш ответ понравился. Не совсем только заметно что заказов IIS/ASP больше. Как известно спрос рождает предложение. Следовательно народ стремился бы изучать MS технологии. А ведь разбирающихся в них людей на несколько порядком меньше чем людей, работающих на других платформах.
бугага, разбирающихся?!!!
скажите правильно - лабающих на пхп, мускуле и т.д. на парядок больше!
нормальному человеку глубоко плевать пых или асп перед ним, общие принципы одинаковые
п.с. у иисы софтверных дыр сильно меньше чем у того же апача, другое дело, что у мелкомягких хауту на порядок больше, и любая домохозяйка может мнить себя вебдевелопером их прочтя
п.п.с. пользы от гибели иисы никому не будет
скажите правильно - лабающих на пхп, мускуле и т.д. на парядок больше!
нормальному человеку глубоко плевать пых или асп перед ним, общие принципы одинаковые
п.с. у иисы софтверных дыр сильно меньше чем у того же апача, другое дело, что у мелкомягких хауту на порядок больше, и любая домохозяйка может мнить себя вебдевелопером их прочтя
п.п.с. пользы от гибели иисы никому не будет
чем Вы можете это подтвердить? Ссылки в студию на сравнительный анализ уязвимостей апача / иисы.
пожалуйста:
иис - http://secunia.com/product/1438/
апач - http://secunia.com/product/9633/
тем более посыл изначально неверный, обсуждаемая уязвимость не в сервере, а в коде
иис - http://secunia.com/product/1438/
апач - http://secunia.com/product/9633/
тем более посыл изначально неверный, обсуждаемая уязвимость не в сервере, а в коде
> лабающих на пхп, мускуле и т.д. на парядок больше
Я это и сказал.
Любой типуля, подняв на движке свой блог или форум уже мнит себя веб девелопером. Что из этого? Мы не об этих людях говорим.
Я это и сказал.
Любой типуля, подняв на движке свой блог или форум уже мнит себя веб девелопером. Что из этого? Мы не об этих людях говорим.
Хм... Мне казалось в последнее время всё же основная масса заказов идет на JavaEE, а доля ASP.NET даже падает.
Объясню какая польза. Потенциально сейчас мы имеем новый ботнет размером в 500К*N. Лично для меня это лишний спам в ящиках, как минимум.
Были эпидемии и на не IIS сервера. С ними тоже нужно покончить?
Главная беда IIS - это не IIS как таковой, а монокультура. У Apache существует куча версий, а с учётом того, что многие exploit'ы нужно пересобирать под каждую отдельную сборку... С монокультурой уж точно надо кончать, а IIS - пусть живёт. Главное чтобы его было не так много...
В конце-концов Хабр IIS не использует, но колбасит его от этого не меньше...
В конце-концов Хабр IIS не использует, но колбасит его от этого не меньше...
Я объяснил, лишь, почему сейчас я считаю гнев в сторону ISS оправданным. Будь на его месте Апач, ругались бы на него. Другое дело, непонятно, как скоро закрыли бы дырку и там, и там.
грязь и винда неистрибимы
Больше всего мне нравится баннер справа - "Разобраться с вредоносным кодом?" - "Легко" :)
Очень в тему :)
Флеш-моб что ли им устроить?
Накликать и наоставлять комментов типа "вначале разберитесь с собственным кодом" :)
Очень в тему :)
Флеш-моб что ли им устроить?
Накликать и наоставлять комментов типа "вначале разберитесь с собственным кодом" :)
Мой сервер IIS, и ASP.NET приложение с MSSQL работают и радуются)
Может кривые руки чьи-то виноваты в такого рода эпидемии?
Может кривые руки чьи-то виноваты в такого рода эпидемии?
надеемся, что с apache такого не будет
А, вот они, подводные камни перехода на платформу Microsoft для облегчения себе жизни. Хорошо быстро не бывает.
а заплатка выпущена?
оковы тяжкие падут?
вообще не понимаю зачем размещать сервера на IIS, разве что ради ASP.
Имхо lamp, lamr(ruby) куда стабильнее будет. Где плюсы от IIS? Кстати, реально было бы интересно услышать о таких плюсах :)
Имхо lamp, lamr(ruby) куда стабильнее будет. Где плюсы от IIS? Кстати, реально было бы интересно услышать о таких плюсах :)
У вас часто падает IIS? Или раньше падал?
У нас - вы знаете, да, часто падает. И раньше - вообще часто падал. И течёт постоянно. Особенно мне метод решения проблемы нравится - iisreset /restart. Ну сейчас сервак может дней 5-6 простоять, причем непонятно - после одной из заплаток(MS) даже чаще стал падать, было время когда стабильно раз в сутки каждый из 4-х приходилось полностью перегружать, причем если этого не делалось, то он вис сам наглухо, ехать надо было аппаратно перегружать. Статистика вещь неумолимая, но сравнительной дать не могу - альтернативы для Apache у нас нет
Блин, я вам сочувствую с такой стабильностью.
У меня за 3.5 года работы на 2х серверах сам IIS не вис ни разу. Да и вообще все равботает как-то само по себе. Перезагружать приходится или с критическими обновлениями или когда сервер переносили на другую площадку. Надеюсь так же и дальше будет работать.
PS. У вас вообще эта проблема ещё актуальна? Могу поспрашивать у знающих людей, вдруг сталкивались?
У меня за 3.5 года работы на 2х серверах сам IIS не вис ни разу. Да и вообще все равботает как-то само по себе. Перезагружать приходится или с критическими обновлениями или когда сервер переносили на другую площадку. Надеюсь так же и дальше будет работать.
PS. У вас вообще эта проблема ещё актуальна? Могу поспрашивать у знающих людей, вдруг сталкивались?
На хабре об этом опасно говорить :)
Вы видели блог IIS? А ASP.NET? Думаете их некому создать?
НЛО доберётся до всех!!!!111
Вы видели блог IIS? А ASP.NET? Думаете их некому создать?
НЛО доберётся до всех!!!!111
да, действительно, в чем преимущества у .Net Framework перед ПХП? да никаких преимуществ!
Преимущества есть, но они появляются только на больших и громоздких бизнес приложениях. А их в свою очередь с не меньшим успехом можно писать на Java EE. Более того - был совсем недавно на тренинге по .Net, так там чуть ли не 2/3 утилит и либ - так или иначе портировано с решений для Java.
хм. можно на джаве, но все что стоит писать на джава можно с таким же успехом написать на .Net. так где же насчет преимуществ и недостатков?
PHP vs Java
PHP для малых и средних проектов. Java и ASP - для крупных проектов. Java так же неудобна для малых проектов, как PHP не эффективен для крупных.
PHP для малых и средних проектов. Java и ASP - для крупных проектов. Java так же неудобна для малых проектов, как PHP не эффективен для крупных.
Преимущества и недостатки Java EE против .NET очевидны: .NET - это одна платформа. Крутая, могучая, но одна. Java EE - это много платформ. Начиная с SDK - есть версия от Sun, есть Harmony и кончая серверами, контейнерами и прочим. Рассказывать про преимущества и недостатки монокультуры нужно?
P.S. Про Mono и DotGNU можно забыть - они настолько далеки от состояния, когда их можно рекомендовать в качестве замены .NET, что это даже не смешно...
P.S. Про Mono и DotGNU можно забыть - они настолько далеки от состояния, когда их можно рекомендовать в качестве замены .NET, что это даже не смешно...
Вот только Sun SDK и Apache Harmony придерживаются одних и тех же спецификаций (JSR'ов) от jcp.org. ;)
JEE это тоже стандарт, независимо от того, в каком контейнере он реализуется. Отличаются только средства обслуживания/администрирования контейнеров, но не JEE-приложения.
JEE это тоже стандарт, независимо от того, в каком контейнере он реализуется. Отличаются только средства обслуживания/администрирования контейнеров, но не JEE-приложения.
ну вот видите, Вы сами согласны с тем что у монокультуры есть и преимущества и недостатки. вообще непонятно к чему заводить холивар на пустом месте?
особенно классно рядом с постом смотрится баннер: Разобраться с вредоносным кодом? Просто! Microsoft
А можно ссылку на описание уязвимости IIS? :-)
Firefox + Noscript.
+ в фаерволле блокируем nmidahena.com, aspder.com nihaorr1.com. (вот кстати, можно посмотреть, чей момед)
Забавно, на сайте f-secure есть ссылочка на проверку уязвимостей, только вот в мозилле я получил —
Your web browser is not supported
F-Secure Health Check requires Microsoft® Internet Explorer 6™ or later.
-----
Все-таки за них можно не беспокоиться
Linux Apache
http://uptime.netcraft.com/up/graph?site=www.f-secure.com
Забавно, на сайте f-secure есть ссылочка на проверку уязвимостей, только вот в мозилле я получил —
Your web browser is not supported
F-Secure Health Check requires Microsoft® Internet Explorer 6™ or later.
-----
Все-таки за них можно не беспокоиться
Linux Apache
http://uptime.netcraft.com/up/graph?site=www.f-secure.com
Жосики... Не могу сказать что мягкософт чекм то плох, если все перейдут на линукс, будет наблюдаться та же картина.
Еще один плюс к утверждению 100% защиты не бывает
Еще один плюс к утверждению 100% защиты не бывает
> если все перейдут на линукс, будет наблюдаться та же картина.
Чисто логически: чтобы быть увереным, что с линуксом будет та же картина, нужно, чтобы линукс копировал все характеристики винды и двигался в том же направлении.
Вместо этого разница между ними огромна. Свободная лицензия, базарный метод разработки, десятки дистрибутивов, и Сообщество, а не умные дяди, в роли Сусанина лично у меня убивают напрочь всякую уверенность в аналогичном исходе %)
Чисто логически: чтобы быть увереным, что с линуксом будет та же картина, нужно, чтобы линукс копировал все характеристики винды и двигался в том же направлении.
Вместо этого разница между ними огромна. Свободная лицензия, базарный метод разработки, десятки дистрибутивов, и Сообщество, а не умные дяди, в роли Сусанина лично у меня убивают напрочь всякую уверенность в аналогичном исходе %)
Я этого не писал ни явно ни между строк ни цветом #ffffff ни даже в скрытом div-е :)
умные дядьки навязывают свою правду. майкрософт отменит продажи ХР и купить можно будет только висту. торвальдс и команда прогнется под какихнибудь негодяев и начнет пихать в ядро разное непотребство - сообщество пошлет их на хуй и форкнет ядро
А при чём тут Linux? И ты считаешь что IIS распространённей во много раз, чем LAMP?
100% защиты нет, не хакнут так задосят, так, ради злобы) Но на счет популяризации платформы вы не правы, LAMP более распространена но таких проколов меньше. Тут дело абсолютно не в этом, опуская более продуманную архитектуру Линукса (тут и так все понятно) я скажу что в этом открытый софт намного лучше, кто-то очень умный найдет дыру, а кто-то еще умнее тут же найдет как ее закрыть, а "счастливые" обладатели IIS будут сидеть и ждать пока МС не шевельнется. Вот в чем главное преимущество Apache перед IIS - в открытости.
Вот так всегда. Никто толком не выяснил, в чем уязвимость заключалась, а уже копья начали ломать :)
Где именно SQL Injection в IIS сделать можно? :)))
А кстати - вы проверяли результаты? для русского гугла выдаёт 317000 страниц(в том числе и английских), для .com 128000... у меня полмиллиона никак не получается. И кстати ещё - не поленитесь и гляньте на страничку, которую автор приложил....лучше с поиском IIS. я тоже не нашел ничего....опять холивар захотелось, в такой день прекрасный!
Я ниже написал. Откуда я знал, что хабр это вдруг проглотит и обработает...
Не закрытый тег "script src ", который использовался как пример запроса на гугле.
Ну что сказать... Случайный вклад.
Вообще странно, что такое можно сделать. Очевидно подразумевалось, что такого попросту не напишут, либо напишут с умом.
Вообще странно, что такое можно сделать. Очевидно подразумевалось, что такого попросту не напишут, либо напишут с умом.
приведи точный запрос по которому искал
Полмиллиона серверов IIS попали под атаку