そりゃ、「セキュリティ上IISは他のWebサーバに置き換えるべき」というのは誰にでも到達できる真理なので結論は間違ってないけど、論理展開がなってない。

マイクロソフトの開発に対するこの基本的スタンスは変わってないように思える。つまり，比較的少数の開発者と数多くのテスターを使ったテスト重視型の開発ということだ。

開発やってりゃわかるけど、unicodeを2回デコードしちまうなんてのは大きなプロジェクトで右手のやってる事を左手は知らない典型的な例。 他にも、IEのproxyの自動設定スクリプトに酷さとか、gzip対応がproxy経由とダイレクト接続で異なる事などから、大きな、そして決して精鋭ぞろいというわけではないプロジェクトチームで行われている事はうかがい知る事が出来る。

そして，これもご存知のように，マイクロソフトは同社のWebサイトにおいてセキュリティ・ホールを悪用するコードの公開を止めるよう求めている。

サンプルコードの例示の是非は意見の分かれるところであり、CERTなどはコードは示さずに対策を示している。 具体的なコード示されて嬉しいのはスクリプトキディと、検証するのに手が抜ける管理者。CERTのように信頼できる所が検証済みなら追試の必要無いね。
これは上の説得に使うにはお粗末過ぎでしょう。