Pourquoi pas ASP .NET

[mouradski]

Salem,

 

J'ai remarqué que la plupart des membres ne jurent que par PHP alors qu'on peut faire du développement web en ASP .NET sans sortir un sou (sauf windows ), WebMatrix est un IDE ASP .NET totalement gratuit et professionnel, en plus, on a pas à se soucier du serveur vu qu'il est distant et compris dans le prix de l'hebergement (IIS).

 

Pour ce qui est de la sécurité, c'est la raison pour la quelle j'ai ouvert ce topic.

 

Que pensez vous de la sécurité du couple IIS & Framework .NET ? ou d'une autre maniere ASP .NET VS PHP !

 

Peut on faire du developpement web en ASP .NET sans avoir des connaissances très poussées en matiere de securité et faire à 100% confiance à l'environement managé et à l'IIS ?

 

Merci.

[Invité HAVOC]

Sans sortir un sou cela m'étonnerait fortement, il faut un Windows+IIS et pour avoir une sécurisation acceptable il faut IIS6 car entre IIS5 et 6 il y a de grosse différences de fonctionnement qui font que l'ancienne version est une véritable passoire et que la nouvelle version repose sur des bases et des principes plus solides. En suite, il faut savoir qu'il est possible d'utiliser ASP sur plateforme linux et PHP sur plateforme Windows mais il me semble que cela n'est ni pratique ni très fiable. La plateforme d'ASP étant Windows elle implique les problèmes de sécurité liés à cet OS. Il y a aussi l'aspect pratique de la programmation, je trouve que PHP est bien plus simple et pratique qu'ASP sur de projet de p'tite à moyenne taille et pour ceux qui ne maitrisent pas la syntaxe VB (bien qu'on puisse utiliser des langages comme C# puis faire une conversion).

[mouradski]

Salut HAVOC,

 

Je parlai de ASP .NET et non d'ASP, ASP .NET est basé sur la framework .NET donc bénéficie de tous les services de sécurité de la plateforme en plus de celle de l'IIS6.

 

ça sera impossible de réussir des prouesses tels les bidouillage de buffer comme c'est du managé.

 

EDIT :

 

Pour le cout, je pense que les hébergeurs Appache et IIS6 proposent les mêmes tarifs d'hébergement.

 

Modifié le 22 juillet 2008 par mouradski

[Invité HAVOC]

Salut HAVOC,

 

Je parlai de ASP .NET et non d'ASP, ASP .NET est basé sur la framework .NET donc bénéficie de tous les services de sécurité de la plateforme en plus de celle de l'IIS6.

 

ça sera impossible de réussir des prouesses tels les bidouillage de buffer comme c'est du managé.

 

 

Dans ce cas je te répondrai qu'il est difficile de comparer le framework ASP .NET à PHP qui n'est pas un framework en soi. Il faudrait le comparer à un framework pour PHP bien précis comme Zend Framework.

[mouradski]

Salut,

Dans ce cas je te répondrai qu'il est difficile de comparer le framework ASP .NET à PHP qui n'est pas un framework en soi. Il faudrait le comparer à un framework pour PHP bien précis comme Zend Framework.

 

je parlais de la .net en général, car l'application ASP exploitent les atouts sécurité de la framework.

 

 

Je citerai quelques services :

1/CAS : permet en gros de limiter l'accès au ressources sensibles, fichier disque, réseau, de plus CAS étend son filtrage à l'appel du code non managé, il permet un verrouillage du code lui-même quelque soit les droit d'utilisateur, le code est lui-même considéré comme un utilisateur qui possède des droits.

2/Blocage de code mal veillant.

..... et la liste est longue.

 

 

Source : Lien (PDF : SECURITEDOTNET, Auteur : Olivier DAHAN)

[mouradski]

Re,

 

Suite à la compagne de hack qui a déstabilisé plusieurs sites Algeriens, et après avoir constaté que c'était à tout les coup du PHP, m'est venu l'idée de comparer entre les deux mondes d'apache PHP & ASP .NET, je ne veux pas faire une comparaison entre langages mais bien entre la vulnérabilité et les services natives de sécurité de chaque couple.

 

Si vous avez une liste de sites (.NET IIS6) hacké et je suis sure qu'il y'en a, ça serait bien de les poster ici, pour les sites PHP, je pense que ce n'est même pas la peine .

[Invité HAVOC]

A mon avis, ce qui protège les sites algériens codés en ASP est que ce langage n'est pas maitrisé par les noob qui hack des sites en PHP, de même, il y a moins de CMS en ASP qu'en PHP.

[Boss_Med]

Si vous avez une liste de sites (.NET IIS6) hacké et je suis sure qu'il y'en a, ça serait bien de les poster ici, pour les sites PHP, je pense que ce n'est même pas la peine .

 

le site de kaspersky malisya à été piraté hier en + il est sous IIS

il est down maintenant

http://www.kaspersky.com.my/

[mouradski]

le site de kaspersky malisya à été piraté hier en + il est sous IIS

il est down maintenant

http://www.kaspersky.com.my/

 

Est ce de l'ASP .NET ??, car comme je l'ai précisé en haut, la framework .NET est sensée offrir un complément de sécurité en plus de celle de l'IIS6.

[Invité HAVOC]

Est ce de l'ASP .NET ??, car comme je l'ai précisé en haut, la framework .NET est sensée offrir un complément de sécurité en plus de celle de l'IIS6.

 

Et sensé et offre ce n'est pas kifkif looool

Je pense que Darkvader sera plus apte à nous parler des technologies MS.

[mouradski]

Et sensé et offre ce n'est pas kifkif looool

Je pense que Darkvader sera plus apte à nous parler des technologies MS.

 

Wé c'est pas kifkif, je peux pas affirmé un truc dont j'en suis pas sure

[mouradski]

le site de kaspersky malisya à été piraté hier en + il est sous IIS

il est down maintenant

http://www.kaspersky.com.my/

 

les extensions des pages sont .asp donc c'est pas de la .NET dont l'extension est .aspx.

[Darkvader]

Et sensé et offre ce n'est pas kifkif looool

Je pense que Darkvader sera plus apte à nous parler des technologies MS.

 

 

I try to avoid these kind of discussions as much as I can, because they tend to end nowhere. But since you [HAVOC] got me involved, I will try to give you my opinion about .NET platform, IIS, PHP and Apache.

 

I am not really into Microsoft technologies per say, but since it's my daily job and my bread winner, I know little bit more about their (MSFT) work and what they are trying to accomplish.

 

More and more companies here in the US are becoming MS shops, and the reason being is that you can accomplish a lot with the .Net framework in so little time, I can build you a full blown web site with ASP.NET in few hours where it might take days with PHP, the only downside to that is it's platform dependent (Windows), as for security (IIS=>6 vs Apache), I don't have to go far, just read the statistics, and take a tour at milw0rm.com to see what's happening.

 

.NET Framework is supported by a big company MICROSOFT that stands behind its product and has a lot of money to make it work.

 

As for security, it all depends on the developer, and the reason you see lots of PHP web sites defaced these days is because there are lots of people that don't even know the difference between an integer and a double building web sites for high profile companies, on the other side of the fence you got kids having fun with SQL Injection and CSS.

 

Example http://www.itcis.net/ from this post http://www.forumdz.com/showthread.php?t=4638

 

 

Type in any sql injection technique in the user name and anything in the password and see what happens, and I am sure if I get to his other sites, I would find the same whole.

 

SQL Injection and CSS is the most boring h@cking technique ever, that is why you won't find it as a challenge in security contests any more.

 

 

I think in my opinion, you can make your web site either aspx or php highly secure by just following the guidelines and staying abreast with security updates.

 

Those are my two cents.

 

Happy to hear other opinions.

Modifié le 22 juillet 2008 par Darkvader

[Invité HAVOC]

Example http://www.itcis.net/ from this post http://www.forumdz.com/showthread.php?t=4638

 

 

Type in any sql injection technique in the user name and anything in the password and see what happens, and I am sure if I get to his other sites, I would find the same whole.

 

SQL Injection and CSS is the most boring h@cking technique ever, that is why you won't find it as a challenge in security contests any more.

 

Oui oui j'avais détecté ça lorsque j'ai visité ses liens, c'est ce qui explique que je lui ai parlé de sécurité. Il y a même du laissé allé dans la vérification des champs, tu peux par exemple enregistrer n'importe quoi comme adresse mail pour la newsletter... personnellement je ne supporte pas ce type de négligence car cela indique souvent un laissé allé qui touche même l'aspect sécurité du site.

 

Et tu as tout à fait raison de dire que la sécurité d'un site passe avant tout par sa conception et donc le savoir faire des développeurs.

[mouradski]

Et tu as tout à fait raison de dire que la sécurité d'un site passe avant tout par sa conception et donc le savoir faire des développeurs.

 

Je suis du même avis , faut pas croire que je veux une protection à 100% clé en mains je suis conscient que la compétence du développeur et les bonnes pratiques de codage sont les premières exigences pour bien sécuriser le site.

[Invité salimdz]

I try to avoid these kind of discussions as much as I can, because they tend to end nowhere. But since you [HAVOC] got me involved, I will try to give you my opinion about .NET platform, IIS, PHP and Apache.

 

I am not really into Microsoft technologies per say, but since it's my daily job and my bread winner, I know little bit more about their (MSFT) work and what they are trying to accomplish.

 

More and more companies here in the US are becoming MS shops, and the reason being is that you can accomplish a lot with the .Net framework in so little time, I can build you a full blown web site with ASP.NET in few hours where it might take days with PHP, the only downside to that is it's platform dependent (Windows), as for security (IIS=>6 vs Apache), I don't have to go far, just read the statistics, and take a tour at milw0rm.com to see what's happening.

 

.NET Framework is supported by a big company MICROSOFT that stands behind its product and has a lot of money to make it work.

 

As for security, it all depends on the developer, and the reason you see lots of PHP web sites defaced these days is because there are lots of people that don't even know the difference between an integer and a double building web sites for high profile companies, on the other side of the fence you got kids having fun with SQL Injection and CSS.

 

Example http://www.itcis.net/ from this post http://www.forumdz.com/showthread.php?t=4638

 

 

Type in any sql injection technique in the user name and anything in the password and see what happens, and I am sure if I get to his other sites, I would find the same whole.

 

SQL Injection and CSS is the most boring h@cking technique ever, that is why you won't find it as a challenge in security contests any more.

 

 

I think in my opinion, you can make your web site either aspx or php highly secure by just following the guidelines and staying abreast with security updates.

 

Those are my two cents.

 

Happy to hear other opinions.

 

 

Traduction : Anglais » Français

 

J'essaie d'éviter ce genre de discussions autant que je le peux, car ils ont tendance à mettre fin à nulle part. Mais puisque vous [Havoc] m'a impliqué, je vais essayer de vous donner mon avis. NET, IIS, PHP et Apache.

 

Je ne suis pas vraiment dans les technologies Microsoft par dire, mais puisque c'est mon travail quotidien et gagnant mon pain, je sais peu plus sur leur (MSFT) les travaux et ce qu'ils tentent d'accomplir.

 

De plus en plus d'entreprises ici aux États-Unis sont de plus en MS magasins, et la raison d'être est que vous pouvez accomplir beaucoup avec les. NET Framework en si peu de temps, je peux vous construire une avérés site Web avec ASP.NET dans quelques heures où il pourrait prendre des jours avec PHP, le seul inconvénient est que cela dépend de la plate-forme (Windows), que pour la sécurité (IIS => Apache vs 6), je n'ai pas à aller loin, il suffit de lire les statistiques, et de prendre un milw0rm.com à tour pour voir ce qui se passe.

 

. NET Framework est soutenu par une grande entreprise Microsoft qui se tient derrière son produit et a beaucoup d'argent pour le faire fonctionner.

 

En ce qui concerne la sécurité, tout dépend du développeur, et la raison pour laquelle vous voyez beaucoup de sites Web PHP illisible ces jours-ci est parce qu'il ya beaucoup de gens qui ne savent même pas la différence entre un entier et un double construction des sites Web pour la grande profil des entreprises, de l'autre côté de la barrière-vous les enfants s'amuser avec SQL Injection et le CSS.

 

Exemple http://www.itcis.net/ de ce poste http://www.forumdz.com/showthread.php?t=4638

 

Tapez toute technique d'injection sql dans le nom d'utilisateur et rien dans le mot de passe et voir ce qui se passe, et je suis sûr que si je suis à ses autres sites, je retrouve le même ensemble.

 

Injection SQL et CSS est le plus ennuyeux H @ cking technique jamais, c'est pourquoi vous ne trouverez pas comme un défi en matière de sécurité conteste plus.

 

Je pense à mon avis, vous pouvez rendre votre site Web soit aspx ou php hautement sécurisé par juste après les lignes directrices et de rester au courant de mises à jour de sécurité.

 

Ce sont mes deux cents.

 

Heureux d'entendre d'autres opinions.