OpenSource sikkerhed – en myte?

#1 - thufir
29. jan. 2003 16:28

Jaja.... Fuck nu ham :D

Installer en Debianbox og en Winblows 2k... Lad os se hvem der kommer ind først :P

#2 - Tomcat
29. jan. 2003 16:30

Linux er pr definition ikke Dårligere eller bedre end windows.Det kommer helt an på dem der programmerer lortet.

og det er almen kendt at programmører i linux ikke er under samme tid/penge pres end windows programmører.
Det er derfor der altid står "Absolut INGEN garanti for at lortet virker efter hensigten" i linux programmer ;)

Men i sidste ende plejer de nu at virke ret godt

#3 - Yrcraw
29. jan. 2003 16:51

#OT
He, nu vi snakker om sikkerhed på xp...

Jeg har xp sp1 og har en administator konto, som jeg hverken kan logge ind på, eller ændre! Engang skulle jeg resette min Masterbootrecord og det krævede at jeg loggede mig ind som administrator.. Det gjorde jeg så, men passworded havde jeg ikke... Fuck, men gæt hvad, det var blankt....

Hvordan ændre jeg den?

#4 - 29. jan. 2003 16:52

#1 :

Ja lad os tage en newbie admin med en linux maskine og en meget erfaren admin med en windows maskine....
og lad os så se hvem der vinder....

Det er som sagt så mange gange før, de menneskelige faktorer der afgør det i sidste ende!

- men at de fleste meget erfarne sysadmin'er så bruger unix, bsd, linux osv er jo en helt anden sag ;)

/LAZinc

#5 - PaNiX
29. jan. 2003 17:07

Jeg synes han har en rimelig fair måde at stille det op på, han kommer rundt over det meste af området. Jeg mangler dog et par ting...

F.eks. rapporterer MS ikke om de bugs, som de finder under udviklingen, Open Source samfundet kan nok næppe leve længe uden.

Derudover mangler jeg nogle bedre beskrivelser af hvordan han kommer frem til de tal han har. Jeg kunne godt sætte mig ned og begynde at tælle efter i hans kilder og lave nogle konklusioner derfra, men jeg har bedre ting at give mig til.

En ting, der dog slår mig er, at alle de bugs, der f.eks. står på RedHat's side, det er jo ikke kun bugs i Linux, det er også bugs i hele Linux's applikationsgruppe, som er kæmpestor i forhold til MS's applikationsgruppe.

Jeg er helt enig med #4 i, at et system i høj grad er præget af brugeren. Hvis man kunne lave et system, der faktisk var 100% sikker, så var det jo stadig bare et spørgsmål om at en uerfaren bruger starter en service, der ikke er sikker overhovedet.

#6 - MiR
29. jan. 2003 17:32

Jeg synes egentlig dette indlæg rammer rimelig plet, hvad angår de forskellige ting skribenten har undladt at tage højde for:

http://www.informationweek.com/forum/fredlanga?com...

#7 - Regus
29. jan. 2003 17:58

Nu er jeg jo godt nok ms fortaler men jeg bliver nødt til at sige det her alligevel:

når jeg kigger på den redhat side artiklen peger på så ser jeg security fixes så som:

CVS
MySQL
PostgreSQL
Apache
PHP
Mozilla

hvis ikke Outlook, IIS, Internet explorer og MS SQL Server hører under windows bugs hvordan kan ovenstående så høre under linux bugs... og det er bare nogle af de få linux relaterede ting jeg har et clue om hvad er...

Jeg hader mig selv for at bringe det op jeg er som sagt pro ms men...

#8 - NightBreaker
29. jan. 2003 18:01

Som det er blive sagt før så har det meget med brugeren at gør, hvor god er han/hun til at sætte serveren op.

Jeg ved ikke hvor stor kagen er. ;Men hvor meget har unix af market iforhold til MS.

Som der bliver sagt i raporten så har det også noget at sige hvor stort det hele er. Unix miljøet kan måske fixe det hele noget hurtigere end MS kan, men i sidste ende er begge 2 på samme tid i mål.

Men Open Source dog billigere og hvis man er en skilled administrator, og ved hvordan man skal sætte en god linux server op, så er det nok det billigere og dermed måske også en bedre løsning men ikke sikkerheds mæssigt.

#9 - DUdsen
29. jan. 2003 18:35

LAd os lige læse artiklen hvad er det egentligt manden påstår?

Tjoo manen konkludere at linux har haft 151 fejl mes windowsXP kun har haft 21 fejl.
Det han så glemmer er at de 151 fej er fra rethat 7.2 og dækker over flere 1000 programmer.
Derefter tager han rethat 8.0 og sammenligner med xp og finder at de er lige usikre.
Manden mener altså at 21 fejl i windowsXP core svarer til 27 fejl blandt de over tusind programer rethat distribure indkloderende 5 browsere 5 mailservere 2 webserevere, 3 fulde kontorsuiter osv betyder at MS produkter er lige så sikkert som noget open source samfundet kan komme op med.

Han tager den lengere ud ved at antyde at MS med sølle 147 forskellige produkter har mangre flere programmer har holde styr på en rethat der jo kun har linux.

For at sætte trumf på sin argumentation kommer han med den med at der jo ikke er nogen der gider hacke opensource folkenes programmer der jo har et ubetydeligt antal
Apache har en markeds adel på 50%+ IIS på ca 30% aligevel er code red og nimda iis baserede mens apache stort set er gået fri.
På database markedet er MSsql også langt fra den største aktør aligevel rammer saphire den og ikke mysql.

Derudover er der manden selv og firmaet bag der også driver msdn.com alt i lugter det som om at de ikke er 100% upatiske i sagen.

Min konklusion må værre at denne artikelt ikke skal tges som en seriøs analyse men et stykke edutainment baseret på ms's fud

#10 - Regus
29. jan. 2003 18:41

#9

nu er det måske heller ikke helt fair at sammenligne MySQL, der jo ikke engang kan beskrives som en relationel database, med MS SQL Server... PostgreSQL havde været et mere fair sammenlignsgrundlag... eller DB2 eller Oracle hvis du vil være rigtigt upartisk.

#11 - ns
29. jan. 2003 18:42

"Apache har en markeds adel på 50%+ IIS på ca 30% aligevel er code red og nimda iis baserede mens apache stort set er gået fri."

Ja?? Det er fordi de er lavet til IIS.. Hvad er det dog for en kommentar?

#12 - slomoVizion
29. jan. 2003 18:53

Pointen er vel, at når markedsandelen er større burde det være mere attraktivt for en virus/orm programmør, at lave en virus/orm der rammer apache.

#13 - lean
29. jan. 2003 18:56

#11
Et af argumenterne i artiklen var at Linux begyndte at få markedsandele, og derfor vil begynde at få flere sikkerhedsproblemer.
Desværre viser tallene at Apache længe har haft en meget større markedsandel end IIS, og derfor burde hackerne have lavet en orm til Apache istedet for IIS ('You see, crackers like to aim at the fat part of the bell curve because that's where the most potential victims are').
Hvorfor dette ikke er sket kan kun vejrguderne vide...

#14 - RoceKiller
29. jan. 2003 19:20

#13
eller vi jordfolk kan kan gætte lidt på det... ;)

#15 - DUdsen
29. jan. 2003 19:47

#10 hvad er det helt precis MySQL mangler for at kunne betegnes som en relationel database og gældet det også for v 4.0.
Selvom det nok er rigtigt at postgressql dbII og oracle er mere udbredte uden for www end MySQL.

#16 - Regus
29. jan. 2003 20:08

#15
tjah jeg ved ikke om de har fået det med i v4.0 (i så fald not a moment too soon), men referentiel integritet - et af de absolut vigtigste elementer i en relationel database... der er sikkert også andre ting jeg ville savne gevaldigt i forhold til andre databser, men mangel på referentiel integritet har så afgjort altid været mit største ankepunkt mod MySQL

#17 - sKIDROw
29. jan. 2003 20:16

Uhmm
Hvis jeg endelig skal gå i detaljer, så er der jo ingen ikke-kernel relaterede bugs som kan tælles som _Linux_ bugs.. ;)
Hvis de gjorde som den kære Richerd Stallman bad om, og kaldte systemet for Gnu/Linux de så tælle nogle flere af dem med.
Men Apache,MySQL,Samba osv problemmer hverken kan eller bør tælles med som Linux bugs.

#18 - Disky
29. jan. 2003 21:15

Skidrow:
Du har ret hvis man ser stringent på det.

Men han har ret i at Linux baserede systemmer ikke er mere sikkert eller har færre fejl end Windows.

Det er ene og alene et spørgsmål om den der har ansvaret for maskinen.

#19 - sKIDROw
29. jan. 2003 22:00

#18 Disky

"Du har ret hvis man ser stringent på det."
Et GNU/Linux system, har da fejl.
Ingen tvivl om det!.. ;)

"Men han har ret i at Linux baserede systemmer ikke er mere sikkert eller har færre fejl end Windows.

Det er ene og alene et spørgsmål om den der har ansvaret for maskinen."
Det er svært at afgøre.
En ting er ihvertfald HELT sikkert, det kan ikke afgøres som han er kommet frem til det.
For at sammenligne GNU/Linux, som offentligtgører ALLE bugs overhovedet store og små.
Med Windows hvor Microsoft, er alt andet end åbne omkring deres fejl virker lidt spøjst.
Men jeg vil gerne give folk ret i, at sikkerheden afhænger lige så meget af Adminen som af platformen.. ;)

#20 - dnv
29. jan. 2003 22:43

Hvis man overhoved kan samligne de 2 systemer kunne
man i det mindste gøre det ud fra lige samme type services.
Eks.vis begge med webserver + mail + SQL server.
---

#21 - Regus
29. jan. 2003 22:49

I sidste endnu kunne man så spørge: who cares - vi vælger alle vores favorit system ud fra mange flere kriterier om overhovedet ud fra sikkerhed og det holder vi næppe op med hvad enten der er flere eller færre fejl linux end i windows...

#22 - DUdsen
30. jan. 2003 00:11

tilid til leverendør er for mange en væsentlig faktor når de vælger system
Og tilid handler primært om psykologi bug tallet er ikke nødvendigvis vigtigt men hvis man kan overbevise folk om at det er og lave statistik mishandling der viser at ens produkt har det laveste tal tjaa...

#23 - _VeNtUrAx_
30. jan. 2003 06:21

<STRONG>INTET SOFTWARE, SOM KAN KONFIGURERES, KAN BESKYTTES MOD FEJL 40 !!!</STRONG>

Det troede jeg da var common knowledge. Jeg vil dog give manden ret i, at "patche" en linux maskine kan være meget mere bøvlet end at opdatere MS. Hurra for Windows Update.. men endnu mere hurra for Gentoo's -update

emerge -u world (efter noget kompilering.... pling.. et fuld opdateret system... /me loves it!)

/V

#24 - NKJensen
30. jan. 2003 07:15

Så længe ingen har tallene for hvor mange maskiner, der rent faktisk hackes, bliver alle de såkaldte "analyser" rent gætværk.

Antallet af eksisterende bugs i programmer har ikke nogen direkte sammenhæng til antallet af angrebne systemer.

Code Red udnyttede blot een fejl og lagde et større antal systemer ned end det samlede antal installerede Linux boxe.

#25 - Odyssey
30. jan. 2003 07:50

#3
Har du prøvet under Brugerstyring? At folk ikke fatter at bruge deres Operativ System er da nok den største sikkerhedsrisiko.

Og jo, du har mulighed for at logge ind som Admin, hvis du deaktiverer det pop-login som er standard for XP.

#26 - sKIDROw
30. jan. 2003 09:32

#23

"Det troede jeg da var common knowledge. Jeg vil dog give manden ret i, at "patche" en linux maskine kan være meget mere bøvlet end at opdatere MS. Hurra for Windows Update.."
Mjahh
Nu er de fleste 'patches' jo også lavet som enten RPM's ellers DEB's, så det kan de fleste de finde ud af.. ;)
Og Windows update? - Jeg har EN sætning til dig..:
'Denne komponent kan kun installeres seperat fra andre ting...' SKANDALE!!!!

'men endnu mere hurra for Gentoo's -update'
Jeps.. :)
emerge rsync && emerge -u world som dagligt cronjob,
og din maskine er altid i topform.. :)
emerge -u world (efter noget kompilering.... pling.. et fuld opdateret system... /me loves it!)

#27 - DUdsen
30. jan. 2003 12:02

#23 hvornår holder folk om med at tro at en moderne linux distribution er identisk med system V.

Lige precis pakkestyrings-systemerne kan meget vel værre forklaringen på at det er windows og ikke linux der tager det hårdeste hit mht andgreb hvis vi nu antager at koden er ca samme kvalitet.
Mandrakes urpmi og debians apt-get har nemlig en del fortrin overfor windows update i og med at der ikke behøver værre kontakt mellem hver enkelt PC og leverendør.

#28 - Baxeno
30. jan. 2003 19:23

Windows har Windows Update via browser.
Mandrake Linux har Mandrake Update via program i Mandrake Control Center.

Så der er altså igen forskel på hvilket system der skal updateres.

#29 - Cyrack
31. jan. 2003 15:57

Ihhja... Windows Update... "Du skal genstarte for at fuldføre installationen" Sqda ikke på en server?!? Jeg kunne ikke forestille mig en professionel server hvor man skal genstarte for at opdatere sin INTERNET browser... Måske hvis det var et kernel-modul... Nåja, go ms...

Jeg kan ikke andet end grin af den artikkel, han mener at bundled software er en del af OS'et... hvad så når mspaint.exe crasher min win98 (det er faktisk sket, shocked)? er det så også en del af mit os...?

#30 - thufir
27. feb. 2004 11:25

Hehe... Nu skal det siges jeg lige har lavet Obligatorisk Selvvalgt Opgave om Sikkerhed. Vi satte en Windows 2000 server og en linux server op. Fandt en masse exploits og prøvede dem på maskinerne... På linuxmaskinen måtte vi give op efter 1½ dags intens "hacking" da vi så prøvede windowsmaskinen kom vi ind i første forsøg.... :P, Jeg synes det beviser at linux er mest sikkert..

#31 - Raenil
27. feb. 2004 12:41

#30
Hvordan forberedte i maskinerne til testen?

#32 - blackthorne_dk
27. feb. 2004 18:56

jeg savner mange sammenligningsparametre i den test?

Hvilken distribution af linux var det?
Hvilke services kørte de to maskiner?

Kørte i hotfixes / service packs på w2k maskinen?

#33 - thufir
24. apr. 2004 11:57

Vi tog 2 helt clean maskiner... Installerede Debian Woody Stable på den ene... og Windows 2000 Server på den anden..
Vi opdaterede begge maskiner med den nyeste software.. og installerede henholdsvis en webserver, ftpserver, remote control program(SSH / Microsoft Terminal Services) og en sambaserver på linuxserveren (For at det var fair) Derefter prøvede vi med forskellige exploits på Linuxmaskinen.... Og efter 2 dages intens prøven gav vi op. Dagen efter gik vi ind og fandt en exploit til RPC, BANG! Første forsøg havde vi en konsol som admininstrator.

#34 - Acro
24. apr. 2004 16:01

#33 thufir:
I tog den nyeste Debian, men en Windows-version der er 4 år gammel: Flot valg, og så helt uden at opdatere Windows i det mindste?!

#35 - sKIDROw
24. apr. 2004 17:43

#34 Acro

[Vi opdaterede begge maskiner med den nyeste software..]

Fik du ikke den del med?

#36 - blackthorne_dk
24. apr. 2004 18:54

ok, de kunne have tage windows xp i stedet.
så var det i det mindste kun 3 år gammelt :P

#37 - sKIDROw
24. apr. 2004 19:10

#36

Det var som server OS Windows skulle testes, ikke som workstation... ;)

#38 - blackthorne_dk
24. apr. 2004 19:16

Doh ja, my bad :)

#39 - lean
24. apr. 2004 23:36

Men hvorfor ikke windows 2003? Hvor services ikke bliver startet default p.g.a sikkerhed.
Jeg finder det også ulment at de finder fejl i RPC servicen. Denne burde være lukket af, da det ikke er en del af de services de vil teste. Så en Windows 2003, eller en rigtigt lukket Windows 2000 ville være mere interessant.

#40 - thufir
25. apr. 2004 00:27

Havde ikke lige en lovlig 2003 server... :X

#41 - thufir
25. apr. 2004 00:27

Eller rettere... min it-lærer ville ikke låne mig skolens :D

mboost-dp1

Nyheder

Seneste kommentarer i nyheder

Seneste kommentarer i forum

OpenSource sikkerhed – en myte?