Linux, Open Source heeft meer veiligheidsproblemen dan Windows
De Aberdeen Group heeft onlangs een rapport gepubliceerd waaruit blijkt dat van de 29 security advisories die dit jaar zijn gegeven, er 16 voor rekening kwamen van Linux en Open Source. Ook bij het aantal advisories voor nieuwe trojans en virussen scoorde Linux, Unix en Open Souce goed. Er kwamen er namelijk 2 bij, tegenover 0 voor Microsoft. Verder blijkt Microsoft niet zo'n slecht record te hebben als het gaat om veiligheidsproblemen, in tegenstelling tot wat veel mensen geloven. Een ander geloof, dat Unix en Linux systemen minder vatbaar zijn voor virussen, wormen en trojans, wordt ook ontzenuwd. Al met al is het rapport mild voor Microsoft en prijst men de software reus uit Redmond voor het aanpakken van veiligheidsproblemen. Voor de overige hoofdstukken van het Aberdeen rapport moet je je registreren.
Waarom? Eigenlijk heel simpel er staat namelijk niet in wat men getest/vergeleken heeft.
Het is opgezet als een strijd tussen de volgende partijen:
Linux, Unix en OpenSource vs Microsoft.
Als je Linux, Unix & Opensource roept waar kijk je dan naar? Linux, Solaris, HP-UX, AIX, True-64, *BSD als kernel/OS alleen of neem je ook Gnome, Mozilla, Kerberos, Sendmail, Postfix, ls, ps en misschien zelfs Yahoo messanger for Linux?
Bij Microsoft, wat neem je dan mee:
Win2k, winxp, win98, win95, winnt, MS Office, etc etc etc
Ik hoop dat iedereen begrijpt wat ik bedoel. Een aantal mensen bij aberdeen krijgen deze maand weer betaald, dat is het enigste wat dit rapport opleverd.
Just my 2 ¢ (That's euro cent ;-))
Opensource leidt er nou eenmaal toe dat mensen problemen makkelijker kunnen opsporen. Ik gok dat de gaten in ms software nog gewoon verborgen zitten...
Precies! De vraag voor sommigen is wellicht waar je meer vertrouwen in kunt hebben: software waarbij fouten die niet eerder aan het licht zijn gekomen angstvallig verborgen worden gehouden, die de gebruikers van die software later onaangekondigd kunnen overvallen - of - software waarvan de bron voor eenieder ter inzage ligt voor contrôle op fouten.
Stel dan de vraag welke vorm van software oplossingen voor fouten aanmoedigd en in welke vorm van software fouten vaker worden gevonden en opgelost.
Wat is veiliger?
qmail v/s ms exchange
sendmail v/s ms exchange
apache v/s iis
tux v/s iis
proftpd v/s ms ftpd (iis)
pureftpd v/s ms ftpd (iis)
mozilla v/s ie
openoffice v/s ms office
default redhat server install v/s default w2k server install
default freebsd install v/s default w2k server install
En dan het aantal lekken indelen in de volgende catergorieen:
Remote bugs (cross site scripting e/d)
Remote root
Local bugs (configuratie fouten e/d)
Local root
Maarja, dat durft niemand }:)
Want het antwoord is al bekend, alleen met mooie praatjes wordt alles verdoezeld.
Vooropgesteld, dat ik het eens met de aspecten en beginselen van OpenSource en de daarmee verbonden voordelen, maar is het antwoord inderdaad al zo bekend? Willen we dat niet al te graag geloven...? Geilen we misschien te veel op onze eigen idealen, waardoor we een (toekomstige) werkelijkheid niet onder ogen willen komen? Hoe 'groot' is de OpenSource gemeenschap als alle M$ & gerelateerden (anti-virus, firewall producers, etc) ineens security-minded worden; die vormen een eigen 'community'...
Ik werd net even wakker uit en 'dagmerrie', waarin we allemaal op M$-software waren aangewezen omwille van (oa) de veiligheid.... :-((
Want het antwoord is al bekend, alleen met mooie praatjes wordt alles verdoezeld. [/B]
Dat antwoord is, om daar voor de duidelijkheid toch expliciet naar te vragen. De voorstelling kan worden gemaakt dat het niet voor iedereen voor de hand liggend is.
Nah, of M$ security minded is of niet maakt gewoon nog niets uit. Het rechten systeem in Linux is zowieso veeel beter, de source is veel beter ingedeeld als losse objecten, ipv de wirwar van M$.
Als er bij M$ een fout zit in je mediaplayer dan staat meteen je hele machine open, bij Linux zal dat weinig uitmaken. Zelfs als men bijvoorbeeld de mysql daemon hackt, dan heb je nog slechts toegang tot alleen die ene gebruiker, bijvoorveeld 'mysql'. Als je net als ik iedere nacht de md5sums laat vergelijken, dan weet je precies of het wel/niet klopt. Bij die SQL bug van M$ heb je meteen de hele machine in je macht.
En dan moet je dan maar eens je weg naar binnen zien te krijgen bij Linux, dan kom je gewoon nog steeds niet ver.
Dat maakt het verschil, Linux houdt vanaf de grond af rekening met beveiliging ipv gebruiksgemak.
Just my thoughts...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
