[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2004 ml@sikurezza.org Soggetto: R: Microsoft Windows 2003 & IIS6 Mittente: Luigi Molinaro Data: 3 May 2004 10:35:02 -0000
> >Il "servizio" che ribadisco: E' INSTALLATO DI DEFAULT gira in https > >sulla porta 8099 e non prevede nessun controllo per evitare > un brute force... > opinione personale: presumendo la bontà intrinseca di un > servizio di amministrazione remota, penso che questa sia una > delle migliori implementazioni possibili Opinione personale: penso che questa sia una delle migliori implementazioni possibili > era parte del Server Appliance Kit, add-on per Windows 2000 > Server che è stato gradualmente integrato nel sistema > operativo (prima con la modalità headless nativa in Windows > XP, poi con il servizio in questione installato di default su > Windows Server 2003)..... Magari a te piace, non lo metto in dubbio ma si discute sul fatto che sia installato di default. > >Ma sotto Microsoft ? Ti logghi sotto Terminal services ed il > gioco è fatto... > > Terminal Services è *pesante* Opinione personale: Sarà anche pesante(???) come dici tu ma almeno prevede la possibilità di bloccare un brute force. > >Che senzo ha fare quel web remote che tra l'altro puo' > sfruttare tutte > >le falle di un servizio (IIS) che per natura è sottoposto a > falle di sicurezza ? > ma per piacere. L'unica falla di IIS è (era) esporre > gratuitamente servizi buggati o comunque pericolosi (beh, e > un famoso bug nel parser di URL). Che sia un'applicazione di > IIS non lo rende nè più sicuro nè meno Scusa, ma prima di dire bestialità informati, posso darti cento link con le vulnerabilità del'IIS: http://security.itworld.com/4339/ITW010515iisbug/ http://www.winnetmag.com/Windows/Article/ArticleID/3943/3943.html http://archives.neohapsis.com/archives/ntbugtraq/1998-1999/msg00649.html http://www.attrition.org/security/denial/w/iis-asp.dos.html Ma potrei mandartene molti altri, è un servizio che per natura è sottoposto ad attacchi ed è vulnerabile, ma bada bene che come dico che è vulnerabile IIS dico anche che è vulnerabile Apache !!! E' lo strumento di amministrazione che non mi piace... Non mi piace nemmeno WebMin se devo dirla tutta... Intendiamoci, sono amministratore di macchine W2k e sono molto contento del sistema operativo, mi chiedo solamente il perché di questa politica di "installo e lascio tutto aperto di default" e non te lo dico nemmeno. Ciao Luigi ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005