Alle volte, è vero, ci lasciamo prendere la mano: sempre su ASP.NET e canonicalization

Andrea Zani in questo post di commento al mio precedente post dice:

Mi spiego meglio: ho dato un'occhiata in giro ai vari siti e server che ospitano pagine asp.net e che utilizzano l'autenticazione Forms. Non ne ho trovato uno che venisse bucato da quel trucco del "\" o "%5C". E sto parlando anche di server con servizi di hosting economici - mi piacerebbe sapere se anche Aruba è protetto, purtroppo non ho potuto accertarmene.

In effetti è proprio così :) Per fortuna la maggior parte dei fornitori di hosting è migrata ad IIS 6 (per ovvi motivi, non ultimo il fatto che è il miglior web server attualmente in circolazione, e non temo smentite da questo punto di vista). E chi usa IIS 5 ha nella maggior parte dei casi già installato e configurato UrlScan. I rapporti non protetti sono sempre a rischio, è meglio evitarli ;)

Ed ancora:

Che forse il tanto conclamato bug esista nella maggioranza dei casi solo sui computer degli sviluppatori?

Colpito ed affondato. Ovviamente se facciamo un sondaggio tra di noi, ne esce fuori che quasi nessuno ha UrlScan installato anche sulla macchina di sviluppo (o in alternativa, ha bloccato le porte verso l'esterno).

Comunque, ho fatto qualche piccola ricerca ed il problema è nella classe UrlAuthorizationModule, che in realtà prende l'url da IIS. Quindi, in estrema sintessi, è un bug di IIS 5, anche se, per dirla brevemente, c'è un concorso in dolo da parte di ASP.NET. Non ho modo di provare altri sistemi, ma alla fine se no ci sono controlli all'interno, è probabile che soffrano dello stesso problema.

Se è vero come è vero che fino a prova contraria qualsiasi cosa arrivi dall'utente è pericoloso, la canonicalization è uno dei punti di attacco più subdoli. E non è la prima volta che IIS ci casca. Chi si ricorda $Data?

Altri tempi, fortunatamente, perchè con IIS 6 qualche sonno in più possiamo permettercelo ;)