Microsoft sta indagando per una vulnerabilità in ASP.NET che permette l'accesso alle directory protette dei server
di Marco Giuliani pubblicata il 08 Ottobre 2004, alle 09:01 nel canale Sicurezza
La sonda spaziale NASA Psyche ha catturato un'immagine della Terra e della Luna da 290 milioni di chilometri
Roscosmos ha lanciato la capsula Bion-M2 con topi, moscerini, piante, alghe e cellule staminali
Qatar Airways ha installato Starlink sui suoi Boeing 777 per offrire velocità fino a 500 Mbps
GPT-5 non convince? OpenAI è già al lavoro su GPT-6 che arriverà presto
Alcuni noti password manager sono vulnerabili ad attacchi di clickjacking: a rischio i dati degli utenti
Nano Banana, l'IA misteriosa che supera tutti i modelli di generazione immagini
Verona, la Polizia minaccia multe di 5.700 euro alle e-bike potenziate, ma organizza anche incontri di formazione
Amazon punterà su Android per la nuova generazione di tablet Fire
Formula E, primi test con la Gen4: salto pazzesco, prestazioni sopra la Formula 2
WhatsApp Android Beta: in fase di test i messaggi vocali dopo le chiamate senza risposta
ChatGPT dimezza le visite ai siti web: citazioni concentrate su tre piattaforme
L'Italia ama i quadricicli elettrici: Fiat Topolino al primo posto, si inserisce Mobilize Duo
YouTube introduce il download dei video anche per gli utenti gratuiti ma occhio alla qualità
I nuovi browser AI possono rubarti soldi e dati senza che tu te ne accorga
Lenovo IdeaPad Slim 3: un notebook Snapdragon X economico
Forte della piattaforma Qualcomm Snapdragon X, il notebook Lenovo IdeaPad Slim 3 riesce a coniugare caratteristiche tecniche interessanti ad uno chassis robusto,...
Recensione OnePlus Watch 3 43mm: lo smartwatch che mancava per i polsi più piccoli
OnePlus risponde alle esigenze di chi cerca un dispositivo indossabile dalle dimensioni contenute con OnePlus Watch 3 43mm. La versione ridotta del flagship mantiene...
The Edge of Fate è Destiny 2.5. E questo è un problema
Bungie riesce a costruire una delle campagne più coinvolgenti della serie e introduce cambiamenti profondi al sistema di gioco, tra nuove stat e tier dell’equipaggiamento....
Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano
Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
HPE Discover 2025: tra agenti intelligenti, infrastruttura AI-native e un futuro ibrido
Edge9 ha seguito da vicino HPE Discover 2025 con accesso esclusivo a keynote e interviste. Dalla Sphere di Las Vegas, la visione di un’infrastruttura AI-native e...
Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada
Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...
Roborock Saros Z70: un braccio meccanico per fare ordine in casa
Dotato di tutte le ultime innovazioni in tema di aspirazione della polvere e pulizia dei pavimenti di casa, Roborock Saros Z70 integra un braccio meccanico che promette...
Membro della European Hardware Association
Lenovo IdeaPad Slim 3: un notebook Snapdragon X economico
Recensione OnePlus Watch 3 43mm: lo smartwatch che mancava per i polsi più piccoli
BOOX Note Air4 C è uno spettacolo: il tablet E Ink con Android per lettura e scrittura
68 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMa davvero c'è chi usa questa accoppiata ? Ma ci si vuole proprio fare del male...
Considera che io ho fatto una cosa in una ditta con asp, IIS e pallazze varie. Se ci fosse la possibilità di far girare il tutto su un sistema linux con apache e qualcosa di alternativo, e gratutito non avrei problemi a mostrare quello che ho fatto in giro. Cosa che avrei invece dovendo per forza mostrarlo su IIS.
Per quello chiedevo.
Entrambi...Mono è troppo giovane per una macchina di produzione e .Net che non mi paice, come filosofia
Ah ok
Anche io preferisco altro
Entrambi...Mono è troppo giovane per una macchina di produzione e .Net che non mi paice, come filosofia
scusa hai detto .NET?
Ci terrei a chiarire una cosa...
...Ovviamente le frasi tipo "l'avevo detto io", "usa questo che meglio..." o "usa quell'altro" non le prendo nemmeno in cosiderazione.Il problema non è dovuto al modulo di autenticazione di ASP.NET, ma nel modulo di gestione delle autorizzazioni (UrlAuthorizationModule, per l'esattezza).
Se il file di configurazione dell'applicazione ha un tag <authorization> generico, il problema non si verifica, perché tutta l'applicazione è protetta con gli stessi criteri.
Nel caso invece l'applicazione presenti sezioni protette e non protette, si ricorre spesso all'utilizzo dei tag <location> nel file di configurazione, e qui si manifesta il problema: una URL del tipo "directory%5Cmiapagina.aspx" non corrisponde a nessuna entry del tag <location> e la richiesta passa.
Quindi il problema è nella lettura delle entries del tag <location>.
Il bug non si verifica se il web server è IIS 5 con URLScan installato, o IIS 6 (che ha URLScan nativo), che blocca tutte le richieste encoded.
URLScan (scaricabile qui) è comunque un componente consigliato in tutte le installazioni IIS 5.0.
Il bug è comunque grave, ma, come si può notare, esistono anche diversi fattori mitiganti, che andrebbero presi in considerazione prima di esprimere sentenze affrettate, e ridurre tutte le discussioni a diatribe PENOSE del tipo "questo" vs "quello" che non giovano sicuramente alla qualità del forum.
io credo che a livello di prestazioni (visto che l'insieme delle classi base di Java fa letteralmente c#g##e) .net non sia confrontabile con java!
Giusto per un confronto semplice, quello che in java è la grande tecnologia (leggi Java HotSpot) in .net è la base dalla versione 0, ed è anche migliorato visto che in .net la compilazione avviene cmq e il codice viene compilato viene riutilizzato per utilizzi futuri, mentre la JVM con HS non fa altro che prevedere codice partiocolarmetne lento, compilarlo, eseguirlo e poi cancellare il pezzo compilato. Direi che già da questo .net parte in vantaggio.
Per adesso Java ha il vantaggio di avere un CLR per ogni piattaforma ma aspettate che mono cresca e vedremo CLR per .net ovunque.
Se poi chi parlava male di .net è un fanatico del c/c++. non posso che dargli ragione, le prestazioni sono eccellenti per i due linguaggi. Ma il ciclo di sviluppo? Sviluppare codice in c/c++ richiede mediamente un periodo grande il doppio. E non sempre avere queste grandi prestazioni è fondamentale, personalmente non scrivo un dbms ogni giorno. Al contrario mi capita sempre più spesso di sviluppare software da ufficio dove i tempi di risposta sono in gran parte funzione della velocità di battitura dell'impiegato al pc. Ora trovatemi un impiegato che riesca ad avvertire delle differenze prestazionali tra un programma scritto in c ed uno eseguito all'interno di un runtime come java e .net.
Spero di aver espresso in maniera corretta (dal punto di vista dei significati e del "fairplay"
giusto per ribattere chi flama contro .net... vorrei chiedere se java è un degno opponente di .net.
io credo che a livello di prestazioni (visto che l'insieme delle classi base di Java fa letteralmente c#g##e) .net non sia confrontabile con java!
Giusto per un confronto semplice, quello che in java è la grande tecnologia (leggi Java HotSpot) in .net è la base dalla versione 0, ed è anche migliorato visto che in .net la compilazione avviene cmq e il codice viene compilato viene riutilizzato per utilizzi futuri, mentre la JVM con HS non fa altro che prevedere codice partiocolarmetne lento, compilarlo, eseguirlo e poi cancellare il pezzo compilato. Direi che già da questo .net parte in vantaggio.
Per adesso Java ha il vantaggio di avere un CLR per ogni piattaforma ma aspettate che mono cresca e vedremo CLR per .net ovunque.
Se poi chi parlava male di .net è un fanatico del c/c++. non posso che dargli ragione, le prestazioni sono eccellenti per i due linguaggi. Ma il ciclo di sviluppo? Sviluppare codice in c/c++ richiede mediamente un periodo grande il doppio. E non sempre avere queste grandi prestazioni è fondamentale, personalmente non scrivo un dbms ogni giorno. Al contrario mi capita sempre più spesso di sviluppare software da ufficio dove i tempi di risposta sono in gran parte funzione della velocità di battitura dell'impiegato al pc. Ora trovatemi un impiegato che riesca ad avvertire delle differenze prestazionali tra un programma scritto in c ed uno eseguito all'interno di un runtime come java e .net.
Spero di aver espresso in maniera corretta (dal punto di vista dei significati e del "fairplay"
Beh .Net ha preso a pieni mani quello che è Java e lo ha riproposto e migliorato sotto molti punti di vista... sotto altri invece è indietro...
Oltretutto Java è prevalentemente usato per applicazioni lato server, è questo il suo campo d'utilizzo.
Poi la domanda dovrebbe essere ribaltata...
Bisogna vedere se .Net è un degno avversario di Java
Java ormai si può considerare maturo, anche se sempre in fermento e con una miriade di progetti, closed ed open source
Tralasciando l'utilizzo di URLSCAN.EXE che lascia il tempo che trova
Questa me la devi spiegare. Voglio dire: rilasciano tools per migliorare la sicurezza, ma purtroppo lasciano il tempo che trovano?
Installazioni IIS 6.0? Mah, già Aruba fornisce hosting Windows su Windows Server 2003...
Inoltre, con i tool che "lasciano il tempo che trovano" come URLScan, puoi proteggere anche un IIS 5.0.
Il codice proposto da Microsoft da aggiungere nel global.asax,poi, costa BEN UNA ricompilazione dell'applicazione...
Beh .Net ha preso a pieni mani quello che è Java e lo ha riproposto e migliorato sotto molti punti di vista... sotto altri invece è indietro...
Non vedo dove: finora rispetto a Java noto soltanto dei vantaggi.
Al contrario: non dovrebbe essere solamente lato client?
Bisogna vedere se .Net è un degno avversario di Java
E' ancora giovane: diamogli tempo...
Indubbiamente...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".