und wieder ein grund zu diskutieren

auf heise online gelesen:


Studie zur Sicherheit von Linux und Windows
Die Marktforscher von Forrester Research haben offenbar einen differenzierten Ansatz gefunden, um die Sicherheit verschiedenen Betriebssystem zu vergleichen. Laura Koetzle und ihre Mitautoren haben für die Studie unter anderem die Zeiträume für die Behandlung von Sicherheitslücken erfasst ? von der Entdeckung, über die Veröffentlichung bis zur Beseitigung.

Microsoft brauchte im Durchschnitt nur 25 Tage nach Bekanntgabe für einen Fix. Am zweitschnellsten war Linux-Distributor Redhat mit 57 Tagen. Bei der Anzahl der bedenklichen Lücken führt Microsoft (67 Prozent), die diversen Linux-Varianten liegen darunter ? etwa Redhat mit 56 Prozent. Debian reagiert am schnellsten auf Korrekturen der Zulieferer, kann etwa Patches der Apache-Entwickler am schnellsten umsetzen. Nicht eine Linux-Distribution konnte alle Lücken schließen.

Die Studie setzt im Fazit die für die vergangenen 9 Monate ermittelten Zahlen in Relation zum Wissensstand der Administratoren und zur Intensität der Systembetreuung und gibt Empfehlungen: Wer schnell Patches will, soll Windows oder Debian nehmen. Wenn die Administratoren eher unerfahren sind, raten die Autoren zu Windows, Mandrake oder Suse, sonst Windows oder Redhat



tja linux doch net so perfekt?
oftmals sind linux systeme offen wie kein anderes system und man kann alles über sie machen, also was sagt die linux fraktion hierzu???




greetz freak





<you need a freak like me>

 

Wie schon gesagt, ist die Zeitspanne zwischen Entdeckung der Lücke und deren Behebung bei den Distributoren zwangsläufig länger, als bei den Projekten selber.

D.H. im Klartext: Wenn eine Applikation, die auf meinem Server läuft eine Lücke hat, dann warte ich nicht, bis SuSE, RedHat, oder wer auch immer das Ding patcht, sondern ich ziehe mir den Patch direkt beim Projekt runter.

Gruß

Greg

PS.: netter Versuch

 

Genau. Was man auch nicht so genau weiß: wer hat die Studie in Auftrag gegeben, wer bezahlt? Auch hat man schon davon gehört, das Sicherheitslücken in MS erst verspätet bekannt gegeben werden, um dann zu glänzen, weil der patch so schnaell da war.

pcp

 

Was ist daran so offen wie kein anderes System? Du hast eine Begründung vergessen. (:

Ansonsten würde ich zwischen Distributor und Projekt differenzieren. Ein einzelnes Projekt kann beispielsweise sehr schnell Patches zur Verfügung stellen, während der Distributor ewig braucht, um mal ein neues Paket zu basteln. Hier wäre auch interessant gewesen, welche Distributionen alle geprüft wurden.

Das neue Paket sollte dann möglichst keine ähnlichen Lücken öffnen oder die alte erst gar nicht richtig schließen, wie es MS schon öfter passiert ist. Schnelle Patches bringen einem nichts, wenn sie nicht funktionieren oder das drumherum nicht geprüft wurde. Wichtig wäre auch zu beachten, ob es für die Zeit dazwischen ein Workaround gibt.

Und von MS ist man leider Fehler gewohnt, die seit Jahren nicht gefixt wurden. Bestes Beispiel sind diverse kritische Bugs im IE, leider ist die Referenzseite solcher Auflistungen vom Netz gegangen.

Solche Studien sind immer recht kritisch, vor allen Dingen, wenn man die dutzenden Voraussetzungen und Bedingungen nicht kennt. Mit Studien kann man bekanntlich ziemlich viel "zurechtbiegen". Aber sollte sie so zutreffen, dann heißt es zumindest für die Distributoren, daß sie sich mal andere Argumente einfallen lassen müssten. *g*

 

Linux ist schon für unerfahrene Anwender sicherer, weil man von Anfang an ein getrenntes Admin/Benutzerkonto hat, und man als Benutzer das System tatsächlich ohne Passwortabfrage ruinieren kann.
Bei Windows ist man von Anfang an mit Administratorrechten versehen. Ich habe letztens einem Freund versucht genau das zu erklären, am nächsten Tag hat er sich ein getrenntes Admin-Konto unter XP eingerichtet, doch an diese Möglichkeit denken viele oftmals gar nicht. Vielleicht wäre XP um einiges sicherer, wenn MS irgendwo wenigstens einen Hinweis auf die mögliche Admin/Benutzertrennung setzen würde...


Auch wenns nicht zum aktuellen Thema passt: Abgesehen davon ist Linux stabiler, um-sonst-er, formatkompatibler, schneller, fehlertoleranter, schöner, flexibler, SICHERER, ->> B E S S E R

 

Thread nach Pro und Contra Linux!

Bitte lies die Regeln: http://www.pcwelt.de/forum/nutzungsbedingungen.html

 

Hi,

fast die gleiche Diskussion gibts doch in dieser Rubrik schon, hättest dich der dortigen Diskussion also anschließen können.

Hast Du den Sachargumente um die Behauptungen deines letzten Postings zu untermauern? Welche Linux-Sicherheitlücken meinst Du konkret usw. ?

Deine Aussage mit dem Betreiben eines Linuxservers ist nicht nachvollziehbar, da ja nicht jeder User, welcher Linux als OS nutzt auch einen entsprechenden Serverdienst zur Verfügung stellt...

 

Auch wenn alle es nicht wahrhabenwollen: Linux hat tatsächlich mehr Sicherheitslücken als Windows! Ich bin kein Troll oder so, aber es ist echt so. Es ist auch wg. dem offenen Source Code leichter in ein ungepatchtes System einzudringen.

Aber:
- Linux wird vllt. auf 2% aller Deutschen als Desktop genutzt
- Ein Linux ist nur so sicher wie der Admin es macht!

Wenn man selbst zu doof ist einen Linux-Server zu betreiben sollte man es lassen...

 

Das ist wie ein Vergleich Äpfel mit Birnen.
Zu Windows wird nur das Betriebssystem samt Internet-Explorer gerechnet, zu LINUX zählt man aber tausende Anwendungen dazu. Was bedeutet Windows? Ist das jetzt Windows 95 oder Windows 2000, wo Microsoft sich nun weigert, weitere Patches zur Verfügung zu stellen?
Selbst wenn Microsoft bisher in 1 Sekunde ein Sicherheitsloch gestopft hätte, mit der Einstellung jeglichen Supports für Windows 2000 stehen die Besitzer dieses Betriebssystems nun sehr doof da.

Gefährlich ist in der Regel nur der Webserver, welcher ja meistens ein Apache ist, sowie die Skriptsprache PHP.
Es entscheidet die Grundkonfiguration eines Systems.

 

Der entscheidende Hacken ist die Frage, wann die Lücke bekannt wird, denn genau das kann die Studie ja nicht wissen - ausser die bekommen eben - möglicherweise unbeweisbare - Angaben von Microsoft. Aber genau das darf bei einer unabhängigen Studie nicht geschehen.
Üblicherweise wird die Lücke eben tagelang/wochenlang/monatelang nicht bekannt, bis Microsoft dann entweder den Patch hat oder alternativ der Finder der Lücke genug von der Hinhalte-Taktik hat. Man kann man ziermlich gut dokumentiert nachlesen (hier empfehle ich mal eine Internetsuche), dass einige Finder sich monatelang vertrösten liessen.
Weiterhin ist es ja auch so, dass Microsoft aus irgendwelchen Ursachen manchmal einen Bug nicht nachvollziehen kann - ausser wenn gerade ein Exploit vorhanden ist.

Weiterhin sollte man mal nicht vergessen, dass hier jede Art von Bug gezählt wurde - und Microsoft hatte hier einen Anteil von 67% mit kritischen Lücken (und ist damit Schlusslicht).
Und ja - es wurden wohl nicht nur Kernel + Firefox <=> Windows + IE verglichen.
(Quelle: http://www.derentwickler.de/itr/news/psecom,id,14476,nodeid,55.html - der Link stammt von der folgenden Microsoft-Seite)

Achso, die Studie die hier so zitiert wird ist etwa vom 03.04.2004 - also nichtmal von vorgestern ... das seht ihr dann so in der Mitte der Seite: http://www.microsoft.com/austria/fakten/medienartikel_all.mspx

Wobei das eine reine Microsoft-Propaganda-Seite ist - also deren Wahrheitsgehalt wohl in Bezug auf das Datum durchaus richtig sein dürfte.
Inwiefern das andere stimmt könnt ihr selbst für 899 Dollar (denn soviel kostet 1 Exemplar, was hier so nett in Bildzeitungsmanier auf 5 Zeilen gequetscht wird) herausfinden.


Bezeichnend ist übrigens, dass der Threadersteller weder diese Links gepostet hat, noch auf das offensichtliche Datum hingewiesen hat, noch auf die möglichen Fehler in der Studie hingewiesen hat.
Insofern ist der Wahrheitsgehalt seines Posts wohl mit gewisser Vorsicht zu geniessen.