Microsoft IIS 7 будет помогать PHP разработчикам для Linux

> Твой лечущий врач, просил передать тебе, что визин завезли, можешь прийти и забрать!

Аргумент убедителен. Так и запишем - слив засчитан. Ещё один фонатег слепо верящий.

> Аргумент убедителен. Так и запишем - слив засчитан. Ещё один фонатег слепо верящий.

У вас тоже аргументы зачётные... а где же 'обзор' IIS4 и IIS5.x ?

> Тут правда про бровзеры

> Ну-ну. На сервере они очень актуальны. В огороде бузина, а в Киеве дядька.

Довожу до сведения, что веб браузер из винды не вырезается в принципе, и эксплоит пожет сработать даже во время просмотра эксплорером превьюхи в фтп аплоаде или каталога с залитыми юзерами аватарками форума.

Any comments ?

Ужас. 90% коментаторов не разбирается с субже, но злобно потирает ручки видя слова "винда" и "рнр". Если код написан неправильно (в случае РНР это означает, что программер не озаботился проверкой переменных, поступающих от пользователя), то это дырка в сайте, а не в ОС. За что вы так вините РНР? Разве, например, на перле было бы не тоже самое?

Несколько поделий недопрограммистов типа phpBB уронили рейтинг языка ниже плинтуса, а все из-за того, что кто-то не озаботился валидностью ввода.

> Довожу до сведения, что веб браузер из винды не вырезается в принципе, и эксплоит пожет сработать даже во время просмотра эксплорером превьюхи в фтп аплоаде или каталога с залитыми юзерами аватарками форума.

Для тех кто в танке: речь идёт о серверах!!! Какой-такой просмотр с сервера? Максимум куда-нибудь на support.microsoft.com или windowsupdate.microsoft.com ...да и вырезался он всякими Lite...

>>Это ты типа так хватсаешься крирорукостью своей что ли? И как же тебе такое удалось, поделись секретом?
Идиот, я там ваще не при делах был. И ваще был против той идеи - просто народу было проще на ASP-e лабать.

> У вас тоже аргументы зачётные... а где же 'обзор' IIS4 и IIS5.x ?

IIS4 появился в 96-м году с выходом NT4 уже и не поддерживается давно. IIS5 - в 2000-м. Не кажется, что слишком давно это было? Уж IIS6 вышел в 2003-м году - тоже далеко не вчера. ...Что-нибудь поубедительней придумай...

ЗЫ. И че ты тут секунией козыряешься? Сходи на securiteam - и поисчи по ключевым словам IIS и apache. А потом сравни стоимость софта до кучи.

> Идиот, я там ваще не при делах был. И ваще был против той идеи - просто народу было проще на ASP-e лабать.

Доверили (а ты не отстоял) дело на редкость криворукому умельцу (а может железо виновато?), а я идиот. Ну-ну, с логикой у тебя всё отлично.

> ЗЫ. И че ты тут секунией козыряешься? Сходи на securiteam - и поисчи по ключевым словам IIS и apache. А потом сравни стоимость софта до кучи

Да мне всё равно чем. Мне нужен аргумент, источник заслуживающий доверия, факты (список дыр и их важность), а не идиотские фанатские выкрики.

> А я знаю хостеров, которые так живут.

> OMG O_o

+1. лично видел. ~70 сайтов на одной вендовой тачке.
все глючит нипадецки..

Дык а чё там с dell.com? Он ведь тоже на IIS. А сам мелкософт? Да очень много сайтов можно найти на IIS которые вполне нормально работают. ...Равно как, при желании, кривых на апаче...

>список дыр и их важность

IIS 33% System Access -- вполне достаточно, с учетом разницы в нахождении дыр в IIS, либо Апаче

Это ваще больным надо быть чтобы тестировать на IIS то, что будет работать на Linux+Apache. Ради чего? Апач что ли на венде не работает? Ведь у этого даже ни одного плюса нет. IIS то хоть бесплатный?

>IIS 33% System Access -- вполне достаточно, с учетом разницы в нахождении дыр в IIS, либо Апаче

Да и вообще счас сравнение дырявости не уместно так как разговор идет о компе веб разработчика, а не о сервере. Сервер же Linux+Apache в новости же сказано.

Гхммммм....
Даже не знаю, как реагировать, радости нет, но и горя нет.....

ЗЫ
Незнаю......

Вот и хорошо. Чем быстрее пхп сдохнет, тем миру лучше

Уж наверное дискредитируют его наконец-то нормально :-)

> IIS то хоть бесплатный?

нее... ещё штуку баксоф! ...конечно бесплатный, он ведь в составе оси. А есть ещё венда web-edition (надо было оттуда всё лишнее пооткусывать и сделать её совсем дешёвой)

> Да и вообще счас сравнение дырявости не уместно так как разговор идет о компе веб разработчика, а не о сервере.

Дык религия обязывает! И само собой факты тут непричём (кому они нужны ваще?), тут вера непоколебимая ничем важна.

я не понял - здесь что все ентерпрайз Жаба девелоперы? показывайте свои саиты или молчите. перл и питон в пример не ставить, они такие же дырявые.

>Для тех кто в танке: речь идёт о серверах!!! Какой-такой просмотр с >сервера? Максимум куда-нибудь на support.microsoft.com или >windowsupdate.microsoft.com ...да и вырезался он всякими Lite...

для тех кто в танке - мальчик мне нужно ровно сменить одну строку с бинде и один реврайт к апачу дабу все твои ословые запросы открывали вот этот http://www.security.nnov.ru/files/msvmlex.html урл. Или еще проще сгенерю сразу с шеллкодом хтмль этим сплойтом http://www.security.nnov.ru/files/vml.pl.

Патча еще нет. Успокоился?

> мальчик мне нужно ровно сменить одну строку с бинде и один реврайт к апачу дабу все твои ословые запросы открывали вот этот

Дяденька-танкист, ты объясни мне, с какого перепугу я попрусь с сервера на твой сайт и вообще куда-нибудь да ещё под админом??? В венде есть runas, DropMyRights (от самого дяди Билли) и прочие ntsu. Ещё раз для прапорщиков-танкистов - речь идёт о СЕРВЕРЕ, а не о домашней писюхе любителя просмотра порно (да ещё и без антизаразников, которые бесплатно дают вместе с железом, а могут быть уже и установлены ...фаерволов, антиспайваре - которые опять же дают и устанавливают бесплатно либо они бывают в принципе бесплатными). Опять не ясно? Тогда убей себя ап стену, фонатег. ...А если совсем внимательно прочитаешь новость, то она про пых-пых на серверах, а не про сравнение сёрфинга из линукса и венды под IE с админскими правами.

>Дяденька-танкист, ты объясни мне, с какого перепугу я попрусь с сервера на твой сайт и вообще куда-нибудь да ещё под админом???

предоставлять хвостинг на венде счас модно без патчей? на вын апдейт ты и полезешь. что апдейты можно установить без админских прав уже? вот тут-то ту и попался со своим ослом и вынь апдейтом, код и запустится с правами одмина. кстати, как там моздайный файрвол как научился не читать ключи в реестре позволяющие полностью обойти защиту, или научился фильтровать ipv6 пакеты?

а теперь мальнький ньюнс :) на сцайт ты ко мне очень просто попадешь - набирая вышеупомянутый windozeupdate. я тебе просто отдам на роутере A запись windozeupdate.melkoszoft.com указывающую на мой ИП и все.

дети, ей-богу. ни малейшего понятия о том как что работает, а туда же - фанатиками обзываются, выучили хело водр и тыкать кнопки в IIS и думают щаз мы вот моздай поставим и все круто будет.

> рекомендую заглянуть сюда: > http://news.netcraft.com/archives/web_server_survey.html > > доля ISS в 2006 году практически достигла исторического максимума, и топик- лишь один из эпизодов их весенне-летнего наступления

Как и следовало ожидать, популярность IIS периодически повышается с периодом, равным периоду выхода новых винд (с задержкой около года): конец 99, начало 2002, теперь вот ещё...

Висту выпустят, пройдёт полгода, и IIS - опять опустится до своих стабильных 20% (см ссылку).

>Дяденька-танкист, ты объясни мне, с какого перепугу я попрусь с сервера на твой сайт и вообще куда-нибудь да ещё под админом??? В венде есть runas, DropMyRights (от самого дяди Билли) и прочие ntsu.

вытри сопли, вьюноша.

30kpps стабильно укладывают w2k3r2 так что на мышку с клавой не откликается и пинги не отвечает. И влезает это где-то в 8-9Мбит.

>Кроме MySQL возможен PostgreSQL.

Хорошо, тогда [LWM][AI][MMP]P

:)

>Ну и кроме PHP, есть Perl.

Справедливости ради, LAMP == LAMP3, где P = PHP/Perl/Python :)

скажем так. мягко говоря проблемы с переносимостью PHP на Win - есть.

+1 элегантно ткнули лицом в факт.

Товарсчь не понимает. Ты сам-то на пхп писал? И чем он тебе не нравиЦа?

п.с. а криворуких быдлокодеров каждый день наблюдаю у себя на работе. и кодят они на пхп. Казалось бы - при чем здесь ЛУЖКОВ?

>Довожу до сведения, что веб браузер из винды не вырезается в принципе, и эксплоит пожет сработать даже во время просмотра эксплорером превьюхи в фтп аплоаде или каталога с залитыми юзерами аватарками форума.

>Any comments ?

Не стоит говорить о том чего не знаешь.

Зайди в Control Panel ---> Add or Remove Programs

Там выбери Add/Remove Windows Components, в открывшемся окне найди Internet Explorer и убедись как он легко убирается :)

>а слабо предоставить список дыр с их важностью IIS6 и апачей (разных >версий) допустим с secunia.com за последние 3 года

Нам пох*й. У него слава кривого дырявого поделия давно и навсегда. Как и у намеда. И не будет им амнистии - ибо нормально писать код надо сразу, а не потом.

>Там выбери Add/Remove Windows Components, в открывшемся окне найди >Internet Explorer и убедись как он легко убирается :)

Детё он только в твоих мозгах убирается, а на самом деле всё остаётся. Убрать ie из системы можно (при этом пол системы работать не будет, начиная от офиса и кончая какой-нить лингвой), но далеко не так как ты написал.

>Там выбери Add/Remove Windows Components, в открывшемся окне найди >Internet Explorer и убедись как он легко убирается :)

>Детё он только в твоих мозгах убирается, а на самом деле всё остаётся. Убрать ie из системы можно (при этом пол системы работать не будет, начиная от офиса и кончая какой-нить лингвой), но далеко не так как ты написал.

Ты путаешь explorer и IEXPLORE :)

Разные вообщем-то вещи :) И не нервничай больше так :)

> а теперь мальнький ньюнс :) на сцайт ты ко мне очень просто попадешь - набирая вышеупомянутый windozeupdate. я тебе просто отдам на роутере A запись windozeupdate.melkoszoft.com указывающую на мой ИП и все.

С какого нафиг роутера вы можете оддать мне что-то, если я нахожусь не в вашей сети!?? аргумент тянет на кулхацкера прочитавшего дюжену статей в Хакере, удачного плаванья фанатег...:)))

на вын апдейт ты и полезешь. что апдейты можно установить без админских прав уже? вот тут-то ту и попался со своим ослом и вынь апдейтом, код и запустится с правами одмина. кстати, как там моздайный файрвол как научился не читать ключи в реестре позволяющие полностью обойти защиту, или научился фильтровать ipv6 пакеты?

>а теперь мальнький ньюнс :) на сцайт ты ко мне очень просто попадешь - набирая вышеупомянутый windozeupdate. я тебе просто отдам на роутере A запись windozeupdate.melkoszoft.com указывающую на мой ИП и все.

.... на *роутере* A запись .....

ПионЭр. Ну крааааайне тупой пионЭр. Тут даже не журнал "ксакеп", тут явно ФГМ.

P.S. Компания .masterhost начала предоставлять новую услугу -- windows-хостинг. Если Вы такой умный - продемонстрируйте это.

>Ты путаешь explorer и IEXPLORE :) >Разные вообщем-то вещи :) И не нервничай больше так :)

А вы проведите эксперимент - удалите своим способом IE, а потом нажмите Пуск->Выполнить и наберите iexplore . Сюрприз! :)

>В огороде бузина, а в Киеве дядька.

А в школе читать учат. НАпример фразу о показательности примера. Еще в школе размашлять учат. Например на тему с чего это сам подход к устранению багов в микрософт должен отличатся.

>Тыкаем по последним годам до 2003 (когда вышел w2k3) и ищем мегапреимущество по дырам у Apache-й ...как же сильна ваша вера в дырявость и тормознутость IIS по сравнению с Apache.

И шо? Там их для всех - нисколько.

> Если код написан неправильно (в случае РНР это означает, что программер не озаботился проверкой переменных, поступающих от пользователя), то это дырка в сайте, а не в ОС. За что вы так вините РНР? Разве, например, на перле было бы не тоже самое?

Если сам программер не писал сайт, который ремотно исполняет команды, и этот скрипт позволил произвести атаку - значит сама платформа гавно с точки зрения безопасности безотносительно "проверок переменных".

>Не стоит говорить о том чего не знаешь.

>Там выбери Add/Remove Windows Components, в открывшемся окне найди Internet Explorer и убедись как он легко убирается :)

Да ты что!

И ни один ActiveX не покажет мне больше HTML страницу? NAV перестанет работать?

> на вын апдейт ты и полезешь. что апдейты можно установить без админских прав уже? вот тут-то ту и попался со своим ослом и вынь апдейтом, код и запустится с правами одмина. а теперь мальнький ньюнс :) на сцайт ты ко мне очень просто попадешь - набирая вышеупомянутый windozeupdate. я тебе просто отдам на роутере A запись windozeupdate.melkoszoft.com указывающую на мой ИП и все.

...Обломись бабка, мы на корабле! ...вендовые серванты апдейтятся через WSUS (знаешь что это?), а не каждый лезет лично в тырнет. Ну не знаешь ты венды, тебе только кажется что знаешь. Зачем рассуждаешь о том чего не знаешь?

И ты уверен, что за такие приколы с рутером (ты провайдер?) тебя не повесят на utp (твою контору и тебя лично не засудят и не посадят), когда выяснят? (а в этом не сомневайся)

> Висту выпустят, пройдёт полгода, и IIS - опять опустится до своих стабильных 20% (см ссылку).

Виста ваще-то это не сервер - это продолжение ХР...

> +1 элегантно ткнули лицом в факт.

Какой ещё факт? Дурь какая-то. Ты я вижу тоже мегаэксперт по венде. А факт как раз в том, что IIS6 достаточно стабилен. Не веришь - подними w2k3 в VMWare, закрой файерволом всё кроме 80-го порта и сломай. Расскажешь как...

>> а слабо предоставить список дыр с их важностью IIS6 и апачей (разных >> версий) допустим с secunia.com за последние 3 года

> Нам пох*й. У него слава кривого дырявого поделия давно и навсегда. Как и у намеда. И не будет им амнистии - ибо нормально писать код надо сразу, а не потом.

Да я нисколько в этом не сомневаюсь ;) Что лишний раз доказывает, что и ты тоже фонатег ;) Факты ничто, религия фсёё! ;) Со верменем ведь ничто не меняется, не так ли? ;) И линукс (софт под него) в точности такой же сейчас как и 10 лет назад и ещё раньше, когда он появился - ведь так? ;)

> И шо? Там их для всех - нисколько.

А это что?

http://secunia.com/product/73/?task=statistics_2004

http://secunia.com/product/73/?task=statistics_2006

http://secunia.com/product/73/?task=statistics_2005

IIS:

http://secunia.com/product/1438/?task=statistics_2006

http://secunia.com/product/1438/?task=statistics_2005

http://secunia.com/product/1438/?task=statistics_2004

Правда апач гораздо менее дыряв, чем IIS?

Anonymous, я удивляюсь! Ведь возможностей в apache больше чем в ISS. Следовательно, кода тоже больше. Кроме того, исходный код открыт, что примерно на порядок ( а возможно, и больше) облегчает поиск уязвимостей. Значит, если бы араче был так же уязвим как ISS в нём должно было бы быть с десяток критических дыр и куча помельче. А найдено всего 4. При этом ни одной критической! Несмотря на то, что код исс закрыт и это затрудняет анализ и поиск уязвимостей, можно смело утверждать, что уязвимости там есть. Значит, тот, кто захочет их найти (не пионер красноглазый, который и после взлома-то не придумает что делать с сервером и найдёшь ты его на следующий день, увидев склад порнухи, а человек у которого цель - сломать ТВОЙ сервер, и он ТОЧНО знает, что с ним делать) - найдёт, и сделает, то что хочет. Лишь бы цель стоила средств. А вот в апаче наверняка дырок меньше и найти их гораздо сложнее, потому что та же секуния и иже с ней уже облезли код вдоль и поперёк, в попытках сделать себе доброе имя. А так же независимые заинтересованные лица. Ну и огромная куча красноглазых, но этих можно почти не брать в расчёт, хотя десяток другой тысяч дополнительных просмотров кода тоже может принести плоды. Ну а теперь решай - что безопасней: держать ДЫРЯВЫЙ продукт, дыры которого не видны простому смертному, но не скроются от тех, кто ищет или продукт, код которого проверен не одну сотню раз очень придирчивыми глазами делающих себе карьеру аналитиков и несколько тысяч раз(если не десятков тысяч) юных "талантов" мнящих себя хакерами и тоже очень заинтересованными в поиске уязвимостей? При этом психологически, эти люди очень заинтересованы в поиске уязвимостей, в отличии от специалистов МС, которые подсознательно осознают, что работают в этой же фирме и каждая найденая ошибка показывает качество кода... Возможно новички и не имеют этой зависимости, но люди со стажем...

> на вын апдейт ты и полезешь. что апдейты можно установить без админских прав уже?

Ты явно не работал админом, ты пользователь домашней порно-пц. Офис в 1000 юзеров, десятки серверов и с каждого сервера, а также юзеры с писюх - все лезут в инет апдейтиться с админскими правами. Ну-ну... Апдейты скачивает WSUS сервер, они тестируются на "кошках" и только потом накатываются на юзерские машины и серверы.

> Ведь возможностей в apache больше чем в ISS

Это авторитетно рассужадает человек, который даже не знает как эта штука называется! Он IIS называется!

> А найдено всего 4. При этом ни одной критической!

А в IIS сколько и какова критичность найденных по сравнению с апачевскими?

> облегчает поиск уязвимостей

Ага, таки под давлением фактов уже последовали признания, что апач дырявей, чем IIS. Ну уже какой-то прогресс ;)

> А вот в апаче наверняка дырок меньше и найти их гораздо сложнее

Блажен кто верует ;)

> Ну а теперь решай - что безопасней: держать ДЫРЯВЫЙ продукт,

Где дыры-то? Кто о них знает и какова вероятность что этот кто-то будет ломать твой сервер?

> дыры которого не видны простому смертному

Богам наверно они видны ;)

> в отличии от специалистов МС, которые подсознательно осознают, что работают в этой же фирме и каждая найденая ошибка показывает качество кода..

Качество кода показывает конечно же только в продуктах M$, а в других конечно же не показывает ;)

> Возможно новички и не имеют этой зависимости, но люди со стажем.

Ты путаешь - не люди со стажем, а люди с непоколебимой верой ;) Лично я верю только фактам.

>Да я нисколько в этом не сомневаюсь ;)

Да не сомневайся. Я вот не сомневаюсь, что у тебя и серверов то нету. Это называется здоровый консерватизм - сервера стоят на проверенных (и лично и временем) решениях, а малолетки и дальше могут страдать, сравнивать, и обвинять других в чём угодно.

>Ты путаешь explorer и IEXPLORE :)

Это ты путает мордочку IE и компоненту IE, которая отвечает за обработку html. Потому и был назван детём.

> Это называется здоровый консерватизм

Нет, это уже больной, так как факты штука упрямая.

> малолетки и дальше могут страдать, сравнивать, и обвинять других в чём угодно.

Так что насчёт dell.com? Это всё-таки крупнейший продавец компов в мире - достаточно крупная контора (и таких немало, поверь, а если не веришь - замись вопросом - тебя ждёт масса сюрпризов). Там тоже одни дети работают?

> что у тебя и серверов то нету.

У dell конечно тоже нет ни одного сервера, а тот вэб-сайт поднят на писюхе одного виндового фаната-отморазка ;) ...и у Siemens нет 400 000 тыс. юзеров в AD (тоже вендовые серваки!) ...кто-то приводил ссыки ранее.