Насколько MS-стек секьюрный?

Question

[yanisnintenda]

Часто слышу что Windows Server не ломал только ленивый. В связи с этим вопрос, есть ли смысл, для себя, по фану, начинать изучение программирования и создания CMS исключетельно средствами MS технологий, .NET и т.д. и т.п. и насколько чаще в экосистеме MS находятся уязвимости по сравнению с другими платформами, такими как PHP/mySQL и др.

Comments

[Владимир Коротенко]

Вот вам кстати пример. Учтите что этот сайт связан с кучей систем внутри, завязан на несколько систем авторизации, практически напрямую выходит в AD и как видите живет, держит огромные нагрузки.

https://www.interfax.ru/

[DevMan]

Владимир Коротенко, зачем какой-то интерфакс, когда для примера есть SO в частности, и вся их платформа в целом.
я уже молчу про сайты самих майков.

[Владимир Коротенко]

DevMan, Например потому что я там работал. Для MS мы только промо сайт писали, там не очень интересно было

[DevMan]

Владимир Коротенко, нуоки. прост для айтишнегов и прочих погромистов, SO/SE более показательны, чем Интерфакс.

[Владимир Коротенко]

DevMan, IT сайты вообще не показатель. Людей мало, дырки щупать ни кто не щупает.
По идее самые посещаемые это соц. сети и торговые площадки ну и порнхаб

[DevMan]

Владимир Коротенко, реально считаете SO/SE не лакомой добычей? учитывая их посещаемость и контингент?

[Владимир Коротенко]

DevMan, Слишком много умников в одном месте. Как по мне затраты не окупятся. Угонишь акаунты, а там у каждого 1го куча правильных паролей и 2х факторная авторизация. На каждого тратить кучу времени.

В общем как мне кажется люди выбирают максимальную аудиторию с минимальным количеством мозгов. Тогда профит будет максимальный.

ИМХО конечно

[DevMan]

Владимир Коротенко, так и есть. прост у мозговитых включается профинтерес.
ломать хомяков - не интересно, сделать дефейс - совсем другое дело.

[Владимир Коротенко]

DevMan, Я бывает захожу на https://www.hackerone.com/

Средняя оценка уязвимости там ок. 2000$
Месяц копать код как то грустно. Это уж очень много нужно иметь свободного времени.

Причем то что вскрывается в большей части просто недосмотр. Крупные же уязвимости оценивают в 50 000$
Это просто анрил для целенаправленной атаки.

Ну и вариант залета не следует исключать.

[DevMan]

Владимир Коротенко, таки речь жеж не об этом.

[Владимир Коротенко]

DevMan, Мы вообще сбились с секьюрности MS на общие темы экономического обоснования хакинга

Answer 1

[DevMan]

в пользовательском коде будет гораздо больше дыр, чем в стэке.

Comments

[yanisnintenda]

т.е. с PHP работать оптимальнее всего? (безопасность/удобство_написания_кода)?

[DevMan]

yanisnintenda, подобный вывод показывает, что вы крайне далеки, как минимум, от темы безопасности веб-приложений.

на обоих стеках можно написать и защищённое приложение, и полное решето. это зависит от пишущих людей, а не стека.

уязвимости самого стека можно смело не рассматривать.

Answer 2

[Владимир Коротенко]

Часто слышу что Windows Server не ломал только ленивый. В связи с этим вопрос, есть ли смысл, для себя, по фану, начинать изучение программирования и создания CMS исключетельно средствами MS технологий, .NET и т.д. и т.п. и насколько чаще в экосистеме MS находятся уязвимости по сравнению с другими платформами, такими как PHP/mySQL и др.

Слухи о несекьюрности сильно преувеличены. Если будете программировать на Net core + ORM + включите анализеры в студии. У вас из коробки будет довольно хорошая защита.

MS стек всего лишь инструмент, хотя и очень хороший.

Answer 3

[Рональд Макдональд]

MS делает вполне себе секундные продукты, просто один дурачок из нулевых сказал, а другие повторили.

Answer 4

[NewDevLab]

очень. полностью. обновления по вторникам.

Answer 5

[АртемЪ]

Насколько MS-стек секьюрный?

Примерно как топор.
Его тоже не ломал только ленивый.

Comments

[hint000]

- Эй, Джо, лови MS-стек!
- Ккккхххххррррххх...
- Чего хрипишь? Не секьюрный что ли?

[Владимир Коротенко]

АртемЪ Есть языки на которых пишут и безопасные

ПС чаше всего ломают Cisco это дырявое решето вообще без пароля

[DevMan]

Владимир Коротенко, только, если админ - рукожоп.

[Владимир Коротенко]

DevMan, В случае с Windows то же самое. Не люблю обобщений и привел один из примеров.

[DevMan]

Владимир Коротенко, в случае рукожопов, уже ничего не поможет, кроме профессиональной эвтаназии.
по поводу обобщений согласен.

[АртемЪ]

Владимир Коротенко, Нет таких языков.
Писать можно на любом языке, а безопасность зависит только от писателя.

[Владимир Коротенко]

АртемЪ, О чем и разговор