Re: Microsoft Windows 2003 & IIS6

At 18.23 29/04/2004, you wrote:
> Il "servizio" che ribadisco: E' INSTALLATO DI DEFAULT gira in https sulla 
> porta 8099 e non prevede nessun controllo per evitare un brute force... 
> Lascio immaginare a tutti cosa si potrebbe fare se per caso qualche 
> amministratore di sistema lasciasse aperta questa porta!!!

opinione personale: presumendo la bontà intrinseca di un servizio di 
amministrazione remota, penso che questa sia una delle migliori 
implementazioni possibili

> Ora, questi Microsoft proprio non la capisco... È un servizio che secondo 
> me non ha nessun senso! Parliamoci chiaro a che pro fare un Admin del 
> genere su un sistema Windows-based ?

era parte del Server Appliance Kit, add-on per Windows 2000 Server che è 
stato gradualmente integrato nel sistema operativo (prima con la modalità 
headless nativa in Windows XP, poi con il servizio in questione installato 
di default su Windows Server 2003). Serve a rendere un po' meno traumatica 
l'amministrazione di un server Windows senza monitor/tastiera/mouse, e apre 
solo una porta remota anzichè le innumerevoli richieste dai servizi di 
amministrazione remota su RPC

> Ma sotto Microsoft ? Ti logghi sotto Terminal services ed il gioco è fatto...

Terminal Services è *pesante*

> Che senzo ha fare quel web remote che tra l'altro puo' sfruttare tutte le 
> falle di un servizio (IIS) che per natura è sottoposto a falle di sicurezza ?

ma per piacere. L'unica falla di IIS è (era) esporre gratuitamente servizi 
buggati o comunque pericolosi (beh, e un famoso bug nel parser di URL). Che 
sia un'applicazione di IIS non lo rende nè più sicuro nè meno 


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List