par Mark Burnett - Mis en ligne le 29/04/2003
Le 26 janvier 2000 - près d'un mois
après la release officielle de Windows
2000 - Microsoft a diffusé le Security
Bulletin MS00-006 (Patch Available
for « Malformed Hit-Highlighting
Argument » Vulnerability), qui annonçait
une vulnérabilité Microsoft IIS. Par
cette faille, un intrus pouvait voir le
code source des documents côté serveur,
y compris les scripts ASP ...
C'est là un risque grave car le code ASP contient souvent des informations sensibles comme des mots de passe ou des instructions SQL, dont les intrus se régalent. Les experts en sécurité conseillent d'instaurer des permissions de fichiers NTFS appropriées sur les disques durs de votre serveur Web. Depuis la release de Win2K, Microsoft a publié d'autres avis de ce genre et a martelé la nécessité d'instaurer des permissions de fichiers NTFS appropriées.
Mais quelles permissions devriezvous établir ? Beaucoup d'administrateurs qui avaient essayé de resserrer les permissions de fichiers sur un serveur Web ont découvert à leurs dépens qu'ils avaient détruit quelque fonction d'une application Web. Ces mêmes administrateurs répugnent par conséquent à changer des permissions de fichiers sur les serveurs qui marchent bien. Mais une bonne compréhension de la manière dont les serveurs Web et leurs utilisateurs interagissent avec le système de fichiers, vous permettra, en toute confiance, de définir correctement des permissions très bénéfiques pour la sécurité de votre serveur Web.
