Of de luchtverkeersleider..

Vergeet ook de beheerders niet...

Ach ja, ... FUD.

Als iedereen niet MS software zou draaien, wordt de security
beter en heeft deze meneer geen consultancy baan meer.

Een kleine nuance is hier op zijn plaats. Producten die op basis van de
SDL zijn ontwikkeld en worden onderhouden zijn zeker in basis wel veilig.
Feit blijft echter omdat het nog steeds de meest gebruikte software is,
deze software ook het meest interessant is voor kwaadwillende.

SDL:
http://msdn2.microsoft.com/en-us/library/ms995349.aspx

Een woord: Beheer.

niet ontdekte lekken zijn lekken die veilig zijn totdat ze
worden ontdekt.

En voor linux zal er sneller een patch of iets dergelijks
worden uitgebracht dan bij een microsoft systeem.

Ik ben het er mee eens. Als software meer gebruikt wordt,
komen er vanzelf meer veiligheidslekken aan het licht. Dus
stel dat Microsoft's Vista zo slecht blijkt te verkopen dat
het bedrijf failliet gaat, dan hebben daarna de keuze tussen
Apple, BSD's, linuxen en andere OS-sen. De populairste
daarvan zal vermoedelijk ook de minst veilige zijn.

Grapsig... Toevallig gisterenavond nog vijf vliegtuigcrashes bekeken... En
raadt eens.. 4 maal was het vliegtuig (en ook nog eens alle vier Boeing, de
microsoft onder de vliegtuigen), niet de piloot, en bij 1 was de piloot
medeschuldig maar alleen omdat het hem zo geleerd was door zijn
vliegtuigmaatschappij, terwijl de fabrikant het juist ten zeerste afraade zo'n
manouvre te maken.

Rothke heeft het nog meer mis trouwens. Hij beweert dat het niet veiligER
wordt bij weghalen van Microsoft producten omdat 'alles' aan internet
onderhevig is aan security. Maar dat is GEEN argument, er is geen
onderbouwing met feiten dat andere producten net zo vaak
gehacked/gep0wned wordt als Microsoft producten, of dat er net zoveel
lekken zijn in deze software. Met andere woorden, hij roept maar wat, maar
onderbouwt vervolgens deze mening niet. En dat is eigenlijk diep triest
voor iemand die zich security consultant noemt. Neem de eeuwen oude
koe uit de sloot, de apache vs IIS vergelijking, of de Exchange vs
Sendmail/Postfix vergelijking. Natuurlijk zeg ik niet dat je VEILIG (als in
absolute veiligheid) bent als je geen Microsoft gebruikt maar gezien de
enorme verschillen in lekken (3:1), live malware(Un:1) en uitbraken (Un:1)
ben je statistisch gezien wel degelijk beter af zonder Microsoft. En
misschien is het dan maar tijdelijk, maar tijdelijk is relatief... Iedereen heeft
een virusscanner, en dat is ook maar tijdelijk 'goed'.

"geen Microsoft software" zou moeten zijn "niet alleen
Microsoft software". Als mensen verschillende software (dus
ook OSen) zouden kunnen gebruiken en dan ook nog in
combinaties daarvan (Linux OS, Firefox, MS-Office) dan zal
je echt zien dat het veiliger wordt. En laten we wel wezen,
het enige wat voor MS (en de meeste software leveranciers !)
geldt, is snel en duur mogelijk hun product op de markt.

de onveiligheid van microsoft producten is een symptoon,
geen oorzaak. microsoft maakt gewoon gebruik van de totale
achterlijkheid van klanten die toestaan dat ze zulke slechte
producten op de markt brengen. en, immers, tegenwoordig is
het normaal dat je als bedrijf alles en iedereen naait in
naam van je aandeelhouders.

Uiteraard. Net zoals betonnen zwemvesten met een ISO 9001
keurmerk uitermate betrouwbare producten zijn ;-)

Het proces dat gevolgd is om een product te maken is
belangrijk, maar de kwaliteit van het proces zegt helemaal
niets over de kwaliteit van het product. En dat is met SDL
net zo.

Uiteindelijk maakt het niet uit wie er ge drote aanbieder op
IT-gebied is, het gaat er om dat het hele probleem is dat er
1 hele grote aanbieder op IT gebied is. Dat noemen biologen
een monocultuur. Ja, dat ding waar bijvoorbeeld Daniel Geer
tegen aan heeft geschopt, nog niet zo lang geleden. Biologen
begrijpen dat een diverse cultuur essentieel is voor het
voortbestaan van een soort, en meer algemeen een ecosysteem.
Dat geldt voor IT systemen net zo.

Kijk naar het recente DNS-lek. Heb je een pure Windows DNS
infrastructuur, dan heb je een probleem. Heb je een DNS
infrastructuur met een gedeelte Windows, een gedeelte bind
op pak 'm beet soalris en een gedeelte weer iets anders op
nog een ander platform, dan heb je een dns infrastructuur
die veel minder kwetsbaar is. Gevolg is dat je je minder
zorgen hoeft te maken over een DNS-worm, en er zelfs vor
kunt kiezen om tijdelijk de Windows DNS server uit te
schakelen om infectie te voorkomen. De zelfde argumentatie
kun je toepassen op andere infrastructurele componenten.

Uiteraard gaan de beheerlasten omhoog van dit soort
infrastructuren, maar aan de andere kant, ik vind het
uitermate beperkend dat er mensen zijn die zich alleen met
Microsoft bezig houden, en ik vind dat dat soort
beheerkosten voor een deel vallen onder beveiligingskosten.

Jij kunt de stelling dat producten die volgens SDL
ontwikkeld zijn in basis veilig zijn niet met feiten
onderbouwen.

Daarnaast is SDL een waardeloze software engineering methode
die alle verzamelde kennis met betrekking tot 30 jaar
iteratieve methodes negeert. Zowel Apple als Linux hebben
laten zien dat veel meer zin heeft om vaker te releasen dan
development cycles van 5 jaar aan te houden.

Je spreekt jezelf een beetje tegen, het korte neus syndroom, "Het word
veiliger" (stelling) "al is dat maar tijdelijk "(verzachting). Het word dus niet
aantoonbaar veiliger op de lange termijn.

Daarnaast is de hele discussie gewoon flamebait omdat MS software toch
wel gebruikt word, mensen hebben het gekocht en zullen het niet ineens
masaal aan de kant zetten omdat "het veiliger word".

Wel zie je langzaam meer awarenes ontstaan, mensen en bedrijven
kiezen niet helemaal automatisch meer voor MS. Apple gebruik verdubbelt
de laatste tijd.

Software zal nooit 100% veilig zijn. Het enige dat een bedrijf kan doen is
door middel van het inrichten van de juiste processen en procedures
zorgen voor een zo goed mogelijke beveiliging. Ook deze beveiliging is
relatief, aangezien het op het moment van bouwen "veilig" is.

@Anoniem
Een van de producten die volledig door het SDL proces zijn gegaan is SQL
2005. Gezien de cijfers, al zijn het gekleurde cijfers, kunnen we stellen dat
producten die ontwikkeld zijn met behulp van de SDL in basis wel veilig ,
misschien is hier ook een nuance op zijn plaats en moet het veiliger, zijn.
Veilig op het moment van bouwen wel te verstaan.
http://blogs.technet.com/security/archive/2006/11/07/sql-server-2005-1-
year-and-not-yet-counting.aspx

@extranion
Het feit dat patches voor Linux distributies, soms want dat is lang niet altijd
het geval, eerder beschikbaar komen wil niet zeggen dat deze van de juiste
kwaliteit zijn. Dat valt zelfs ten zeerste te betwijfelen.

Berichtgeving van Microsoft, dus per definitie niet
onafhankelijk. Maar daarnaast: hoe lang is SQL Server 2005
op de markt? Hoe zit het met de deployment graad van dit
pakken versus de deployment graad van SQL Server 2000?
Hoeveel gebruikers draaien SQL Server internet-facing?

Daarnaast is SQL Server wel een heel makkelijk product om te
gebruiken om jezelf op de borst te slaan dat SDL werkt... er
zijn in het verleden niet zo vreselijk veel problemen
gevonden in SQL Server.

het grootste probleem van beveiligen blijft nog altijd de mens.
men is nu eenmaal te lui om een handleiding of cursusboek goed door te
nemen voor men iets installeerd of aanschaft.
Ik vraag me af hoeveel "microsoft specialisten" eigenlijk weten dat er tig
security templates zijn die men kan importeren na een installatie van een
Windows OS of applicatie.
Zeiken op microsoft als er wat fout gaat, maar als je dan machine nakijkt
op wat allemaal ingesteld is, val je vaak van de ene verbasing in de andere.

"Toch komen ongelukken nog steeds voor, en zijn meestal het gevolg van
een fout van de piloot."
Dit is wel een erg harde uitspraak. Schrijver heeft duidelijk geen
vliegbrevet, anders zou hij weten dat de meeste ongelukken te wijten zijn
aan technische problemen en niet aan de vlieger. Een beetje voorzichtiger
omgaan met zulke uitspraken voorkomt dat bepaalde mensen terecht
boos worden.