180266

Verschweigt Microsoft Sicherheitslücken in .NET?

03.05.2002 | 12:40 Uhr |

Microsoft verschweigt in seinen Dokumentationen für .NET-Entwickler anscheinend Sicherheitslöcher und leitet gar zur falschen Security-Konfiguration an. Die zum Teil lücken- oder gar fehlerhaften Dokumentationen für Entwickler sei eine Einladung für Hacker.

Microsoft verschweigt in seinen Dokumentationen für .NET-Entwickler anscheinend Sicherheitslöcher und leitet gar zur falschen Security-Konfiguration an. Das zumindest behauptete der Hacker und Sicherheitsberater H.D. Moore auf der CanSecWest Security Conference in Vancouver, wie unser Schwestermagazin Tecchannel berichtet.

Laut Moore ist das .NET-Framework in der Lage, nahezu jede bekannte Sicherheitslücke der aktuellen Microsoft-Produkte zu schließen. Wegen der zum Teil lücken- oder gar fehlerhaften Dokumentationen für Entwickler sei es allerdings leicht, die Server-Software falsch zu konfigurieren. "Es ist nicht entscheidend, wie sicher die Produkte ursprünglich sind, sondern wie man diese programmiert", sagte Moore. "Die Handbücher lehren die Entwickler, in vielen Situationen das Falsche zu tun".

Seine Hauptkritik richtet sich damit vor allem an die Verfasser der .NET-Dokumentation. Der Hacker präsentierte auf der Cansecwest seine Analyse der fünf bekanntesten Handbücher von ASP.NET, der Web-Services-Komponente des .NET.Framework. Jede dieser Dokumentationen verschweige mindestens eine bekannte Sicherheitslücke von .NET.

Zudem gebe beispielsweise die Developer-Network-Dokumentation in punkto Datensicherheit völlig falsche Anweisungen, kritisiert Moore. Das Handbuch leite Entwickler etwa an, eine Datei mit den Passwörtern der Nutzer zu erstellen und diese in einem Ordner abzulegen, der über das Internet frei zugänglich sei.

US-Medienberichten zufolge will Microsoft die Entdeckungen Moores überprüfen. "Bislang haben die Entwickler die Handbücher gut aufgenommen", sagte Mike Kass, der Produktmanager des .NET-Framework. "Sollte es allerdings Probleme geben, werden wir uns natürlich darum kümmern", so Kass weiter.

Sicherheitsloch bei Netscape und Mozilla (PC-WELT Online, 02.05.2002)

Winamp: MP3-Dateien als Hintertür für Viren (PC-WELT Online, 29.04.2002)

0 Kommentare zu diesem Artikel
180266