O tempo passa, o tempo voa e a Microsoft…

Logo no início da era da Internet a humanidade sofria horrores com os problemáticos servidores Web IIS da Microsoft.

Reza a lenda que era preferível desejar o fim ao seu inimigo do que coloca-lo como administrador de um servidor Web IIS. Aliás não eram somente erros inexplicáveis que obrigavam a parada e reinicio do servidor por completo para a volta do serviço ativo, o principal problema eram as falhas de seguranças, muitas delas tão tolas que passavam a idéia de que o IIS era desenvolvido por um monte de crianças na pré-escola.

O tempo passou, a Microsoft gastou um fortuna no desenvolvimento do IIS e no marketing e um monte de gente passou a dar crédito ao IIS, dizendo que toda aquela fama ruim era coisa do passado e que agora os tempos eram outros e que o Apache que tomasse cuidado.

Sinceramente eu nunca dei muito crédito ao IIS de qualquer forma mesmo, porém semana passada como presente de Natal a Microsoft mostrou ao mundo que algumas coisas não mudam mesmo, como procedimentos de segurança o IIS não aceita o upload de arquivos executáveis como um .exe ou até mesmo um .asp, isso seria ótimo, se funcionasse bem.

Porém se o usuário colocar uma extensão fake, como por exemplo meu_arquivo.asp.jpg o upload é feito, pois o IIS interpreta o arquivo como uma mera imagem, porém uma vez dentro do servidor o arquivo é executado como um asp.

Isso acontece porque no processo de validação do arquivo no upload o brilhante IIS confia cegamente no usuário e verifica somente a extensão do arquivo, já dentro do servidor o arquivo é interpretado de acordo com o seu cabeçalho (parte interna inicial do arquivo que realmente identifica a sua codificação e formato), em resumo, qualquer um pode burlar a brilhante segurança do IIS e causar sérios danos.

Quer outra notícia boa da Microsoft? Ainda não existe update de correção da falha de segurança.

Por essas e por outras que mesmo o servidor operando Windows ou Linux eu ainda prefiro utilizar o Apache como Web server.