Microsoft IIS 真的如此「不安全」嗎？

[powerkid]

NT架站使用者最重要的事就是天天去Patch修改Bug的檔案..
一有疏忽...被害的一定就是妳!!

看那微軟的修正檔有多少...QQ

[800]

最初由 bjc4100


我認為重點是樹大招風，以一個寫病毒的人而言，
當然是針對最多人用的平台寫病毒最爽，
所以 Windows 系列自然成為攻擊目標！

Linux、Apache 並不是無法寫病毒，
而是用的人少，寫起來一點成就感也沒有...

澄清一件事

全世界使用 apache 來架 web server 的機器比 IIS 多上好幾倍.
絕對不是因為 IIS 比較多人使用的原因才讓作者寫出這段 code.

因為微軟 security 的觀念比較差, 比要容易抓到漏洞, 所以成就感比較容易獲得.

[mckan]

世界上, 用 Apache 的site 的數目比IIS 多很多喔!?
可是似乎都沒聽說有大問題.

最初由 metalmax


說得真好。

[milwater]

我想應該這麼說..
IIS與Apache的用途不同, 所以才會有駭客"重IIS,輕Apache"的行為.

用Apache架的Server預設都只能Show靜態網頁, 了不起就是加個PHP的外掛, 讓其能跑一些動態網頁, 然它的作用, 仍只是單純的Web Server, hackers比較動不到它的kernel部份;

而IIS, 就如同M$所宣布的, 已經將其設定為"網路應用伺服器"的定位了. 除了基本的WebServer+ASP的伺服器, 又多了許多一般人鮮少用到的Script與功能(例如網路印表機的管理, 遠端IIS管理Web介面)等等, 目的在於日後.NET的擴充性(到時不買它的產品都不行..).偏偏M$的程式設計完備性不夠, 導致許許多多的bug與漏洞被大家幹礁, 不過對M$而言, 好像是無關痛癢的..

[mckan]

IIS 有的功能, Apache 大多作得到
Apache 除了 PHP module, 也有 JSP module 就算 ASP, 也有, 不要要錢就是了
當然遠端管理也有, 至於 .Net 提供的雜七雜八的功能, 在這個 Hacker 猖獗的年代
如非你維護的系統不重要, 能不用當然不用,
只開放需要的功能, 是系統管理者該有的 sense.

最初由 milwater
我想應該這麼說..
IIS與Apache的用途不同, 所以才會有駭客"重IIS,輕Apache"的行為.

用Apache架的Server預設都只能Show靜態網頁, 了不起就是加個PHP的外掛, 讓其能跑一些動態網頁, 然它的作用, 仍只是單純的Web Server, hackers比較動不到它的kernel部份;

而IIS, 就如同M$所宣布的, 已經將其設定為"網路應用伺服器"的定位了. 除了基本的WebServer+ASP的伺服器, 又多了許多一般人鮮少用到的Script與功能(例如網路印表機的管理, 遠端IIS管理Web介面)等等, 目的在於日後.NET的擴充性(到時不買它的產品都不行..).偏偏M$的程式設計完備性不夠, 導致許許多多的bug與漏洞被大家幹礁, 不過對M$而言, 好像是無關痛癢的..

[birdy590]

最初由 mckan
IIS 有的功能, Apache 大多作得到
Apache 除了 PHP module, 也有 JSP module 就算 ASP, 也有, 不要要錢就是了
當然遠端管理也有, 至於 .Net 提供的雜七雜八的功能, 在這個 Hacker 猖獗的年代
如非你維護的系統不重要, 能不用當然不用,
只開放需要的功能, 是系統管理者該有的 sense.

沒錯, 微軟犯了一個系統管理者的最大忌諱, 就是"開放了太多用不到的 feature"
你知道你的系統裡有多少"現在沒在用的功能嗎"? 加起來可能有一大把. 更糟糕的是, 系統管理者就算想把用不到的東西關掉, 都沒有一個簡單的辦法(意思就是: 只要裝了大概就是全上)

這種問題在 *nix 上面早就已經變成常識了. 現在新裝好的系統幾乎都是 minimal, 系統管理者要什麼功能再自己加上去; 而不是先全部給你, 再把不要的拿掉.