Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
¿Cuánto más segura será la plataforma .NET?
|
|
VSantivirus No. 668 - Año 6 - Lunes 6 de mayo de 2002
¿Cuánto más segura será la plataforma .NET?
http://www.vsantivirus.com/06-05-02.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
En una reciente conferencia de seguridad realizada en Vancouver, en la Columbia Británica, fueron examinadas algunas de las características de seguridad de la tan esperada próxima generación de servicios de Internet, la plataforma .NET.
Los resultados en principio parecen ser halagüeños, según lo revelado por el consultor de seguridad de una compañía llamada Digital Defense. H.D. Moore es considerado un auténtico hacker, y su exposición en la citada conferencia, no dejó del todo mal parado al próximo producto estrella de Microsoft.
Según Moore, el producto es bueno, pero todavía quedan cosas para hacer en él, antes de poder dar una opinión final.
El mayor problema por el momento, no está en la plataforma en si, sino en la documentación actual. Según Moore, esta plataforma podría llegar a eliminar algunas de la vulnerabilidades que plagan a los productos actuales de Microsoft, pero el software del servidor todavía es muy fácil de configurar en forma errónea. Y la documentación actual, no ayuda mucho en esto.
Para Moore, la plataforma .NET es segura tal como se presenta, pero proclive a una mala programación que la haga vulnerable.
Aunque existen todavía algunas fallas, el mayor problema es que la documentación no menciona adecuadamente los problemas de seguridad.
Es más, incluso una de los ejemplos de configuración posee una vulnerabilidad que deja a dos archivos críticos de configuración, al alcance de cualquier extraño vía Web.
Otras cosas equivocadas son demasiado obvias, y no deberían estar en la documentación de un producto que debe ser seguro obligatoriamente, como decir a los diseñadores que creen un archivo con contraseñas en un directorio... ¡accesible para cualquiera desde Internet!.
Aunque durante la presentación de Moore no habían representantes de Microsoft que dieran su opinión a la prensa, la compañía informó luego que examinaría todo lo relacionado con el tema.
El producto tiene pocos meses de estar disponible para su evaluación, y según Microsoft, la documentación ha sido bien recibida por la comunidad, pero puede ser modificada de ser necesario.
Tanto esta actitud, como los resultados mismos obtenidos en la evaluación del producto, parecen afianzar la filosofía de Gates de hacer de la seguridad de sus productos una prioridad, como afirmó hace unos meses. Pero para el público en general, y para muchos expertos y profesionales, hasta ahora con sus productos actuales, solo parecen ser buenas intenciones.
El análisis de Moore, por lo pronto, indica que la nueva plataforma .Net tiene muchas posibilidades para poder lograr en el futuro que la infraestructura de la Web, sea más segura realmente. Aunque todavía existan muchos rasgos que claman por ser "cerrados con llave", según el analista.
De todos modos, un tema en contra, es que la curva de aprendizaje del nuevo entorno, puede hacerse muy empinada, y resulta obvio que los errores humanos cometidos, pueden dañar cualquier aplicación por más segura que esta se proclame.
Por ejemplo, un diseñador que instale .Net en una computadora con el software Internet Information Server (IIS, el servidor Web de Microsoft), notará que la configuración por defecto, mucho más segura que en el pasado, también bloqueará muchos más servicios por defecto que antes. Y a la hora de habilitar estos servicios, los errores que se cometan pueden provocar grandes problemas de seguridad.
Por otra parte, el nuevo software agrega 18 nuevas extensiones, las que pueden convertirse en escenario de otras tantas vulnerabilidades. Además, la versión actual del producto tiene algunos componentes que podrían revelar información sensible al ocurrir un error, dejando al descubierto en algunos casos, el camino completo de un determinado archivo en el servidor.
El consejo de Moore es tomar el tema de la configuración del servidor en serio, ya que cualquier cosa que un diseñador haga para cambiar un seteo por defecto, puede significar también una seria disminución de la seguridad.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|