Web

Hacker kritisiert Sicherheitsprobleme in .Net

03.05.2002

MÜNCHEN (COMPUTERWOCHE) - Microsofts .Net-Sever-Software lasse sich zu leicht falsch konfigurieren, sagte der Hacker und Sicherheitsspezialist von Digital Defense, H. D. Moore, auf der Fachmesse Cansecwest in Vancouver. Dadurch sei die Gefahr groß, dass Sicherheitslücken offenbleiben. Die Kritik an der Web-Services-Plattform richtet sich hauptsächlich gegen die Dokumentationen, die Moore zufolge falsche Anleitungen für Programmierer enthalten. Als Beispiel nannte er eine Anweisung aus der "Developer Network Documentation" von Microsoft. Sie besagt angeblich, dass erzeugte Passwörter in über das Internet zugänglichen Verzeichnissen gespeichert werden sollen. Dieses Vorgehen sei jedoch sicherheitstechnisch katastrophal.

Außerdem zeigte Moore mehrere Schwachstellen im .Net-Framework "ASP .Net" auf. Unter anderem gebe es ungeschützte Projektdateien, die über die sich mit wenig Aufwand Web-Applikationen hacken lassen würden. Allerdings sei .Net sicherer als alle anderen Microsoft-Produkte, meint Moore. Dennoch müssten die Fehlerquellen beseitigt werden. Microsoft will die kritisierten Punkte überprüfen. Bislang sei .Net positiv von der Entwicklergemeinde aufgenommen worden, sagte Produktmanager Mike Kass. Wenn Probleme auftreten, werde man sich darum kümmern. (lex)