< 文章详情

我司虚拟主机.Net严格安全设置的说明

2014/11/27 1511次

我公司虚拟主机.Net支持2.0/3.5/4.0版本,采用星外科技.Net严格安全设置来运行。

2014-4-18 已发现最新的asp.net木马,可以监听所有FTP密码及表单数据,所有的安全软件都没用,必须启用严格.net安全才能防止!

如果是少量网站不能运行,这是正常的.
不正常的的网站一般是调用了不安全的组件或试图运行危险的代码而被禁止了,对于这样的网站,我们要求客户(网站开发商)修改代码,

如果客户(网站开发商)拒绝或无法修改代码,则联系业务经理退款处理。 我们不会因为个别客户的不规范代码而对服务器进行宽松权限设置。

.Net太强大了,而程序员写程序的时候又不从安全出发,导致.Net的程序需要服务器很大的权限才能运行。

小程序员之间有时直接拿来组件用,导致.Net程序泛滥,只要有客户买空间必问“是否支持.Net?”

空间运营商只能迁就,授权给.Net很大的权限。

直接问题就是任何一个.Net上传一个.Net的木马就能修改服务器的注册表。

引用星外的话“以国外的Godaddy为例,设置的ASP.net比星外严格得多.为了服务器的安全,设置严格格式是必要的,因此您应该说服用户处理好自己代码的安全性从而在根本上解决这个问题. ”

“星外会引导国内主流的IDC这样设置,以后没经安全策略处理的代码肯定都会拒绝运行. ”

设置了严格安全后,asp.net应用程序将不能执行下列任何操作。

A.调用非托管代码,如调用任何exe,或COM组件。

B.调用服务组件。

C.写入事件日志。

D.访问 Microsoft“消息队列”队列。


问:为什么我只上传一个简单的ASP.net到网站中一样也显示出错,也不让运行?
 原因是这个网站的web.config中调用了不允许的或不安全的代码,这种情况下任何这个网页的asp.net文件都会出错.