Здравствуйте, Arsen.Shnurkov, Вы писали:

AS>можно про Kestrel и почему он не готов по-подробнее в виде русского текста на RSDN? (я понимаю, что спрашиваю не того докладчика)

Я ТОТ докладчик

История с Kestrel:
1) До 2.0 он не поддерживал HTTPS, и все было просто, без HTTPS никто сайт на прод разворачивать не будет. Но на мой взгляд это не основная причина, Kestrel оставался еще достаточно молодым и не проверенным web-сервером.

2) С выходом 2.0 добавилась поддержка HTTPS, и такого железного аргумента не стало, но мнение Barry Dorrans, руководителя направления ASP .NET Security: "мы по-прежнему рекомендуем использовать реверс-прокси для Kestrel". Подробнее можно посмотреть в его докладе, объяснение там довольно туманное, но зная, что он имеет доступ ко всем security reports и результатам проведенных пентестов, я бы доверял ему Собственно его доклад (про хостинг в самом начале): https://www.youtube.com/watch?v=T0zH6SuEUFc

3) Я несколько недель назад сел за ревью кода Kestrel, пока мои результаты: один принятый репорт об уязвимости (сейчас он в стадии исправления, как будет готов фикс смогу раскрыть детали). Могу сказать, что уязвимость не эксплотабельна, если Kestrel стоит за IIS. Плюс есть еще несколько подозрительных мест, но еще не успел с этим закончить. Думаю, подробности оформлю и расскажу в виде доклада скоро.