Microsoft ve Guvenlik

ASP.NET' in varsayılan XSS korumasını sadece IE de geçme açığını duymuşsunuzdur. Microsoft ASP.NET request filtering can be bypassed allowing XSS and HTML injection attacks adı ile yayınlandı.

Ben bu açığı üç ay kadar önce bulmuştum ve Microsoft' a göndermiştik. İlginçtir ki MSRC (Microsoft Security Response Center)  bu açığın zaten daha önceden rapor edildiğini söylemedi ve üzerinde çalışıp yama çıkınca geri döneceklerini belirtti.

Yaklaşık üç gün önce kadarsa yukarıdaki açık yayınlandı. Burada görüldüğü gibi güvenlik bir oyun ve ikinci gelirseniz o eli kaybediyorsunuz.

Aslında esas konu şu ki bu açığın on aydır gibi bir süredir hala kapatılmamış olması ve şu an biliyoruzki en az iki yerden bu açık rapor edilmiş.

IE hala pazarın en az %75 ine sahip ve ASP.NET sitelerinin bir çoğu sadece XSS' e karşı ASP.NET' in korumasına dayanıyor. Dolayısıyla bu şekilde bir açığı neden ciddiye almadıklarını anlamak mümkün değil. Tabii ki ASP.NET korumasına dayanmak zaten kötü bir şey ama bu tamamen ayrı bir konu.

Son olarak bu yayınlanan güvenlik açığında Mono implementasyonlarının açık olduğu belirtilmemiş. Ben Mono' ya bildirmek için Microsoft' un cevabını bekliyordum. Mono' da tamamen aynı şekilde açık.