'Zwakke documentatie ondergraaft beveiliging .Net'

ASP.Net, het .Net-onderdeel voor webservices van het .Net Framework, is nu ongeveer vier maanden op de markt. In zijn analyse van het product constateert Moore dat vrijwel alle zwakke plekken waaronder de bestaande serversoftware van Microsoft gebukt gaat zijn verholpen. De default-instellingen leveren volgens hem een goed dichtgetimmerde configuratie op. Maar het doet er niet toe hoe veilig een product aanvankelijk is, het gaat om de manier waarop je programmeert, betoogt Moore. Hij waarschuwt dat ontwikkelaars een 'steile leercurve' moeten doormaken en dat fouten bij het wijzigen van de instellingen de veiligheid van iedere webapplicatie ondergraven. Een ernstige tekortkoming is dat de .Net-software makkelijk verkeerd geconfigureerd kan worden. De productdocumentatie zou dat zelfs in de hand werken. Zo krijgen ontwikkelaars het advies een bestand aan te maken met gebruikerswachtwoorden en dat in een map te plaatsen die via het web van buitenaf toegankelijk is, volgens Moore een doodzonde. Volgens Moore deugt het bronnenmateriaal waarop applicatieontwikkelaars kunnen terugvallen niet. De vijf bekendste handboeken over ASP.Net laten elk minstens één van de meest voorkomende beveiligingsproblemen van .Net onvermeld. Microsofts eigen webtoepassing voor virtuele winkels IBuySpy, een belangrijke bron voor applicatiebouwers, bevat twee projectbestanden die door iedereen vanaf het web toegankelijk zijn. Ook is het onderdeel Unicode in deze toepassing kwetsbaar, aldus Moore. CNet laat verantwoordelijke managers van Microsoft aan het woord die beloven dat zij de door Moore aangevoerde kwesties zullen onderzoeken. Volgens product manager Mike Kass is de documentatie onder ontwikkelaars "behoorlijk goed ontvangen". (gke) Zie ook:Eerste .Net-virus gesignaleerd - 10 januari 2002