بعد از مدتها بالاخره یک باگ امنیتی در ASP.NET کشف شده! البته این "بعد از مدتهایی" که عنوان شد بر اساس آمار است که در سایت بیطرف Secunia قابل بررسی و مشاهده است (و اگر از یک سری کامپوننت و برنامههای جانبی سایر برنامه نویسها صرفنظر کنیم، انصافا ضریب امنیتی بالایی را ارائه داده):
البته این مورد جدید هم مرتبط با خود ASP.NET نیست؛ بلکه مرتبط است با نحوهی پیاده سازی الگوریتم AES در دات نت فریم ورک (Padding Oracle / AES cookie encryption vulnerability).
توضیحات بیشتر در سایت Scottgu
خلاصه این توضیحات:
همانطور که هزاران بار به برنامه نویسان ASP.NET (و SharePoint) گوشزد شده است، لطفا صفحهی نمایش خطاهای سفارشی سایت را (customErrors) در web.config برنامه on کنید. این خطای امنیتی موجود در پیاده سازی الگوریتم AES نیاز به سعی و خطاهای زیاد روی سایت و بررسی پاسخهای داده شده یا ریزخطاهای منتشر شده دارد. اگر صفحهی خطای سفارشی سایت شما تنظیم شده و روشن است، خطری سایت شما را تهدید نمیکند؛ زیرا شخص مهاجم هیچ خروجی خطایی را جهت بررسی مشاهده نخواهد کرد.