Weblabor

A Microsoft webszerverének, az IIS-nek közelmúltban felbukkant néhány sebezhető pontja napokig/hetekig hír volt a világsajtóban - a CodeRed féreg után a CodeBlue, majd a Nimda gondoskodott erről. A Microsoft még mindig nem találta ki, hogyan lehetne a világ legelterjedtebb operációs rendszerének szerver változatain (WinNT, Win2K, WinXP) futó kiszolgálót biztonságosabbá tenni, így számos biztonságtechnikai tanácsadó és elemző ajánlotta már a férgek áldozatául esett cégeknek alternatív webkiszolgálók használatát, melyek ha nem is hibátlanok, a javítócsomagok telepítése után az IIS-nél sokkal biztonságosabbnak bizonyultak.

A Microsoft ennek megelőzésére tett erőfeszítései jelenleg többnyire ígéretekkel teli nyilatkozatokban merülnek ki: állításuk szerint az év vége előtt megjelenő IIS 6-ban jelentősen javítják a biztonságot, beleépítik a .NET AutoUpdate eszközét, amellyel a megjelenő hibajavításokat "push" módszerrel automatikusan lehet telepíteni, a Windows következő verziói nem telepítik alapértelmezett szolgáltatásként az IIS-t, valamint a Windows 2000 SP3 javítás része lesz az IIS LockDown eszköz is.

A felhasználókat már csak két dolog nyugtalaníthatja: egyrészt ezek még mindig csak a jövő tervei, másrészt az "újraírt" IIS 6 nem is annyira újraírt - és a tervezett kernelbe épülő funkciók sem feltétlenül növelik majd a biztonságot (habár a sebességet biztosan).

Az eredeti cikk a The Registeren