什么叫着疯狂?疯狂就是反复做同样的事情却盼望得到不同的结果。如果软件厂商本着疯狂的精神,我相信它会赢得非常好的声誉。在想到微软IIS这个例子时,我的脑海中出现了好几个幽默的标题。
抛开不稳定这一缺点不说,IIS最近被发现的漏洞就非常严重——要知道,IIS毕竟是仅次于开发源码Apache的第二大Web服务平台。这个新bug的名字叫着“黑眼睛”,微软用“堆集满溢(heap overrun)”来描述这个漏洞,其实它就是缓冲区溢出的另一种说法。由于缓冲区溢出现在已经成为bug的同义词,所以我猜测微软换一种说法的目的就是要让开发者不会认为这个问题很严重。但实际上,这个问题非常严重。
目前的这份报告指出了.htr堆溢出漏洞,但谁知道下一个漏洞又会出现在哪里?如果你正在使用IIS,考虑到尼姆达和红色代码病毒依旧猖獗,我希望你及时安装补丁。如果你需要运行IIS,你可以同时运行微软的IIS Lockdown工具,因为它在默认设置下会关闭.HTR请求。
还有一个更严重的问题需要我们考虑,那就是是否IIS最新出现的问题是否能够成为我们放弃IIS的原因。由于这个问题牵扯到许多因素,我个人还没有得到明确的答案。放弃某种Web服务平台实际上并不容易,当公司已经把微软平台作为Web服务的标准时尤其如此。无论你购买的是哪种Web服务软件,价格都是一个很重要的因素。如果不考虑某些特定的商业要求,我不推荐使用IIS。在许多情况下,IIS是商业界可以支撑基于Web应用程序的唯一平台。如果你必须使用IIS,请首先确保它的安全性。
微软很清楚公众对IIS的意见:许多客户还对尼姆达和红色代码病毒记忆犹新。我们不知道这个问题在多大程度上可以归咎于计算机系统的管理不善。市面上已经出现了可以提高IIS安全性的软件,例如eEye公司的SecureIIS应用程序防火墙。
许多公司还不了解微软对IIS的安全建议。尽管IIS 6.0尚未发布,但我希望你能从IIS早先有bug的版本中汲取教训。
“一朝被蛇咬,十年怕井绳”这就话或许最应用于IIS。由于微软在软件行业中处于龙头老大的地位,它应该能够使IIS变得更加安全。只有时间能告诉我们这会不会称为现实。我实际上非常想知道IIS 6.0是否会修正微软在IIS老版本中的所犯下错误。
