Bugvergelijking tussen Windows en Linux

Op Wininformant.com is te lezen dat Windows veiliger is dan Linux. Windows 2000 Server zou minder dan de helft veiligheidsgaten hebben in vergelijking met Linux. Over de afgelopen vijf jaar is te zien dat Win2k en Windows NT veel veiliger zijn dan Linux, ondanks het feit dat Windows op een veel bredere basis wordt ingezet.

Windows veiliger? Echter, als je naar de cijfers kijkt waarop deze uitspraak gebaseerd is, blijkt dat deze bewering niet klopt. Wininformant baseert zich op cijfers van Securityfocus. Die hebben een database waar het aantal bugs per systeem wordt bijgehouden. Securityfocus waarschuwt dat er wel enkele dingen overwogen moeten worden als je deze cijfers interpreteert.

Ten eerste zijn de cijfers niet helemaal up-to-date: het verzamelen van de data stopte in augustus 2001 door een site migratie. Verder is er een groot verschil tussen de manieren waarop bugs van Windows en andere besturingssystemen worden geteld. Linux en BSD worden doorgaans geleverd met extra applicaties die dan als sub-componenten gegroepeerd zijn, maar niet altijd allemaal geïnstalleerd worden. Bij Windows hebben applicaties en sub-componenten als Explorer vaak hun eigen veiligheidsproblemen, die dan niet meegeteld worden met die van Windows.

Linux-distibuteurs releasen ook veel sneller een bugfix dan Microsoft. Zo zijn 90% van de gereleasde updates voor Linux voor lokale bugs in een bepaald programma, terwijl Windows bugs doorgaans remote-exploitable zijn. Of Windows nu ook werkelijk veiliger is dan Linux, kan aan de hand van de gegevens van Securityfocus dus niet zo 1-2-3 gezegd worden.

Reacties (100)

Ronald 6 februari 2002 17:48

Hoog tijd dat Tweakers.net ZEER kritiesch naar dit type nieuws gaat kijken. Er wordt gegoogeld met cijfertjes om allerlij conclusies te trekken over wel OS al dan niet veiliger is dan het andere. Slashdot heeft de fout gemaakt dit te posten, en er werd neergehaald . Tweakers.net stoot zich aan dezelfde steen. zeer slordig.

Anoniem: 34792 @Ronald • 7 februari 2002 01:30

Ik ben het hier niet mee eens.. het is beter dat hier breed wordt uitgemeten dat dat artikel totale onzin is dan dat straks de marketing-afdeling van microsoft dit artikel gebruikt in hun anti-linux propaganda.

Ronald @Anoniem: 34792 • 7 februari 2002 06:28

Dan moeten ze wininformant in de newsposting zelf al terechtwijzen. het stond al heel lang op slashdot.
Wil tweakers.net (BV!) een kwaliteits pagina blijven dat mag ik wel en kritische houding van de medewerkers verwachten. Dus niet domweg register.co.uk copy pasten.

Jordi 6 februari 2002 18:14

Kort samenvattend: een bug in Apache/ ProFTPD/ MySQL/ noem-een-ander-linuxprogramma-dat-bij-elke-distro-komt is een 'linux bug' en een bug in bv Serv-U (of een ander Windows programma) is geen 'windows bug'? Lekker kromme vergelijking, me dunkt.

Bovendien worden 'severities' niet eens meegeteld. Vorig jaar zat er een exploit in Windowmaker (een window manager). Vervelend, maar hoe moet je dat exploiten? Het ging om een buffer overflow in de manier waarop wmaker de 'windowtjes' een titel gaf. Nu kon je dus bijvoorbeeld een webpage maken met een extreem lange titel, diegene die met wmaker naar zo'n site (daar heb ik nooooit meer iets van gehoord) ging, liep de kans om 'foute code' uit te voeren op user level, dus zonder root(admin) rechten, omdat de browser de titel van de webpagina in de titelbalk van het windowtje wil laten zetten (op onveilige wijze). De impact van de exploit is klein, de doelgroep van de exploit is (relatief) zeer klein en ik heb nog nergens een report gevonden dat deze exploit 'in the wild' ook maar op 1 manier is uitgebuit. Maar dit telt net zo 'zwaar' in het aantal bugs als een buffer overflow in een (als root draaiende!) ssh daemon, die veel meer gedraaid wordt en waar je veel gevaarlijkere dingen mee kunt doen als je dat weet te exploiten. Ont-zet-tend riskant en dit zie je dagelijks uitgebuit worden.

Ik vind het een ongenuanceerd artikel, met gelukkig wel een disclaimer, die helaas weinig mensen lezen. Misleidend, zou ik het ook wel willen noemen.

picobyte 6 februari 2002 18:16

Zoals altijd met veiligheid gaat het om de mensen die er mee werken.
Berichten als deze zijn dus bij voorbaat al kul vd bovenste plank, maar nodigen daarentegen mensen als ik wel weer uit daar commentaar op te uitten.
In de T.net FAQ wordt dit uitgelegd als een zg "Flame"

Bdw Met het vergemakkelijken en uitbreiden vd diverse linux distro's worden er bij linux als je geen kenner bent en gwoon de gui klik>maar>raak>voor>een>knaak>select all packages&sources?[Yes] klaar installatie volgt ook allerlei services geinstalleerd en open gezet die een simpele gebruiker absoluut niet nodig heeft.
Laat staan dat hij/zij die dingen ooit nog gaat updaten.

Kjev 6 februari 2002 17:24

Windows lijkt me niet veiliger dan Linux, al was het maar omdat de broncode van Windows niet openbaar is en fouten dus niet zo snel aan het licht komen (en zelfs door Microsoft geheim gehouden kunnen worden). Andere argumenten hiervoor worden in het artikel al genoemd.

Anoniem: 33020 @Kjev • 6 februari 2002 17:28

Klopt.... Aan de andere kant is het zonder de source code weer veel moeilijker om een exploit te ontdekken. Bekijk de source, en je kan vrij snel zien hoe je een server om zeep kan helpen door bijvoorbeeld een simpele buffer overflow...

Anoniem: 10256 @Anoniem: 33020 • 6 februari 2002 18:12

Aan de andere kant is het zonder de source code weer veel moeilijker om een exploit te ontdekken

Conclusie: alle software die open source is en al een paar jaar meedraait is dus ondertussen wel bugvrij, want als er bugs in zouden zitten waren die wel gevonden.

Anoniem: 4551 @Anoniem: 10256 • 6 februari 2002 19:50

Open source of niet. Geen enkel programma is bug vrij.

Een totaal aantal bugs zegt op zich niet veel. Het zegt wat over de noukeurigheid van het programeerwerk. Maar veiligheid is heel wat anders.

Je moet niet dom aannemen dat een OS met de minste bugs ook het veiligste is. Het gaat meer om de ernst van de bugs.
Je kan een bug hebben die gewoon een foute waarde geeft of die je root access geeft. Allebij bugs maar nummer 2 is toch iets ernstiger.

edit:
NL was nooit mijn beste vak.

Haywire @Anoniem: 10256 • 7 februari 2002 09:09

Gary: Ik vind het knap als jij een programma hebt getoetst op alle mogelijk situaties en omstandigheden. Dat is namelijk de enige manier waarop je kunt weten of het "precies doet wat het moet doen". Dat het normaal gesproken precies doet wat het moet doen wil nog niet zeggen dat er geen bugs in zitten. Hooguit niet veel. Er kunnen echter nog steeds bugs in zitten die alleen boven water komen in minder dan gewoonlijke situaties.

Als alle bugs zo waren dat ze direct opspringen en "ja, hier!" roepen als een programma gewoon gedraaid wordt, dan hadden software ontwikkelaars het lekker makkelijk.

Anoniem: 40269 @Anoniem: 10256 • 7 februari 2002 13:06

Hoi,

Wil jij hiermee zeggen dat alle software bugs bevatten? Dat is dus naar mijn idee een enorm misverstand. Slechte software vertoond bugs. Goede software niet.

Het is echt een heel zwak argument om te zeggen dat alle software bugs heeft. Dat is niet zo. Zou je bijvoorbeeld voor notepad een paar bugs kunnen aanwijzen? Dit is natuurlijk slechts een voorbeeld.

Ik geef toe er is veel rotzooi te vinden, maar geloof mij sommige software heeft zero bugs. Da's software waar je zelf heel blij mee bent en als je op een forum gaat kijken ook geen bug-meldingen tegenkomt. Ik gebruik zo een aantal programma's die stabiel en bug-vrij zijn.

Anoniem: 47284 @Anoniem: 10256 • 7 februari 2002 14:51

Het is een beetje kort door de bocht om te zeggen dat alleen slechte software bugs bevat. Je moet toch ook wel rekening houden met de complexiteit van de software. Ik geeft toe dat Windows zeker niet perfect is, maar ondanks al zijn bugs is het geen slechte software.
Misschien vinden de ervaren gebruikers die hier rondsurfen dat windows veel te veel tekortkomingen heeft, maar Microsoft c.q. Windows heeft er wel voor gezorgd dat het internet in zo'n korte tijd zo algemeen toegankelijk is. Dat kan zelfs de grootste Micro$oft hater niet ontkennen.

Anoniem: 40269 @Anoniem: 10256 • 7 februari 2002 15:06

Zekers. Ik klaag niet zo over Win2k hoo. Best goed, wel bugs, maar er is prima mee te werken. Ik noem dat workarounds.

Wel vind het zo dat bugs horen bij slechte software. Hoewel er natuurlijk wel een grijs gebied is. Win2k is niet perfect er zitten bugs in, maar het is wel rete stabiel en snel, iets wat erg belangrijk is voor een OS. Beveiliging is iets wat je 'erop' moet zetten, zoals bij elk OS. Dit verwacht ik niet zozeer van een OS als wel van allerlei extra services/progjes, zoals een firewall e.d.

Beveiliging wordt vaak verkeerd uigelegd. Simpel gezegd kan je zeggen dat TCP/IP niet deugt: het is een niet-beveiligd protocol. 2 partijen die met elkaar willen praten vinden elkaar via een poort. Toch zie je nooit discussies op dit niveau. Aan de ene kant logisch aan de andere kant: waarom dan lullen over Linux en Windows kwa beveiliging als zij protocollen ondersteunen die beveiligd moeten worden?

oegaoega @Anoniem: 10256 • 7 februari 2002 23:15

Gary Glitter,
Volgens mij interpreteer jij de definitie van "bug" anders dan wat hier bedoeld wordt. Er bestaat GEEN enkel programma dat GEEN bugs bevat. Hoe weet ik dat? Omdat de tegendeel niet te bewijzen is! De enige manier is de programma op alle mogelijke fouten te controleren en dat is alleen theoretisch mogelijk.
Of een programma bugs bevat is absoluut niet interessant. Waar het om gaat is, wat het bug voor de programma betekent en hoe goed de programma ermee overweg kan.
Voor meer informatie verwijs ik je naar het boek:"Fundamentals of Software engineering" van Carlo Ghezzi. Hoofdstuk 2

StarLite @Anoniem: 10256 • 7 februari 2002 23:27

Er bestaat een 'regel' dat ELK programma van meer dan 100 regels atijd bugs zal bevatten [ook al zullen deze misschien nooit gevinden worden of echt exploitable zullen zijn, denk meer aan geheugenleaks die een PC kunnen laten crashen na langdurig runnen van het programma etc.]

Ik kan me voorstellen dat je een programma van 10 regels code toch wel bugvrij mag noemen als je er verstand van hebt, maar alles wat iets groter word bevat 100% zeker bugs...

Vastloper @Anoniem: 10256 • 7 februari 2002 23:39

Beveiliging wordt vaak verkeerd uigelegd. Simpel gezegd kan je zeggen dat TCP/IP niet deugt: het is een niet-beveiligd protocol.

TCP/IP is zo veilig als je het wil hebben TCP/IP is niet bedoelt als veilig protocol. TCP/IP is sowieso niet bedoelt om direct mee te programeren. Daar zijn de applicatie gerichte protocollen voor die daarboven liggen. Internet applicaties werken via vele lagen waaronder TCP en IP zitten maar de beveiliging hoort gewoon thuis in de hogere lagen zoals telnet ftp http en de lagen daarboven of appliacties zelf. Het grootste nadeel van TCP is dat het gevoelig kan zijn voor DOS attacks mbv spoofing maar dat kun je behoorlijk reduceren door goed programeren en toch binnen de specs te blijven.

Zoek voortaan dus eerst eens uit waar je het over hebt voor je gaat zeggen dat TCP/IP niet veilig is oid want daar is het gewoon nooit voor ontworpen maar het is er zeker wel geschikt voor dit moet alleen gebeuren in de lagen erboven zoals het is bedoelt TCP zorgt er alleen voor dat je een betrouwbare verbinding kan opbouwen over een IP netwerk die er op zijn beurt alleen voor zorgt dat pakketjes op de goede manier op een enorm aantal verschillende plekken terecht kan komen.

Verder kwam je ook nog met deze uitspraak:

Het is echt een heel zwak argument om te zeggen dat alle software bugs heeft. Dat is niet zo. Zou je bijvoorbeeld voor notepad een paar bugs kunnen aanwijzen?

Hieruit blijkt dat jij geen idee hebt van programeren. Elk programma dat meer dan 100 regels code bevat heeft op een bepaald moment wel bugs. En in notepad zitten/zaten ook bugs. Sterker nog ik heb weleens een bug gevonden in rekenmachine. Het is alleen zo dat je soms dingen moet doen waar geen weldenkend mens aan denkt (dus ook de programeur nier) voor je bugs ontdekt. Software testen is ook een vak.

Aetje @Anoniem: 10256 • 6 februari 2002 20:54

Ik ken een bugvrij programmatje.
Restart.Com
20 bytes
Doet wat het moet doen...

Anoniem: 35807 @Anoniem: 10256 • 6 februari 2002 21:01

ik denk dat dat "bugvrije"programma op een ultrasparc niet veel doet

Anoniem: 3226 @Anoniem: 10256 • 6 februari 2002 21:22

Dat is onzin. Ook in open source zitten sommige bug er echt jarenlang in zonder te worden ontdekt

Anoniem: 17600 @Anoniem: 10256 • 7 februari 2002 00:01

[licht offtopic]
je kunt restart.com zelfs in 2 bytes maken op een X86 door de bytes 205 en 25 in die volgorde in een file te zetten (hex: CD 19). Dit komt overeen met int 19h, wat de reboot interrupt is

Maar - jij ook vergeet dat dit ding bepaalde omgevingen niet ondersteunt, zoals Windows en Linux, en dus niet in alle gevallen bugvrij is.
[/licht offtopic]

Anoniem: 40269 @Anoniem: 10256 • 7 februari 2002 08:37

Dat is geen logische conclusie.

Anoniem: 40269 @Anoniem: 10256 • 7 februari 2002 08:41

Daar ben ik het niet mee eens. Er zijn gewoon nogal wat programma's zonder bugs. Dat wil zeggen, het programma doet precies dat wat het moet doen.

Neem maar eens text-editors, er zijn er velen zonder enige bugs. Kwa muziek programma's kan er ook een aantal noemen: Reason, Recycle en diverse plugins. Zero bugs.

Dit heeft trouwens niets met beveiliging te maken.

Anoniem: 32714 @Anoniem: 33020 • 7 februari 2002 00:12

"Aan de andere kant is het zonder de source code weer veel moeilijker om een exploit te ontdekken"

Ik denk dat er maar weinig mensen zijn die sourcecode snappen, zeker de scriptkiddies waar we deze tijd mee te maken hebben snappen hier helemaal niets van!

RG @Anoniem: 33020 • 6 februari 2002 20:15

Klopt.... Aan de andere kant is het zonder de source code weer veel moeilijker om een exploit te ontdekken. Bekijk de source, en je kan vrij snel zien hoe je een server om zeep kan helpen door bijvoorbeeld een simpele buffer overflow...

Je kan echt niet zomaar ff de source openen om bergen exploits te vinden. Als je de hele code van Linux (dus enkel de kernel) wilt lezen ben je anderhalf jaar bezig (heeft men berekend). En dan moet je alles ook maar meteen begrijpen.
De mensen die echt kwaad willen zijn voor 99% de scriptkiddies en die gaan echt niet in de source van Linux, Apache, whatever neuzen. Ze weten niet eens wat het is

Janoz Moderator PRG/SEA @RG • 7 februari 2002 09:46

Maar het gaat hier om de vergelijking tussen open en closed source. Dat het vinden van exploits in open source lastig is klopt natuurlijk, maar moet je je eens voorstellen hoe lastig het is om een exploit te vinden in closed source.

En scriptkiddies komen niet verder dan de gui van sub7... Die vinden die exploits niet...

Anoniem: 27134 @Anoniem: 33020 • 6 februari 2002 18:44

Maar aangezien er voor Windows meer exploits zijn dan voor Linux/Unix.... Zo moeilijk is het dus niet. Daarnaast moet je ook bekijken of de fouten van M$ meestal grote(re) blunders zijn waardoor grote gedeeltes van de software geheel openstaat zonder dat je het zelf zou kunnen verbeteren. Bij opensource heb je nog de mogenlijkheid om het probleem zelf op te lossen.

Semyon @Kjev • 6 februari 2002 17:29

Aan de andere kant is het natuurlijk ook veel makkelijker bugs zoeken als je de broncode hebt. (Zeker als je een buffer overflow wil gaan proberen ofzo is het handig als je kan zien waar het terecht komt)
Dus zo kan het zijn dat er fouten in MS' producten zitten die nooit het daglicht halen omdat niemand ze kan opsporen.
Denk dus niet dat het alleen maar positief is dat de broncode beschikbaar is.

EDIT:
grrr net te laat, iemand was me voor.

Anoniem: 28562 @Semyon • 7 februari 2002 15:02

The numbers presented below should not be considered a metric by which an accurate comparison of the vulnerability of one operating system versus another can be made.

en zeker niet met windows

Number of OS Vulnerabilities by Year
OS 19971998 1999 2000 2001
Caldera 4 3 14 28 27
RedHat 6 10 47 95 54
Slackware 4 8 11 11 10
SuSE 0 1 23 31 21
TurboLinux 0 0 2 20 2
WinNT/2000 10 8 78 97 42

Als je puur de cijfers neemt is het alleen RH waar win2000 van wint, maar decijfers mag je niet zo gebruiken als je het goed leest!

Ze moeten het maar eens uitsplitsen in bugs en Errors
zoals warnings en errors als je codeert.

Anoniem: 37180 @Kjev • 7 februari 2002 02:47

Windows broncode is WEL openbaar beschikbaar maar niet open source. In het SharedSource concept mag je de broncode gratis inzien, aanpassen voor intern gebruik maar niet commercieel doorverkopen.

www.microsoft.com/sharedsource

Anoniem: 1788 @Anoniem: 37180 • 7 februari 2002 23:58

Dat is tevens een beperkte hoeveelheid source, daarbij: sharedsource draagt niet bij aan bugfixes.

Anoniem: 1259 6 februari 2002 17:38

Je server is zo secure/insecure als je wilt. Als je linux installeert met de standaard kernel / alle packages / zonder firewall.. tja.... da's dom

. Doe je het goed, dan kom je echt niet makkelijk binnen.

AlterEgo @Anoniem: 1259 • 6 februari 2002 18:05

Je server is zo secure als de systeembeheerder.

RG @Anoniem: 1259 • 6 februari 2002 20:25

Zoals ik eerder al zei, gaat het daar niet om hier. Het gaat om security bugs, niet om een slecht geconfigureerde server.
Je kan nog zo'n goede beheerder zijn, en nog zo'n goede configuratie, maar je kan daarmee niet de securoty bugs in de software omzeilen.

k7of9 6 februari 2002 18:52

Deze hele draad bewijst weer twee dingen:

1. Windows en Linux zijn dusdanig anders van opzet dat je op maar weinig fronten zoals veiligheid een vergelijking kan maken.

2. Een hoop Linux gebruikers blijven wat er ook gepubliceerd wordt hardnekkig volhouden dat Linux toch overal beter in is. Als er een berichtje wordt geplaatst over een bug in Windows klinkt het gelach en klinken de "zie je nou wel" kreten, en als er iets gepubliceerd wordt over iets waar Windows beter in is, dan is het een verschil in interpretatie. Elke keer weer.

Sorry hoor, moet dit ff kwijt, wordt hier een beetje moe van.

RG @k7of9 • 6 februari 2002 20:36

Ik ben het wel met je eens, maar het is ook nogal fout om Linux gebruikers op een hoop te gooien. Ik heb serieuze gebruikers dat vrijwel nooit horen roepen. Veel nitwits roepen dat jammergenoeg vaak wel en die verpesten het dan weer voor de rest.

Het zal mij worst zijn welk OS iemand gebruikt, als ik zelf maar kan kiezen ben ik happy

Anoniem: 26415 @RG • 6 februari 2002 20:41

Dat Ajax-Feyenoord gedoe is natuurlijk wel kinderachtig. Je hebt nu eenmaal serieuze linux gebruikers die bijv een servertje hebben draaien en je hebt de meedoeners.

Jordi @k7of9 • 6 februari 2002 18:56

Punt 2: dat is jouw conclusie. Misschien hebben de open source minded mensen wel meer spirit en zullen die eerder hun OS (terecht) verdedigen? Als Linux ergens beter in is, moeten de Windows mensen dat ook maar verdedigen. Als dat niet gebeurt, is dat niet de fout van de Linux minded mensen hoor

k7of9 @Jordi • 6 februari 2002 19:13

Het mag misschien mijn conclusie zijn, maar die conclusie is gebaseerd op wat ik zeer regelmatig op Tweakers en andere fora tegenkom.

FYI: ik gebruik zelf ook Linux naast Windows, en ik zal absoluut de laatste zijn om te zeggen dat Windows perfect is, maar ik kan niet zo goed tegen koppigheid en dat is wat ik in een hoop reacties tegenkom. Ik ken IRL ook Linux aanhangers die echt compleet eenzijdig tegen de dingen aankijken en nooit positieve kanten van Windows zullen toegeven. En iedereen die ontkent dat die er zijn is gewoon ontzettend koppig en onwetend.

Ik denk niet dat het een kwestie is van het hebben van meer spirit, maar van de dingen eens van een andere kant bekijken. Linux minded mensen zullen misschien wat fanatieker zijn, maar eerlijk gezegd vind ik het bij sommige mensen een beetje ziekelijke vormen aannemen.

Linux en Windows hebben beiden hun positieve en negatieve kanten, wordt tij dat mensen dat eens gaan inzien. En dan heb ik het zeker niet alleen over Linux gebruikers, maar Windows gebruikers ook.

nitpicker 6 februari 2002 17:24

Volgens mij stond zoiets dergelijks al eens eerder op Tweakers? Zo'n 1 a 2 maanden geleden??

edit:
ok.. iets langer geleden

:

http://www.tweakers.net/nieuws/18672

Parlor_Inventor @nitpicker • 6 februari 2002 18:45

Begrijp dat dan, tweakers.net denkt aan het milieu, ze doen tegenwoordig zelfs aan recycling van oude artikelen.....

Anoniem: 4632 @Parlor_Inventor • 6 februari 2002 23:03

Sow, dat jij nog niet gebanned bent zeg

Anoniem: 8504 6 februari 2002 17:30

Als ik een kale kernel met alleen een init en een shell heb draaien, is mijn linux toch 100% zeker weten veiliger dan Windows.
Ik bedoel maar; linux kun je net zover strippen (tot bijna de kale kernel) als je wilt en dan alleen de functionaliteit opbouwen die je zelf wilt?

Beetje vreemde uitsrpaak dus imo.

Overbodig?? Oh, ik wist niet dat iedereen dit al wist

Anoniem: 2198 6 februari 2002 17:45

Dit is een lekker -1 overbodig artikel. Wininformant schreeuwt wat ongefundeerde zogenaamde 'conclusies' en gelijk moet het gepost worden. Broodje aap artikel, had wel mooi geweest voor 1 april...

Neelix 6 februari 2002 17:46

Dit is misleidend nieuws.
Zie ook: slashdot.org/articles/02/01/29/1826250.shtml

Op dit item kan niet meer gereageerd worden.

Bugvergelijking tussen Windows en Linux

Lees meer

Reacties (100)

Sorteer op:

Weergave: