Als je anno 2017 nog steeds IIS 6 draait ben je die machine totaal vergeten of je management heeft geen geld voor IT.
In beide gevallen is het in mijn ogen gewoon je verdiende loon.

Ik vraag me ook werkelijk af waarom dit nieuws zou moeten zijn. Het gaat immers maar om "honderden" servers.

Inderdaad
Inderdaad, gelicenceerde software voor websites waarom begin je er uberhaupt aan, moet je betalen voor upgrades, terwijl apache gewoon gratis, altijd upgraden voor niets.
Domme mensen die allemaal microsoft rommel maken, houden dit ecosysteem nog in leven. Moeten het allemaal hebben van vendor lock-ins omdat ze niet goed genoeg zijn om op andere wijze hun klanten te houden.

Met de gratis voor niets rommel die niet onderhouden wordt heb je het zelfde resultaat. Dan beter iets waar je een leverancier op kan aanpreken dan niemand. De vendor lockin met OSS heeft het rampzalige gevolg dat informatieveiligheid genegeerd wordt. Iedereen mag toch alles.

Domme mensen maken ook domme opmerkingen, zo te merken heb je daar al ervaring mee.
Want dit is gewoon application Lifecycle Management. Ofwel patches en versies updaten, zodra dit uitkomt en hiervoor een planning maken. Anders heb je exact het zelfde wat je hier hebt.

Hoeveel outdate php versies kom ik wel niet tegen. Hoeveel outdated apache versies kom ik wel niet tegen op het Internet. Dat zijn vele meer dan outdates IIS webservers. En 99% is dat niet vendor locking, maar gewoon waardeloze beheerders of applicatie beheerders.

Even afgezien dat de meeste gehackte websites toevallig draaien op apache. Dus application Lifecycle Management vind hier op ook niet plaats, en gaat het op exact de zelfde manier zelfs nog erger fout.

Je moet het goed aanpassen, en dat is niet het ecosysteem, maar je application Lifecycle Management uitvoeren.

Thanks Anoniem 18:02....

sletel woord is onderhoud en heeft niets met OSS te maken

vendor lockin met OSS is stuk minder problematisch dan vendor lock in met commerciele partij die andere belangen heeft dan jij en disfunctioneerd. rest je maar een optie, het gerecht. bij OSS kun je DAARNAAST zelf andere developers aan gaan nemen en forken. ja alles kost geld, maar bij OSS blijft de eind regie meer bij jou.

staat allemaal los van onderhoud

maargoed hier nog een illusie voor je hoe geweldig die vendoren toch weer zijn :

https://www.bleepingcomputer.com/news/security/new-illusion-gap-attack-bypasses-windows-defender-scans/

met daarin "Microsoft does not view this as a security issue".

leuk he een brakke defender die andere producten ivm commerciele belangen niet toe laat (denk aan recente kaspersky pogingen om naar de rechter te gaan etc):

https://www.theregister.co.uk/2017/06/06/windows_defender_competition_complaint/

Ga jij nu eens die vendor aanspreken? Meld je ons even hoe goed je resultaat daarbij is?

Je spreekt je zelf volledig tegen en ziet dat niet eens.

ALM is een taak van degeen die het product in beheer heeft. Als consument ben je daar zelf voor verantwoordelijk om op tijd als het EOL is vervanging te regelen.

Als ICT dienstverlener, maker van een medisch apparaat, Turnkey oplossing of COTS pakket ligt het daar om de onderdelen goed samen te stellen voor onderhoud die de klant wel moet afnemen dan wel nieuwe producten. Het gaat gewoonlijk mis bij het onderhoud plannen bij de klanten/afnemers. Hier is een OSS verhaal storend en veroorzaakt veel ellende. Onderhoud hoeft niet en alles is toch gratis. Daarmee gaan de onderhoudsbudgetten weg en wordt er geen eol vervanging gepland.

Geen onderhoudsbudgetten en geen EOL vervanging is de definitie van een LOCK-IN, verndor lockin met een dienstverlener. Ga je maar eens in een bedrijf aan budgetten en verwachtringen sleutelen als het eenmaal zo fout gelopen is. Heb jji wel eens een lijst van de debacles en failisementen gemaakt/gezien?
Het trieste is dat OSS gehobby met ruime budgetten (dus niet gatis) in sommige kringen normaal lijkt te zijn. Bijkt er op de achtergrond de commerciele markt te zitten. Ik zie de grootste rommel uit deze hoek, dat moet je niet gaan verdedigen.

ligt eens toe... zou het misschien ook kunnen dat JIJ het niet begrepen hebt?


OSS staat voor Open Source Software, dat heeft niets met onderhoud en life cylce management van servers of applicaties te maken. Die koppeling leg jij ten onrechte want er zijn net zoveel voorbeelden van het tegenovergestelde (dat er non-OSS lijken aan het net hangen: Zullen we eens gaan tellen hoeveel servers en bedrijven het afgelopen jaar door crypto ware via smb in de problemen waren?) en daarmee is dus meteen het bewijs geleverd dat OSS en life cycle management zaken vrijwel ongecorreleerd zijn.

probeer dat eens te volgen en lees het nog eens op halve snelheid voordat je weer los schiet met uitlatingen waarvoor je je achteraf onherroeplijk zult gaan schamen.


het is niet een definitie, het is hooguit een gevolg. en staat dus ook weer volkomen los van OSS.


Ook hier weer, er zijn partijen zoals Amazone, Google, en noem ze maar, die alles behalve hobbien en wel OSS in hun basis hebben. Niemand heeft het woord gratis in OSS gestopt. Ook dat doe jij weer zelf en dat jij, in je beperkte wereld, ergens rommel in ziet is dus alles behalve een conclusie waard! Iemand heeft hierboven gezegd dat een bepaalde OSS (apache) gratis is, dat is heel wat anders.

dus stop met FUD en blijf on topic, het gaat over ISS servers die staan te minen en je onterrechte houding dat het elders in een OSS wereld allemaal slechter is heeft daar niets mee van doen. je staat een goede security in de weg met je oogkleppen onzuivere uitlatingen!

Het is een beetje scheef om onderhoud aan een closed source commercieel product te gaan vergelijken die van de gratis open source producten die men gebruikt aan de onderkant van de markt (kleine websites op gammele PHP stacks).

Net als in de IoT-markt zijn er aan de onderkant partijen die voor een dubbeltje op de eerste rij willen zitten en niet na wensen te denken over vervelende zaken als (toekomstig) onderhoud.

Dat gaat natuurlijk niet op voor professioneler gebruik van open source software (o.a. websites op Java EE stacks of - desnoods - met betere PHP frameworks (bv. Laravel, Symphony) gemaakte sites).

Dan moet jet het als klant/afnemer nog steeds budgetteren en EOL vernieuwing op tijd plannen. Het is die valkuil waar men regelmatig intrapt om het maar weg te laten om het politieke doel te bereiken. .De schade wordt dan wel groter.
Niet eens ICT gerelateerd https://nl.wikipedia.org/wiki/Noord/Zuidlijn#Kosten zeer professioneel de ellende in.

Het is die zelfde politieke wenscultuur die ook in ICT veel ellende veroorzaakt BRP UWV zijn maar een paar voorbeelden. Als je de grote professionele organisaties kent zou je moeten kunnen opvallen dat het er bol van staat.

Dan zijn we weeer bij het SMB V1 verhaal neeregezet door IBM waar het OSS deel pas in 2007 iets aan SMBv2 ging doen. De vendor lockin door gebruik van OSS dat het ALM niet op orde heeft is het grootste issue.

OTP artikel hier verloren servers uit 2003 sinds 2015 niet meer ondersteund. Het zit ook nog eens in WEBDAV ofwel iets dat je niet zo maar op internet hangt. Het ALM faalt bij de eigenaren van die verloren servers.
Ik begon niet om het OSS alternatief er bij te halen. Ik reageerder op die onzinreactie 14:38 dat dat er bij haalde.
Kap eens met OSS flaming en ga nu eens echt aan de slag met informatieveiligheid.

Mijn dat gaat natuurlijk niet op... sloeg natuurlijk op het gedeelte van de quote wat je hebt weggelaten (nl. refererend aan het partijen die voor een dubbeltje op de eerste rij willen zitten). Dat leek me duidelijk genoeg maar als je het weg laat dan kan je desondanks verwarring zaaien en allerlei valkuilen aandragen.

het was Meuk Soft die SMB aan zette std bij installatie en de ransomware was een windows issue. van die kromme banaan kun je niets recht lullen. daar kun je IBM ook niet de schuld van geven. IBM bepaald niet wat de windows installatie aan of uit zet bij installatie.

verder vind ik het typerend dat je nu wat lijkt verontwaardigd reageerd op dit ene side dingetje uit een algemener point uit de post: je tokko wel of niet maintainen of uitfaseren is ongerelateeerd aan OSS. ik begrijp dat en ingaan op een klein side dingetje ipv het werkelijke vlees van het argument een 'discussie' techniekje is om je gelijk proberen te halen, maar voor iemand die eindigd met de zin die je schrijft, ben jij dan nu aantoonbaar wel de laaste die inhoudelijk aan informatieveiligheid bijdraagd. dus enidg ik maar met een Rutte manouvre: kap zelf eens met je FUD

Dat leek me de kern ongeacht of het nu in de professionele hoek gebeurt. Het is niet zo dat omdat het professioneel zou zijn die overwegingen bij beslissers niet spelen.

Dank je voor de reactie. Zelfs een buitenstaander moet nu duidelijk zijn hoe verblind hè in een een enkele vendor haat vastzit.

Voor een dubbeltje op de eerste rang willen zitten en professionele omgevingen gaan normaliter niet samen. Dat is besloten in de term 'professioneel'. Jammer is dat er bij mensen die niet werken in dit soort omgevingen steevast zoveel onbegrip is hierover.

Dat zegt hij helemaal niet, hij haat nergens op. Hij weerspreekt alleen jouw kromme verhaal over IBM die daar NIKS MEE TE MAKEN HAD. omdat het Microsoft is die de smb standaard aanzet in hun installaties, dat is alsof je de albert heijn aanklaagt omdat je moeder melk heeft gebruikt in het avondeten en jij dat niet wilde. Snap je hem nu?