Quale server è responsabile della "sicurezza" quando ASP.NET Core Kestrel è ospitato dietro IIS?

Question

Quale server è responsabile della "sicurezza" quando ASP.NET Core Kestrel è ospitato dietro IIS?

#1 da (1 voti)

2

Voglio capire come funziona il flusso tra IIS e Kestrel per quanto riguarda la sicurezza. Sembra che l'integrazione tra IIS e Kestrel sia che IIS invia semplicemente tutto ciò che riceve a Kestrel, sia esso una richiesta HTTP valida o meno. IIS gestisce però SSL, quindi è abbastanza trasparente per Kestrel.

Quindi ho una domanda: vuol dire che con l'eccezione di SSL, la sicurezza è gestita da Kestrel? Quindi tutte le potenziali vulnerabilità in IIS sono praticamente impossibili o facili da sfruttare? Come per es. un bug che permetteva di ottenere il web.config qualche tempo fa da IIS sarebbe possibile solo abusare se Kestrel ha il tipo di bug simile.

asp.net iis webserver web-application

posta Ilya Chernomordik 21.10.2016 - 10:13

fonte

1 risposta

Leggi altre domande sui tag asp.net iis webserver web-application

Come fa il mio ISP a filtrare i server Akamai È possibile spoofare un dispositivo Bluetooth accoppiato?

score 1 · Accepted Answer

La risposta semplice è: entrambi. Hanno ruoli diversi e gestiscono diverse funzioni di sicurezza, ma ci sono alcuni aspetti della sicurezza che ognuno deve gestire.

In questo modello, IIS funziona come proxy inverso e Kestrel è il server web dell'applicazione. I proxy inversi (IIS e non solo) spesso sono responsabili di più del semplice instradamento stupido. Come hai notato, se stai usando HTTPS, la chiusura avviene sul livello IIS. IIS può anche servire altre funzioni, come la compressione e il caching, proprio come qualsiasi proxy inverso. Continua inoltre a necessitare di web.config, per scoprire che cos'è questa configurazione. Ognuna di queste funzioni ha un qualche numero di implicazioni sulla sicurezza che devono essere tenute a mente.

Le funzioni di sicurezza specifiche dell'applicazione, come la maggior parte dell'autenticazione e dell'autorizzazione, la codifica di input e output e altre funzioni specifiche dell'applicazione saranno gestite come previsto dalla pipeline di esecuzione dell'applicazione e dall'ambiente interno di Kestrel.

Quindi, mentre il ruolo di IIS nella sicurezza è notevolmente ridotto in questo modello, non è completamente eliminato.