|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Basis der Studie ist eben wie lange es von der Veröffentlichung eines Bugs zum zum patchen durch den Distributor dauerte, um zu ermitteln wie lange der Rechner angreifbar war. Dies heisst nichts anderes als das Bugs die in Windows selbst nach Monaten noch nicht gefixt wurden garnicht erfasst wurden.
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 31. March 2005, 13:59 MEW (#2)
|
|
|
|
|
Sicherheit ist immer Layer 8 Sache.
Wenn jemand Systemadministrator ist und keine Ahnung von der Materie hat sieht es sowieso schonmal schlecht aus. Egal ob *BSD, Linux, Windows oder sonst etwas.
|
|
|
|
|
|
|
|
|
|
|
|
|
gehen solche Studien nicht auch der Position eines Heimanwenders aus?
Weil wenn ja, dann ist Windoze ganz klar sicherer. Zumindest für den Anfang, weil Windoze hat ja dieses Systray Update Program das rummotzt und bei dem kann man bestimmt nur mit einem klick auf OK ein Update in gang setzen.
Dies ist natürlich für den, ich sags mal böse, dummen Heimanwender die einfachste und sicherste Lösung.
Weil man kann halt leider von einem Heimanwender nicht erwarten das er dauernd Securitylisten abklappert und dutzende Mailinglisten liesst.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Naja, jene die hier versuchten WinXP neu zu installieren konnten nicht mal den update einfahren ohne vom Wurm gefressen zu werden...
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja, das ist ein Problem.
Um das zu vermeiden, installiere ich WinXY offline und instellier danach gleich ne Personal Firewall (z.B. ZoneAlarm, welches für Heimgebrauch kosztenlos ist - oder irgend ein anderes, die Ansprüche für diuesen Fall sind recht gering).
Erst jetzt lass ich den Windowsupdate fahren.
Gandalf
|
|
|
|
|
|
|
|
|
|
|
|
|
Klappt natürlich nur, wenn die Personal Firewall schon offline (auf CD oder so) vorliegt. Merke: das Herunterladen einer Personal Firewall aus dem Internet führt oft dazu, dass sie nichts mehr nützt...
Grüsse vom Knochen
--
Spamers please spam me using spamgourmet@every-net.ch
|
|
|
|
|
|
|
|
|
|
|
|
|
ist hier irgendwo ein Fachmann oder eine entsprechende s(ch)reiöse Statistik,
wonach aufgrund des Quell-Codes (egal ob OSS oder CSS)
das sicherere Betriebssystem als sicherer bezeichnet werden kann?
---
"für oder gegen"
|
|
|
|
|
|
|
|
|
|
|
|
|
... die du selber gefaelscht hast.
--
hardware runs the world, software controls the hardware,
code generates the software, have you coded today
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Jeder zehnte Schweizer kann nicht Prozentrechnen. Das sind rund 17 %!
--
Scientology sagt Dir nicht alles - www.xenu.ch
|
|
|
|
|
|
|
|
|
|
|
|
|
ich glaub eher das es wesentlich mehr % sind, die nicht %-rechnen können... :)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
soweit ich gelesen habe, wurde die Studie durch Microsoft gesponsert...
|
|
|
|
|
|
|
|
|
|
|
|
|
Blind einer Software zu vertrauen, nur weil sie Open Source ist, ist halt auch nicht das gelbe vom Ei.
Hab in letzter Zeit auch immer mehr das Gefühl, dass die Security Patches/Updates immer länger zum Releasen dauern, vorallem beim Linux Kernel.
Ist scheisse, aber ist so, und vielleicht erhöht sich die Reaktionsgeschwindigkeit mit dieser Kernel Security Liste ein wenig...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
bist wohl kein debian user
|
|
|
|
|
|
|
|
|
|
|
|
|
Zu erst fällt mir wieder mal auf das wiedermal irgendeine Distribution(okay, nicht irgendeine) mit Linux als ganzem gleichgesetzt wird. Das missfällt mir persönlich an der Studie.
Dann kommen mir nach lesen des Heise berichtes Zweifel ob die Macher der Studie wirklich so neutral sind wie sie sagen. Laut heise steht in ihrem Vertrag zwar das sie die "volle inhaltliche Kontrolle über die gesamte Forschungsarbeit" haben, aber wer beisst die hand die ihn füttert. Auch das das Beispiel das in der Studie genannt ist in mehr als einer Beziehung nachweislich falsch ist ist doch sehr auffällig.
Zusammenfassend: Noch eine komische und ausserordentlich seltsame Studie die keine beweisen oder entkräften kann. Hilft keinem.
|
|
|
|
|
|
|
|
|
|
|
|
|
Jeder weiss doch, wie man seinen Rechner am sichersten macht: Man schaltet ihn ab. Bezueglich Sicherheit gibt es keinen Unterschied zwischen Bluescreen und abgeschaltetem Rechner.
Fazit: Haengende Windows-Boxen sind sicherer als rennende Linux-Server. Logisch, nicht?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
LOL. Da kann man auch anfangen, sich zu fragen, was denn jetzt mit der Sicherheitsinitiative von Billy ist - schliesslich stürzen die Windowsen ja nicht mehr so häufig ab - also alles "fürd Chatz"?
tL
--
... I don't like it, but I guess things happen that way ... (J. Cash)
|
|
|
|
|
|
|
|
|
|
|
|
|
Hmm.. c-mon, IMHO solltest du (und auch viele Andere hier) mal dein Wissen über Windows auffrischen. So im Stil 'Know your enemy'... mit so Aussage (und auch anderen hier) macht ihr euch idR selber lächerlich und unglaubwürdig. Wenn ihr in technischen Diskussionen über Windows nicht mit aktuellen/guten Argumenten auftauchen könnt solltet ihrs lieber ganz lassen - am Schluss zieht ihr euch und die ganze Community in den Dreck.
Linux, die OSS Comunity und alles das dazugehört hat selber noch genug Hausarbeiten zu machen ... schauen wir zuerst mal das wir unser eigenes 'Haus' aufräumen bevor wir uns über die eingeschlagenen Scheiben der Nachbarschaft lustig machen.
"Wer aufgehört hat besser zu werden hat aufgehört gut zu sein"...
Gruss
reto
- der linux mag und überall einsetzt
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 31. March 2005, 19:48 MEW (#16)
|
|
|
|
|
Ist doch noch etwas früh für Aprilscherze... mehr kann das ganze ja nicht sein. Ansonsten ist es wiedermal so eine Winzigweich Propaganda Aktion/Versuch irgendwelchen Taugenichts (Cxx) mit "fundierten" Studien von "führenden" "Experten" verklickern zu wollen, dass nun Kriterium X das alleinige sei was zählen würde und dass sie darin die besten seien.
Steht im Bericht was von:
- grsecurity
- apache chroot
- apache chown
- suexec
- php restrictions
im Vergleich zu IIS/ASP? Nein... selbst wenn der Apache ein Loch hat, so brennt mir deshalb unter Linux nicht gleich der ganze Server ab.
Und selbst wenn, kann ich ganz unkompliziert die Systempartition neu aufsetzen, Apache konfig kopieren (versuchen sie das nicht mit Windows/IIS) das webhome mounten. Fertig. Keine Lizenzbedingungen, ein FileSystem welches man auch von CD aus bearbeiten kann - und dabei Netzwerk hat.
Und nur weil ein Patch verfügbar ist, so heisst das noch gar nichts. Soll mir mal bitte kurz jemand sagen wie ich auf 300 IIS Servern kurz checke ob der Patch drin ist.... Patchmanagement gehört halt auch dazu.
Dann kann man ja mal noch hingehen und zählen wie oft man das Windows/IIS und das Linux/Apache Duo updaten muss weil es Security-Technisch bedenklich ist.
Aber eben, Microsoft Software ist halt besser weil sie besser wird - und so ein Linux/Apache ist und bleibt halt nur gut.
Ehrlich gesagt tut es schon gut zu sehen wie sich die Typen mit Ihren 30% Marktanteil absrampeln - aber dass sie gerade Security als Argument bringen ist ja ein mix zwischen lachhaft und arrogant.
IIS - It Isn't Secure
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 31. March 2005, 21:50 MEW (#20)
|
|
|
|
|
Einerseits, wie gross ist die Wahrscheinlichkeit, dass dem Sponsor Microsoft sein Testkandidat verliert? Andererseits, wieso erwaehnt (eifrig dem "guten Ton" folgend?) heisec.de nur ein Beispiel und weist niederschmetternd induktiv schlussfolgernd auf ein Versagen der Studie hin? Und schlussendlich ist der auf heisec.ch wiedergegebener Satz Thompsons (fit.edu) "Des weiteren sei es nicht das Ziel der Studie gewesen, zu entscheiden, welche Server-Plattform sicherer sei." hoechst Hanebuechen (sein Zasterbeutel gefuellt, sein Rufschaden eingeschraenkt). Opium fuers Volk, verderbe dir nie den Humor ob solchem Schmarren - naechster Patient bitte.
|
|
|
|
|
|
|
|
|
|
|
|
|
Auf lwn wurden die von redhat im Zeitraum entstandenen Lücken nachgerechnet.
Ergebnis: 2943 days of risk - a substantial portion of the 12,415 days of risk cited in the report
|
|
|
|
|
