Craccato il database finanziario di Playboy.com

Qualcuno è entrato nei sistemi internet di uno dei siti più cliccati della rete e ha copiato numeri di carte di credito e dati degli utenti. E ha rivendicato la cosa in una email inviata ai clienti Playboy. Il primo crack nel 1998

Craccato il database finanziario di Playboy.comWeb - In un comunicato destinato certamente a non aumentare la fiducia dei consumatori per l'uso della carta di credito online, Playboy.com ha ammesso di aver subito l'attacco di un cracker che ha sottratto importanti informazioni finanziarie sui suoi clienti.

L'azienda che gestisce il sito, da sempre uno dei "più cliccati" della rete, ha affermato che gli investigatori sono al lavoro per trovare le tracce del cracker che è penetrato nei sistemi internet di Playboy.com e ha sottratto numeri di carte di credito e altri dati dei clienti web.

Copertina Playboy 1963Quanto accaduto sarebbe emerso questo week-end, quando l'azienda è stata informata dai propri tecnici di una serie di attività inusuali sul server. Al momento si sta procedendo ad una "stima dei danni", per capire quali sono state le tecniche di cracking utilizzate e soprattutto quali informazioni e di chi sono state sottratte. Per far fronte alla situazione, Larry Lux, il presidente di Playboy.com, ha chiesto ai propri clienti di contattare immediatamente chi ha rilasciato loro la carta di credito per accertarsi se siano stati eseguiti acquisti non autorizzati.
Non si sa ancora quale peso venga dato ad una lettera inviata ai clienti del sito da un team che si definisce "ingreslock 1524" e che con l'alias "martyn luther ping" ha rivendicato l'azione e ha fornito nome e numeri di carte di credito ai clienti come prova. Secondo quanto affermato dai cracker, fin dal 1998 il gruppo avrebbe avuto accesso ai server di Playboy.

"Noi - rivendica la lettera - abbiamo fatto grandi progetti su come utilizzare dati di centinaia di migliaia di clienti (per acquisti online, ndr) che hanno portato a 10 milioni le frodi denunciate dalle aziende delle carte di credito e del mondo delle società di assicurazione". Parole che, se confermate, potrebbero indurre a ritenere l'azione un attacco deliberato non solo a Playboy.com ma al commercio elettronico nel suo complesso. Tanto che la lettera include una serie di avvertimenti per chi compra online: "Non dare fiducia alle aziende che mettono online le tue informazioni".
17 Commenti alla Notizia Craccato il database finanziario di Playboy.com
Ordina
  • Mi pare veramente strano, dopo aver letto la notizia, che alle 9:35 PM non aver trovato circa 200 messaggi !!!
    Se il sistema bucato fosse stato IIS5.0 con Windows 2000 probabilmente il thread sarebbe stato chiuso per eccesso di messaggi.
    Ma dove sono spariti tutti ?
    non+autenticato
  • Credo che i numerosi bug di iis non avrebbero potuto essere difendibili dai suoi sostenitori.
    Daltronde dai un'occhiata alla lista presentata da munheiro, la dice lunga!

       di munehiro del 22/11/01 (17:29)

    - Scritto da: Ciao
    >
    > Come volevasi dimostrare.
    >
    >
    >
    > P.S. Ti sei accorto che e' da Agosto che non
    > saltano fuori altri bug/falle?

    gia'... ma anche per apache e' lo stesso... ti riporto un post che ha fatto un mio collega sulla nostra mailing list

    Le vulnerabilità (da cose serie a debolezze teoriche) che sono
    state registrate per Apache dal 96 a oggi:

    2001-08-12: Apache Mod ReWrite Rules Bypassing Image Linking
    2001-08-09: Apache Server Address Disclosure
    2001-07-10: Apache Possible Directory Index Disclosure
    2001-04-12: Apache Web Server HTTP Request Denial of Service
    2001-03-13: Apache Artificially Long Slash Path Directory Listing
    2000-12-06: Apache Web Server with Php 3 File Disclosure
    2000-09-29: Apache Rewrite Module Arbitrary File Disclosure
    2000-05-31: Apache HTTP Server (win32) Root Directory Access
    1999-09-25: NCSA/Apache httpd ScriptAlias Source Retrieval
    1998-09-03: Multiple Vendor MIME Header DoS
    1998-01-06: Apache Web Server DoS
    1997-01-12: Apache mod_cookies Buffer Overflow
    1996-12-10: Multiple Vendor nph-test-cgi
    1996-04-01: Multiple Vendor test-cgi Directory Listing
    1996-03-20: phf Remote Command Execution

    e quelle di Microsoft IIS

    2001-08-16: Microsoft IIS 4.0 URL Redirection DoS
    2001-08-15: Microsoft IIS SSI Buffer Overrun Privelege Elevation
    2001-08-15: Microsoft IIS 5.0 In-Process Table Privelege Elevation
    2001-08-15: Microsoft IIS WebDAV Invalid Request Denial of Service
    2001-08-15: Microsoft IIS MIME Header Denial of Service
    2001-08-08: MS IIS Internal IP Address/Internal Network Name Disclosure
    2001-07-04: Microsoft IIS Device File Local DoS
    2001-07-04: Microsoft IIS Device File Remote DoS
    2001-06-21: Microsoft IIS Unicode .asp Source Code Disclosure
    2001-05-17: IIS WebDav Lock Method Memory Leak DoS
    2001-05-15: MS IIS/PWS Escaped Characters Decoding Command Execution
    2001-05-14: Microsoft IIS Various Domain User Account Access
    2001-05-06: Microsoft IIS WebDAV 'Propfind' Server Restart
    2001-05-01: Microsoft IIS 5.0 .printer ISAPI Extension Buffer Overflow
    2001-03-16: Microsoft IIS WebDAV 'Search' Denial of Service
    2001-03-08: Microsoft IIS WebDAV Denial of Service
    2001-03-01: Microsoft IIS Multiple Invalid URL Request DoS
    2001-01-29: Microsoft IIS File Fragment Disclosure
    2000-12-22: Microsoft IIS Front Page Server Extension DoS
    2000-11-06: Microsoft IIS 4.0 ISAPI Buffer Overflow
    2000-11-06: Microsoft IIS Executable File Parsing
    2000-10-23: Microsoft IIS 4.0/5.0 Session ID Cookie Disclosure
    2000-10-17: Microsoft IIS and PWS Extended Unicode Directory Traversal
    2000-10-04: Microsoft IIS 5.0 Indexed Directory Disclosure
    2000-09-05: Microsoft NT 4.0 and IIS 4.0 Invalid URL Request DoS
    2000-08-21: Microsoft FrontPage/IIS Cross Site Scripting shtml.dll
    2000-08-21: Microsoft IIS Cross Site Scripting .shtml
    2000-08-14: Microsoft IIS 5.0 "Translate: f" Source Disclosure
    2000-08-10: Microsoft IIS 4.0/5.0 File Permission Canonicalization
    2000-07-17: Microsoft IIS 4.0/5.0 Source Fragment Disclosure
    2000-07-14: Microsoft IIS 3.0 .htr Missing Variable Denial of Service
    2000-07-13: Microsoft IIS Internal IP Address Disclosure
    2000-05-14: Microsoft IIS FTP Denial of Service
    2000-05-11: Microsoft IIS 4.0/5.0 Malformed File Extension DoS
    2000-05-11: Microsoft IIS 4.0/5.0 Malformed Filename Request
    2000-05-10: Microsoft IIS 4.0/5.0 Malformed .htr Request
    2000-05-06: Microsoft Frontpage Server Extensions Path Disclosure
    2000-04-12: Microsoft IIS 4.0/5.0 Escaped Characters
    2000-03-30: Microsoft IIS UNC Mapped Virtual Host
    2000-03-20: Microsoft IIS 4.0 Chunked Transfer Encoding Buffer Overflow
    2000-03-08: Microsoft IIS UNC Path Disclosure
    2000-02-15: Microsoft IIS 4.0 Pickup Directory DoS
    2000-02-09: NT IIS ASP VBScript Runtime Error Viewable Source
    2000-02-02: NT IIS idq.dll Directory Traversal
    1999-12-21: Microsoft IIS Virtual Directory Naming
    1999-12-21: Microsoft IIS Escape Character Parsing
    1999-12-02: IIS / Site Server Multithread SSL
    1999-09-23: Microsoft IIS 4.0 Domain Resolution
    1999-09-23: Microsoft IIS FTP NO ACCESS Read/Delete File
    1999-08-16: Microsoft IIS And PWS 8.3 Directory Name
    1999-08-11: NT IIS Malformed HTTP Request Header DoS
    1999-07-19: NT IIS MDAC RDS
    1999-07-07: NT IIS SSL DoS
    1999-06-24: NT IIS Double Byte Code Page
    1999-06-15: NT IIS4 Buffer Overflow
    1999-05-07: NT IIS Showcode ASP
    1999-03-08: NT IIS ISAPI GetExtensionVersion()
    1999-02-28: Microsoft IIS '../..' Denial of Service
    1999-01-27: NT IIS4 Shared ASP Cache
    1999-01-26: NT IIS4 DoS - ExAir Sample Site
    1999-01-26: NT IIS IISAPI Extension Enumerate Root Web Server Directory
    1999-01-24: NT IIS FTP DoS / Buffer Overflow
    1999-01-22: NT IIS4 Log Avoidance
    1999-01-14: NT IIS4 Remote Web-Based Administration
    1999-01-14: IIS 4.0 fpcount.exe Buffer Overflow
    1998-12-25: Microsoft IIS 3.0/4.0 Upgrade BDIR.HTR
    1998-07-01: NT IIS ASP Alternate Data Streams
    1998-06-26: Multiple Vendor PKCS#1
    1998-02-09: Microsoft IIS 4.0 IISADMPWD Proxied Password Attack
    1997-09-25: Microsoft IIS 3.0 newdsn.exe File Creation
    1997-06-21: Microsoft IIS Long URL Denial of Service
    1997-03-19: Microsoft IIS 3.0 "%2e" ASP Source Disclosure
    1997-02-20: Microsoft IIS Appended Dot Script Source Disclosure
    1996-03-01: Multiple Vendor .BAT/.CMD Remote Command Execution

    Notare che trovare i buchi di Apache è enormemente più facile
    essendo disponibile il codice sorgente. Notare inoltre che i
    server IIS su internet sono la metà di quelli Apache.

    Fonte dei dati: securityfocus.com
    non+autenticato
  • uso unirx, linurx, abs, mac ox, apache, lotus,
    netscape, oracul, mysql,db2 ecc.. (soluzioni tutte non microsoft perchè è
    sbagliato usare microzoz se non per giocare), e penso di essere sicuro.
    Ed ecco che arriva la mazzata.
    Gli so e web server sopra nominati non hanno niente di più da offrire in
    termini di sicurezza e affidabilita rispetto ad una ben amministrata
    e programmata web application realizzata con prodotti microtost.
    Un giorno quando i vari freeabs, linuxari, unixari ecc... lo capiranno
    (ed in genere nel modo peggiore cioè scoprendo che il solito hackeronzolo
    gli navigava nella rete da anni sostituendogli per giunta tutti i comandi
    necessari per rintracciarlo con copie modificate), passeranno al
    dio bill che dall'alto della sua magnificenza gli accoglierà e gli darà
    un occasione di rimediare ai loro passati errori, e giù a programmare od amministrare sui ceci ardenti.
    non+autenticato


  • - Scritto da: sicuramentetihackerano
    > uso unirx, linurx, abs, mac ox, apache,
    > lotus,
    > netscape, oracul, mysql,db2 ecc.. (soluzioni
    > tutte non microsoft perchè è
    > sbagliato usare microzoz se non per
    > giocare), e penso di essere sicuro.
    > Ed ecco che arriva la mazzata.
    > Gli so e web server sopra nominati non hanno
    > niente di più da offrire in
    > termini di sicurezza e affidabilita rispetto
    > ad una ben amministrata
    > e programmata web application realizzata con
    > prodotti microtost.

    SI!!
    La cert. di livello 4 rilasciata dall'ente gov. USA per l'installazione di rete che win, non ha. Non solo: OpenBSD è il più alto come punteggio nella classificazione suddetta; ed per + di 4 anni non ha avuto bug di rete.

    > Un giorno quando i vari freeabs, linuxari,
    > unixari ecc... lo capiranno
    > (ed in genere nel modo peggiore cioè
    > scoprendo che il solito hackeronzolo
    > gli navigava nella rete da anni
    > sostituendogli per giunta tutti i comandi
    > necessari per rintracciarlo con copie
    > modificate), passeranno al
    > dio bill
    MAI!
    perchè non avverrà mai che win surclassa gli UNIX.

    che dall'alto della sua
    > magnificenza gli accoglierà e gli darà
    > un occasione di rimediare ai loro passati
    > errori, e giù a programmare od amministrare
    > sui ceci ardenti.

    L'unico a programmare sarà Bill & C.: le pacths per win, iis, Office, Outluk, .....etc....etc...
    non+autenticato
  • > Un giorno quando i vari freeabs, linuxari,
    > unixari ecc... lo capiranno
    > (ed in genere nel modo peggiore cioè
    > scoprendo che il solito hackeronzolo
    > gli navigava nella rete da anni
    > sostituendogli per giunta tutti i comandi
    > necessari per rintracciarlo con copie
    > modificate),
    hahahahahahahhaahahhahahaha
    hahahahahahahahahahhahahaha
    hahahahahahahahahahahahahahhahahaa
    cut
    aahahahahhahahahahahahahahahhaa
    si certo uno si fa installare root-kit dal primo che capita...non diciamo buttanate...

    > passeranno al
    > dio bill che dall'alto della sua
    > magnificenza gli accoglierà e gli darà
    > un occasione di rimediare ai loro passati
    > errori, e giù a programmare od amministrare
    > sui ceci ardenti.
    neanche morto...
    non+autenticato
  • Ciao, guarda che è appena uscita un'altra patch per IIS 5.0! Vai subito a scaricarla sul sito della microsoft! Miraccomando quella risolve tutti i problemi di sicurezza!

    Certo che solo un babbacchione potrebbe credere a tutte le scemate che diffonde in giro la microsoft su una rete che è nata sotto UNIX e tuttora sopravvive grazie a UNIX.
    Mi spiace tanto, ma le cose semplici non sono sempre quelle migliori!

    - Paolo Bianchi
    non+autenticato


  • - Scritto da: Linux_SuperUser
    > Ciao, guarda che è appena uscita un'altra
    > patch per IIS 5.0! Vai subito a scaricarla
    > sul sito della microsoft! Miraccomando
    > quella risolve tutti i problemi di
    > sicurezza!
    >
    > Certo che solo un babbacchione potrebbe
    > credere a tutte le scemate che diffonde in
    > giro la microsoft su una rete che è nata
    > sotto UNIX e tuttora sopravvive grazie a
    > UNIX.
    > Mi spiace tanto, ma le cose semplici non
    > sono sempre quelle migliori!
    >
    > - Paolo Bianchi

    infatti cosa ce di più semplice di uno unix, sicuro perchè semplice e vecchio.
    non+autenticato
  • > infatti cosa ce di più semplice di uno unix,
    > sicuro perchè semplice e vecchio.
    guarda che uno mica deve scrivere 20 righe per fare exit uindows...
    bastano du righe...e che cazzo...

    e se e semplice cazzo fatte ancora su uindows ???

    non+autenticato
  • Ma se facessero un'indagine quante carte di credito scoprirebbero che sono state copiate illegalmente dai ristoranti? Sarebbe interessante, perche' dare la carta su Internet o darla ad un cameriere mi rappresenta lo stesso livello di sicurezza. Certo, perdere i dati per le conigliette di playboy....
    non+autenticato
  • > Questo è il loro server affidabile.
    non ho verificato e ti credo sulla parola..
    pero non puoi tenere informazioni sui clienti su computer colleggati all'esterno...
    indipendemente dalla piattaforma...

    non+autenticato


  • - Scritto da: blah

    > pero non puoi tenere informazioni sui
    > clienti su computer colleggati
    > all'esterno...
    > indipendemente dalla piattaforma...


    Sacrosanta verita'. Pero' se si fosse trattato di W2000+IIS, adesso, alle 9.46, ci sarebbero stati gia piu' di 100 messaggi in questo forum.
    non+autenticato
  • Precisando, che il web server di Netscape, è sempre meno usato, sia nei confronti di IIS (che cmq negli ultimi mesi ha dato una minima controtendenza alla discesa d'uso; anche se, purtroppo per iis ed M$, l'avvento di Apache 2.x, che nelle BETA è strabiliante sia come performace che come nuove tecnologie su UNIX e win, porterà il mercato sempre più verso il "monopolio" Apache. Vi sarebbe da dire che l'introduzione in Linux del web server in kernel space, che forse verrà ripresa da ltri UNIX, è una tecnologia che sta interessando e spostando i web server su UNIX, visto le performance per pagine statiche che comporta), sia soprattutto nei confronti di Apache che la fà da leone; per cui è lecito aspettarsi che Netscape lo curi di meno.
    Ma è giusto ricordare che iis è il web server più bacato, è in testa anche rispetto al web server di Netscape. Se pure è vero che il web server di Netscape è sempre meno innovativo e più consolidato (una condizione non felice nel web, che si rinnova a ritmi frenetici); va cmq ricordata questa differenza tra iis ed netscape.
    Per cui i post anti-iis, di cui parli, se forse troppi poichè riferiti ad un web server che non fà della sicurezza il suo punto principale, ma lo fà sull'immediatezza del web server per l'uso; non sembra tuttavia così ingiustificati, visto che i bug di security di iis sono veramente tanti.
    non+autenticato

  • Come volevasi dimostrare.



    P.S. Ti sei accorto che e' da Agosto che non saltano fuori altri bug/falle?
    non+autenticato
  • No, stò aspettando le prossime.
    Scherzi a parte, iis come detto, non è nato con il pallino della security, tant'è vero che ad hotmail dove l'hanno introdotto, usano FreeBSD/Apache per filtrare le richieste sospette a iis.
    Daltronde, è ingiusto confrontare 2 piattaforme che girano su o.s. differenti, ma solo quando girano sullo stesso o.s.
    E purtroppo in win, M$ ha il vantaggio di conoscere il codice; in relazione a ciò non mi sembra un gioiello iis rispetto agli altri web server (a cominciare da Apache) che girano su win, considerando poi che sono nati su o.s. differenti da win.
    non+autenticato
  • Non credo che sia importante il server in sè. Ovviamente un server completamente bacato aiuta...
    ma più che altro il sysadmyn.
    Ci sono decine di admin che si trovano davanti ad un monitor e davanti ad un server e non sanno neanche cosa si trova nella cartella /bin.
    E' li il problema. Ci vuole "professionalità".
    Saluti
    Al
    non+autenticato
  • - Scritto da: Ciao
    >
    > Come volevasi dimostrare.
    >
    >
    >
    > P.S. Ti sei accorto che e' da Agosto che non
    > saltano fuori altri bug/falle?

    gia'... ma anche per apache e' lo stesso... ti riporto un post che ha fatto un mio collega sulla nostra mailing list

    Le vulnerabilità (da cose serie a debolezze teoriche) che sono
    state registrate per Apache dal 96 a oggi:

    2001-08-12: Apache Mod ReWrite Rules Bypassing Image Linking
    2001-08-09: Apache Server Address Disclosure
    2001-07-10: Apache Possible Directory Index Disclosure
    2001-04-12: Apache Web Server HTTP Request Denial of Service
    2001-03-13: Apache Artificially Long Slash Path Directory Listing
    2000-12-06: Apache Web Server with Php 3 File Disclosure
    2000-09-29: Apache Rewrite Module Arbitrary File Disclosure
    2000-05-31: Apache HTTP Server (win32) Root Directory Access
    1999-09-25: NCSA/Apache httpd ScriptAlias Source Retrieval
    1998-09-03: Multiple Vendor MIME Header DoS
    1998-01-06: Apache Web Server DoS
    1997-01-12: Apache mod_cookies Buffer Overflow
    1996-12-10: Multiple Vendor nph-test-cgi
    1996-04-01: Multiple Vendor test-cgi Directory Listing
    1996-03-20: phf Remote Command Execution

    e quelle di Microsoft IIS

    2001-08-16: Microsoft IIS 4.0 URL Redirection DoS
    2001-08-15: Microsoft IIS SSI Buffer Overrun Privelege Elevation
    2001-08-15: Microsoft IIS 5.0 In-Process Table Privelege Elevation
    2001-08-15: Microsoft IIS WebDAV Invalid Request Denial of Service
    2001-08-15: Microsoft IIS MIME Header Denial of Service
    2001-08-08: MS IIS Internal IP Address/Internal Network Name Disclosure
    2001-07-04: Microsoft IIS Device File Local DoS
    2001-07-04: Microsoft IIS Device File Remote DoS
    2001-06-21: Microsoft IIS Unicode .asp Source Code Disclosure
    2001-05-17: IIS WebDav Lock Method Memory Leak DoS
    2001-05-15: MS IIS/PWS Escaped Characters Decoding Command Execution
    2001-05-14: Microsoft IIS Various Domain User Account Access
    2001-05-06: Microsoft IIS WebDAV 'Propfind' Server Restart
    2001-05-01: Microsoft IIS 5.0 .printer ISAPI Extension Buffer Overflow
    2001-03-16: Microsoft IIS WebDAV 'Search' Denial of Service
    2001-03-08: Microsoft IIS WebDAV Denial of Service
    2001-03-01: Microsoft IIS Multiple Invalid URL Request DoS
    2001-01-29: Microsoft IIS File Fragment Disclosure
    2000-12-22: Microsoft IIS Front Page Server Extension DoS
    2000-11-06: Microsoft IIS 4.0 ISAPI Buffer Overflow
    2000-11-06: Microsoft IIS Executable File Parsing
    2000-10-23: Microsoft IIS 4.0/5.0 Session ID Cookie Disclosure
    2000-10-17: Microsoft IIS and PWS Extended Unicode Directory Traversal
    2000-10-04: Microsoft IIS 5.0 Indexed Directory Disclosure
    2000-09-05: Microsoft NT 4.0 and IIS 4.0 Invalid URL Request DoS
    2000-08-21: Microsoft FrontPage/IIS Cross Site Scripting shtml.dll
    2000-08-21: Microsoft IIS Cross Site Scripting .shtml
    2000-08-14: Microsoft IIS 5.0 "Translate: f" Source Disclosure
    2000-08-10: Microsoft IIS 4.0/5.0 File Permission Canonicalization
    2000-07-17: Microsoft IIS 4.0/5.0 Source Fragment Disclosure
    2000-07-14: Microsoft IIS 3.0 .htr Missing Variable Denial of Service
    2000-07-13: Microsoft IIS Internal IP Address Disclosure
    2000-05-14: Microsoft IIS FTP Denial of Service
    2000-05-11: Microsoft IIS 4.0/5.0 Malformed File Extension DoS
    2000-05-11: Microsoft IIS 4.0/5.0 Malformed Filename Request
    2000-05-10: Microsoft IIS 4.0/5.0 Malformed .htr Request
    2000-05-06: Microsoft Frontpage Server Extensions Path Disclosure
    2000-04-12: Microsoft IIS 4.0/5.0 Escaped Characters
    2000-03-30: Microsoft IIS UNC Mapped Virtual Host
    2000-03-20: Microsoft IIS 4.0 Chunked Transfer Encoding Buffer Overflow
    2000-03-08: Microsoft IIS UNC Path Disclosure
    2000-02-15: Microsoft IIS 4.0 Pickup Directory DoS
    2000-02-09: NT IIS ASP VBScript Runtime Error Viewable Source
    2000-02-02: NT IIS idq.dll Directory Traversal
    1999-12-21: Microsoft IIS Virtual Directory Naming
    1999-12-21: Microsoft IIS Escape Character Parsing
    1999-12-02: IIS / Site Server Multithread SSL
    1999-09-23: Microsoft IIS 4.0 Domain Resolution
    1999-09-23: Microsoft IIS FTP NO ACCESS Read/Delete File
    1999-08-16: Microsoft IIS And PWS 8.3 Directory Name
    1999-08-11: NT IIS Malformed HTTP Request Header DoS
    1999-07-19: NT IIS MDAC RDS
    1999-07-07: NT IIS SSL DoS
    1999-06-24: NT IIS Double Byte Code Page
    1999-06-15: NT IIS4 Buffer Overflow
    1999-05-07: NT IIS Showcode ASP
    1999-03-08: NT IIS ISAPI GetExtensionVersion()
    1999-02-28: Microsoft IIS '../..' Denial of Service
    1999-01-27: NT IIS4 Shared ASP Cache
    1999-01-26: NT IIS4 DoS - ExAir Sample Site
    1999-01-26: NT IIS IISAPI Extension Enumerate Root Web Server Directory
    1999-01-24: NT IIS FTP DoS / Buffer Overflow
    1999-01-22: NT IIS4 Log Avoidance
    1999-01-14: NT IIS4 Remote Web-Based Administration
    1999-01-14: IIS 4.0 fpcount.exe Buffer Overflow
    1998-12-25: Microsoft IIS 3.0/4.0 Upgrade BDIR.HTR
    1998-07-01: NT IIS ASP Alternate Data Streams
    1998-06-26: Multiple Vendor PKCS#1
    1998-02-09: Microsoft IIS 4.0 IISADMPWD Proxied Password Attack
    1997-09-25: Microsoft IIS 3.0 newdsn.exe File Creation
    1997-06-21: Microsoft IIS Long URL Denial of Service
    1997-03-19: Microsoft IIS 3.0 "%2e" ASP Source Disclosure
    1997-02-20: Microsoft IIS Appended Dot Script Source Disclosure
    1996-03-01: Multiple Vendor .BAT/.CMD Remote Command Execution

    Notare che trovare i buchi di Apache è enormemente più facile
    essendo disponibile il codice sorgente. Notare inoltre che i
    server IIS su internet sono la metà di quelli Apache.

    Fonte dei dati: securityfocus.com

    a questo aggiungo che netscape enterprise e' un buon webserver a quanto mi e' stato detto. Non credo che, in questa cosa, c'entri il webserver in se'. Probabilmente ritengo maggiormente imputabile al crack qualcosa su ssh/telnet. So che di recente solaris ha avuto dei problemi di questo tipo.

    Quindi, per non restare off topic con microsoft che detta come va detta in questo thread non c'entra un bel cappero di niente, penso che, come al solito, la questione di sicurezza viene un po' troppo lasciata a desiderare, e lasciare un archivio di cc su una macchina di confine o comunque accessibile in caso di crack del webserver e' un errore che si possono permettere gli incompetenti o chi ha cosi' pochi soldi da potersi permettere una sola macchina.
    Se si parte dall'idea che si vuole usare solo una macchina e che deve essere blindata, la si blinda, ci si tiene tutto l'archivio CC che vuoi, ma deve essere _blindata_, ovvero non e' che installi la roba e poi vai a fare una passeggiata perche' tanto fa tutto da sola.

    non+autenticato