[Интервью] .NET Security — это просто
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 07.11.17 10:32
Оценка: 159 (8)
В предверии столичной DotNext 2017, я и Михаил Yuske Щербаков дали небольшое интервью её организаторам по вопросам безопасности платформы .NET и разрабатываемых под неё приложений.

https://habrahabr.ru/company/jugru/blog/341792/
... << RSDN@Home 1.3.16 alpha 5 rev. 60>>

[Интервью] .NET Security — это просто
Автор: kochetkov.vladimir
Дата: 07.11.17
Re[2]: [Интервью] .NET Security — это просто
От: yuske  
Дата: 21.11.17 13:43
Оценка: 122 (6)
Здравствуйте, Arsen.Shnurkov, Вы писали:

AS>можно про Kestrel и почему он не готов по-подробнее в виде русского текста на RSDN? (я понимаю, что спрашиваю не того докладчика)


Я ТОТ докладчик

История с Kestrel:
1) До 2.0 он не поддерживал HTTPS, и все было просто, без HTTPS никто сайт на прод разворачивать не будет. Но на мой взгляд это не основная причина, Kestrel оставался еще достаточно молодым и не проверенным web-сервером.

2) С выходом 2.0 добавилась поддержка HTTPS, и такого железного аргумента не стало, но мнение Barry Dorrans, руководителя направления ASP .NET Security: "мы по-прежнему рекомендуем использовать реверс-прокси для Kestrel". Подробнее можно посмотреть в его докладе, объяснение там довольно туманное, но зная, что он имеет доступ ко всем security reports и результатам проведенных пентестов, я бы доверял ему Собственно его доклад (про хостинг в самом начале): https://www.youtube.com/watch?v=T0zH6SuEUFc

3) Я несколько недель назад сел за ревью кода Kestrel, пока мои результаты: один принятый репорт об уязвимости (сейчас он в стадии исправления, как будет готов фикс смогу раскрыть детали). Могу сказать, что уязвимость не эксплотабельна, если Kestrel стоит за IIS. Плюс есть еще несколько подозрительных мест, но еще не успел с этим закончить. Думаю, подробности оформлю и расскажу в виде доклада скоро.
Re: [Интервью] .NET Security — это просто
От: Arsen.Shnurkov  
Дата: 09.11.17 10:04
Оценка: +2
можно про Kestrel и почему он не готов по-подробнее в виде русского текста на RSDN? (я понимаю, что спрашиваю не того докладчика)
Re[4]: [Интервью] .NET Security — это просто
От: yuske  
Дата: 23.11.17 09:38
Оценка: 2 (1)
Здравствуйте, VladCore, Вы писали:

VC>Привет!


Привет!

VC>Гугел в своем облаке ещё с первой версии коре дает HTTPS, ничего настривать не надо самому и достаточно экспозить только http.


Речь только про использование Kestrel без реверс-прокси, когда сервер напрямую доступен из интернета. Я не говорю что Kestrel небезопасно использовать вообще, не рекомендуется это делать не закрыв его правильно сконфигурированным прокси сервером. А так он у меня тоже давно в продакшене, еще с 1.1 версии, стоит за nginx как и остальная инфраструктура из кучи разношерстных серверов. С точки зрения производительности у меня к нему претензий нет (почти), с точки зрения архитектуры вообще отлично сделан.

VC>3)

VC>В GAE уязвимость экспойтится?
Не проверял. Если речь про http://touch-galleries.appspot.com/ то там нет функциональности, уязвимость в которой я нашел.
Re[2]: [Интервью] .NET Security — это просто
От: VladCore  
Дата: 10.11.17 12:39
Оценка:
Здравствуйте, Arsen.Shnurkov, Вы писали:

AS>можно про Kestrel и почему он не готов по-подробнее в виде русского текста на RSDN? (я понимаю, что спрашиваю не того докладчика)


Думаю это маркеинговый шум в пользу Windows Server — без Dynamic IP Restrictions в IIS 7.5/10 его легко положить ddos-ом за копейки

Но

kestrel же публично никто не заставляет выставлять без какого нить reverse-прокси

Вот к примеру на выходных ваш покорный слуга наколхозил http://touch-galleries.appspot.com

там ASP.NET Core 2.0 под кестрел в каком-то линуксе спрятанный в docker за nginx. что там не так с безопастностью?
Отредактировано 10.11.2017 12:46 VladCore . Предыдущая версия . Еще …
Отредактировано 10.11.2017 12:42 VladCore . Предыдущая версия .
Re[3]: [Интервью] .NET Security — это просто
От: AndrewVK Россия http://blogs.rsdn.org/avk
Дата: 12.11.17 01:09
Оценка:
Здравствуйте, VladCore, Вы писали:

VC>Думаю это маркеинговый шум в пользу Windows Server — без Dynamic IP Restrictions в IIS 7.5/10 его легко положить ddos-ом за копейки


Dynamic IP Restrictions штука довольно тупая и примитивная, так что реализовать его на уровне стека asp.net восе не из области невозможного. Ну и от современного DDoS он не спасает, ботнет нормальный ты им не отсечешь, только школоло, атакующее с 1-2 машин.
... << RSDN@Home 1.0.0 alpha 5 rev. 0 on Windows 8 6.2.9200.0>>
AVK Blog
Re[4]: [Интервью] .NET Security — это просто
От: VladCore  
Дата: 13.11.17 04:37
Оценка:
Здравствуйте, AndrewVK, Вы писали:

AVK>Dynamic IP Restrictions штука довольно тупая и примитивная,


Никто и не писал что сложная штука.

AVK>так что реализовать его на уровне стека asp.net восе не из области невозможного.


Карты в руки — сравните реализацию в IIS и в "стеке asp.net"
Отредактировано 13.11.2017 4:41 VladCore . Предыдущая версия .
Re[3]: [Интервью] .NET Security — это просто
От: VladCore  
Дата: 23.11.17 05:44
Оценка:
Здравствуйте, yuske, Вы писали:

Y>Я ТОТ докладчик


Привет!

Y>История с Kestrel:

Y>1) До 2.0 он не поддерживал HTTPS, и все было просто, без HTTPS никто сайт на прод разворачивать не будет. Но на мой взгляд это не основная причина, Kestrel оставался еще достаточно молодым и не проверенным web-сервером.

Не везде
Гугел в своем облаке ещё с первой версии коре дает HTTPS, ничего настривать не надо самому и достаточно экспозить только http.

3)
В GAE уязвимость экспойтится?
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.