2010年9月21日星期二

ASP.NET - 發現嚴重安全性問題

今天由Scott Guthrie(微軟開發部門掌舵人)剛發佈的消息,原文可按此觀看,我細看這個問題後,覺得有必要告訴給更多人知。

以往寫ASP.NET的人都會把Connection String,License Key或API Key之類的敏感資料放在web.config,當然這不是因為懶或其他原因,大家都知道這是有必要這樣做,我和其他ASP.NET開發人員一樣,可能都花了不少時間,花了不少唇舌向他人解釋為什麼要放在web.config,因為一般人(老闆...甚至PM...)都認為這是不安全。
但當然由ASP.NET 1.0到現在4.0都沒聽過很多事故發生,但由於是次問題牽涉到web.config,所以不容忽視。

容我以最簡單的方式解說這問題成因,
一般情況下,IIS不會對*.config的檔案名稱的Request,作出任何對外Response,例如download file。
但.NET 3.5 SP1 / 4.0,就有一個漏洞Override IIS的安全性保護,而可以容許做上述的動作。

Scott Guthrie立即發出解決方案,亦同時建立討論區給人發問。(這是很少見的,可想而知問題的嚴重性。)

沒有留言:

發佈留言