posts - 4238, comments - 3946, trackbacks - 370

My Links

News



Subscribe Subscribe

image image image





This is my personal weblog. These postings are provided 'AS IS' with no warranties, and confer no rights. The views expressed on this weblog are mine alone and do not necessarily reflect the views of my employer.

Licenza Creative Commons

Tag Cloud

Archives

Post Categories

Meet the IIS team...

Ho appena finito la sessione "Meet the IIS team"...

Molto interessante... una sessione Q&A senza slide... c'erano venti o trenta persone, e si è parlato di IIS 5, 6 e anche del 7.

Mi ha fatto pensare una domanda e la relativa risposta:

  • Q: Se ho un web server nella DMZ che parla tramite web service con un altro web server nella zona sicura, ed entrambi montano IIS... se venisse scoperto un problema in IIS entrambe le macchine sarebbero a rischio... indipendentemente dalla posizione (DMZ o meno).
  • A: Questo è vero, ma è indipendente da IIS o da qualsiasi altro strumento/protocollo (pensate se il baco fosse nello stack TCP/IP ad esempio). Se usate la stessa tecnologia dentro la DMZ e nella zona sicura, siete molto a rischio...

Morale della favola... che valga la pena di usare due tecnologie diverse tra DMZ e parte protetta?

Non sto pensando per forza a tecnologie "completamente" diverse (J2EE e .NET ad esempio) ma semplicemente che ne so... IIS su front-end (aspx, asmx o che altro) e WSE o Indigo in futuro come ponte verso i dati interni, ma self-hosted, in un servizio Windows o simile, in modo da minimizzare la possibilità di compromissione della macchina interna, in quanto dovrebbero esserci DUE falle, una in IIS (o in ASP.NET, etc...) e una in WSE/Indigo/qualsiasi altra cosa...

P.s. mi è piaciuta molto la reazione da padre ferito nell'orgoglio del Development Leader della security di IIS 6 e 7, che ha ricordato che IIS 6 non ha ancora avuto nessun buffer overflow documentato (nella domanda iniziale si era fatto riferimento ad un buffer overflow in IIS 5...)

Print | posted on martedì 7 giugno 2005 02:22 | Filed Under [ TechEd ]

Comments have been closed on this topic.

Powered by:
Powered By Subtext Powered By ASP.NET