The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

IIS 執行的身份識別與 Windows 權限控管不是你想的那樣

一般人都以為 Windows Server 預設的目錄權限很安全,但事實上一點也不,因為 Windows Server 2003 是一個多用途(Multi-function)的伺服器作業系統,並不是單單為了 Web 應用程式所設計的,所以系統管理員如果對於 IIS 的執行權限與 Windows 的權限控管不夠瞭解,就很有可能面臨極大的風險。

... 繼續閱讀 ...

如何從 Server-side 指定 IE8 瀏覽器應使用的瀏覽器模式

IE8 就快要正式推出了,在這個時刻,身為網頁開發者的你是否已經準備應戰了呢?IE 相容性問題一直以來都是網頁開發人員的痛,光是 IE6 + IE7 就不知道讓多少人痛苦萬分。不過還好,到了 IE8 至少還有個機會喘息一下。如果來不及準備,那就要好好看看這篇文章,至少不會讓你的網站那麼快陣亡。

... 繼續閱讀 ...

安裝 UrlScan 需注意原始設定會破壞所有中文檔名的連結

這應該是我第二次替客戶處理 UrlScan 的問題了,就如同我在之前寫的文章裡提到的:「如果你為了要讓 Web 應用程式更安全,但卻不想研讀每個參數設定的話,強烈建議你乾脆就不要安裝,因為裝上去之後是有可能讓你的網站部分功能失效的」。果然如此,昨天又再次遇到客戶因為安裝了 UrlScan 導致網站許多頁面回應 HTTP 404 找不到網頁的錯誤。

... 繼續閱讀 ...

介紹好用工具:UrlScan Security Tool ( 入門級的 WAF 工具 )

WAF ( Web Application Firewall, Web 應用程式防火牆 ) 這個名詞越來越夯了,因為 Web 應用程式越來越普及,相對的 Web 安全性的議題也越來越受重視,在市面上已經有不少 WAF 相關防護工具,免費的、付費的、Linux 平台的、Windows 平台的都有,今天我就來介紹一套由微軟提供的入門級 WAF 工具:UrlScan Security Tool ( 這連結是介紹 UrlScan 2.5 的功能,但目前最新版是 UrlScan 3.1 版)。

... 繼續閱讀 ...

IIS應用程式集區自訂身份識別後如何讓 ASP.NET 正常執行

我們都知道 ASP.NET 在 IIS 6.0 中運行的時候,真正的執行權限使用者是應用程式集區(Application Pool)的身份識別(Identity)頁籤中定義的那位使用者,預設的使用者是「網路服務(NETWORK SERVICE)」,而且實際在執行的程序名稱(Process Name)為 w3wp.exe,各位可以從工作管理員中看到。

... 繼續閱讀 ...

瞭解 IIS 接受 HTTP 要求的完整過程

我想不管是開發人員或是 IT 人員都應該仔細瞭解 IIS 接受 HTTP 要求的完整過程,這樣不管在開發、除錯或部署時都可以比較能掌握狀況,否則遇到棘手問題時常常都是到處亂試,在測試機上試就罷了,若在正式機上面亂試一通,那才是夢魘吧。

... 繼續閱讀 ...