В предверии столичной DotNext 2017, я и Михаил Yuske Щербаков дали небольшое интервью её организаторам по вопросам безопасности платформы .NET и разрабатываемых под неё приложений.
Здравствуйте, Arsen.Shnurkov, Вы писали:
AS>можно про Kestrel и почему он не готов по-подробнее в виде русского текста на RSDN? (я понимаю, что спрашиваю не того докладчика)
Думаю это маркеинговый шум в пользу Windows Server — без Dynamic IP Restrictions в IIS 7.5/10 его легко положить ddos-ом за копейки
Но
kestrel же публично никто не заставляет выставлять без какого нить reverse-прокси
Здравствуйте, VladCore, Вы писали:
VC>Думаю это маркеинговый шум в пользу Windows Server — без Dynamic IP Restrictions в IIS 7.5/10 его легко положить ddos-ом за копейки
Dynamic IP Restrictions штука довольно тупая и примитивная, так что реализовать его на уровне стека asp.net восе не из области невозможного. Ну и от современного DDoS он не спасает, ботнет нормальный ты им не отсечешь, только школоло, атакующее с 1-2 машин.
... << RSDN@Home 1.0.0 alpha 5 rev. 0 on Windows 8 6.2.9200.0>>
Здравствуйте, Arsen.Shnurkov, Вы писали:
AS>можно про Kestrel и почему он не готов по-подробнее в виде русского текста на RSDN? (я понимаю, что спрашиваю не того докладчика)
Я ТОТ докладчик
История с Kestrel:
1) До 2.0 он не поддерживал HTTPS, и все было просто, без HTTPS никто сайт на прод разворачивать не будет. Но на мой взгляд это не основная причина, Kestrel оставался еще достаточно молодым и не проверенным web-сервером.
2) С выходом 2.0 добавилась поддержка HTTPS, и такого железного аргумента не стало, но мнение Barry Dorrans, руководителя направления ASP .NET Security: "мы по-прежнему рекомендуем использовать реверс-прокси для Kestrel". Подробнее можно посмотреть в его докладе, объяснение там довольно туманное, но зная, что он имеет доступ ко всем security reports и результатам проведенных пентестов, я бы доверял ему Собственно его доклад (про хостинг в самом начале): https://www.youtube.com/watch?v=T0zH6SuEUFc
3) Я несколько недель назад сел за ревью кода Kestrel, пока мои результаты: один принятый репорт об уязвимости (сейчас он в стадии исправления, как будет готов фикс смогу раскрыть детали). Могу сказать, что уязвимость не эксплотабельна, если Kestrel стоит за IIS. Плюс есть еще несколько подозрительных мест, но еще не успел с этим закончить. Думаю, подробности оформлю и расскажу в виде доклада скоро.
Привет!
Y>История с Kestrel: Y>1) До 2.0 он не поддерживал HTTPS, и все было просто, без HTTPS никто сайт на прод разворачивать не будет. Но на мой взгляд это не основная причина, Kestrel оставался еще достаточно молодым и не проверенным web-сервером.
Не везде
Гугел в своем облаке ещё с первой версии коре дает HTTPS, ничего настривать не надо самому и достаточно экспозить только http.
Привет!
VC>Гугел в своем облаке ещё с первой версии коре дает HTTPS, ничего настривать не надо самому и достаточно экспозить только http.
Речь только про использование Kestrel без реверс-прокси, когда сервер напрямую доступен из интернета. Я не говорю что Kestrel небезопасно использовать вообще, не рекомендуется это делать не закрыв его правильно сконфигурированным прокси сервером. А так он у меня тоже давно в продакшене, еще с 1.1 версии, стоит за nginx как и остальная инфраструктура из кучи разношерстных серверов. С точки зрения производительности у меня к нему претензий нет (почти), с точки зрения архитектуры вообще отлично сделан.
VC>3) VC>В GAE уязвимость экспойтится?
Не проверял. Если речь про http://touch-galleries.appspot.com/ то там нет функциональности, уязвимость в которой я нашел.