一般人都以為 Windows Server 預設的目錄權限很安全,但事實上一點也不,因為 Windows Server 2003 是一個多用途(Multi-function)的伺服器作業系統,並不是單單為了 Web 應用程式所設計的,所以系統管理員如果對於 IIS 的執行權限與 Windows 的權限控管不夠瞭解,就很有可能面臨極大的風險。
... 繼續閱讀 ...
最近我發現在 IIS 6.0 上安裝 PHP5 有一些安全性的議題與一些安裝技巧,而這些問題都是一般管理人員不容易發現的部分,所以若有人希望 PHP 5 在 IIS 上面執行時,可以參考一下這篇文章。
... 繼續閱讀 ...
IE8 就快要正式推出了,在這個時刻,身為網頁開發者的你是否已經準備應戰了呢?IE 相容性問題一直以來都是網頁開發人員的痛,光是 IE6 + IE7 就不知道讓多少人痛苦萬分。不過還好,到了 IE8 至少還有個機會喘息一下。如果來不及準備,那就要好好看看這篇文章,至少不會讓你的網站那麼快陣亡。
... 繼續閱讀 ...
這應該是我第二次替客戶處理 UrlScan 的問題了,就如同我在之前寫的文章裡提到的:「如果你為了要讓 Web 應用程式更安全,但卻不想研讀每個參數設定的話,強烈建議你乾脆就不要安裝,因為裝上去之後是有可能讓你的網站部分功能失效的」。果然如此,昨天又再次遇到客戶因為安裝了 UrlScan 導致網站許多頁面回應 HTTP 404 找不到網頁的錯誤。
... 繼續閱讀 ...
我之前曾經介紹過 Microsoft Web Platform Installer Beta,這套工具就在幾天前推出正式版了,然而當初在 Beta 版的時候只能在 Windows Vista/2008 而已,但正式版已經可以支援 Windows XP 與 Windows Server 2003 了,這也意味著日後在安裝/升級 Web 相關應用時,將會越來越簡便。
... 繼續閱讀 ...
WAF ( Web Application Firewall, Web 應用程式防火牆 ) 這個名詞越來越夯了,因為 Web 應用程式越來越普及,相對的 Web 安全性的議題也越來越受重視,在市面上已經有不少 WAF 相關防護工具,免費的、付費的、Linux 平台的、Windows 平台的都有,今天我就來介紹一套由微軟提供的入門級 WAF 工具:UrlScan Security Tool ( 這連結是介紹 UrlScan 2.5 的功能,但目前最新版是 UrlScan 3.1 版)。
... 繼續閱讀 ...
我們都知道 ASP.NET 在 IIS 6.0 中運行的時候,真正的執行權限使用者是應用程式集區(Application Pool)的身份識別(Identity)頁籤中定義的那位使用者,預設的使用者是「網路服務(NETWORK SERVICE)」,而且實際在執行的程序名稱(Process Name)為 w3wp.exe,各位可以從工作管理員中看到。
... 繼續閱讀 ...
我想不管是開發人員或是 IT 人員都應該仔細瞭解 IIS 接受 HTTP 要求的完整過程,這樣不管在開發、除錯或部署時都可以比較能掌握狀況,否則遇到棘手問題時常常都是到處亂試,在測試機上試就罷了,若在正式機上面亂試一通,那才是夢魘吧。
... 繼續閱讀 ...
最近有個案子在進行網站安裝時發生了以下錯誤,錯誤訊息是「載入組態檔時發生錯誤: 存取被拒絕,因此無法開始監視 '\\192.168.x.x\UploadFiles' 的變更。」
... 繼續閱讀 ...