Microsofts "Days of Risk" risico-analyse tegen Linux

In zijn pogingen om aan te tonen dat Windows veiliger is dan Linux komt Microsoft met een nieuwe definitie van veiligheid, zo meldt Infoworld ons. In plaats van bijvoorbeeld het aantal kritische fouten te tellen laat Microsoft nu turven hoe lang het gemiddeld duurt dat kleinere problemen worden opgelost, de zogenaamde "days of risk". De hoop is dat eruit zal komen dat Linux gemiddeld langzamer is met het repareren van problemen zodat Microsoft hiermee, in combinatie met het lanceren van meer veiligheidsinitiatieven, zijn imago kan oppoetsen. Ars Technica merkt op dat het wel waar is dat Microsoft de laatste maanden fouten snel oplost, maar dat gebruikers niettemin vaak niet patchen. Dat alle remmen los zijn in de aanval op Linux is op te maken uit de woorden van Steve Ballmer, die het aantal fouten in Windows Server 2003 vergelijkt met Red Hat 6. Het is echter de vraag hoeveel waarde aan zijn argumenten gehecht moet worden. Hij vergelijkt een nieuw besturingssysteem met een van vier jaar oud en ook aan de aantallen die hij noemt valt te twijfelen:

And at the end of October, Ballmer gave the audience at Gartner's autumn symposium a taster of what was to come when he attacked Linux's assumed security superiority. "In the first 150 days after the release of Windows 2000," he said, "there were 17 critical vulnerabilities. For Windows Server 2003, there were four. For Red Hat Linux 6, they were five to ten times higher."

IT-banen

Reacties (128)

zyberteq 13 november 2003 21:49

Windows 2003 vergelijken met RedHat 6???

goede zet van Microsoft om de ik-weet-niks-van-linux-systeembeheerder te bedriegen

ach ja, als ze het nou zouden vergelijken met SuSE Enterprise Server ofzo (en dan wel een recente natuurlijk

)

YaPP @zyberteq • 13 november 2003 22:05

ik meen ook dat ze de fouten in o.a. Outlook Express niet hebben meegeteld als fouten in het OS.

imho een beetje kinderachtig....

_JGC_ @YaPP • 14 november 2003 08:43

Als ik nu mn debian security mailinglist bekijk...

[11 Nov 2003] DSA-400 omega-rpg
buffer overflow
[10 Nov 2003] DSA-399 epic4
buffer overflow
[10 Nov 2003] DSA-398 conquest
buffer overflow

Woei, maar liefst 3 buffer overflows in linux.

Lekker belangrijk, dat zijn 2 spelletjes en een textbased IRC client. Die dingen tellen wel mee in de telling van MS, maar zijn third party dingen die niemand op zn server heeft staan.

Verwijderd @YaPP • 13 november 2003 22:12

Ja, en anders dan zou MS ook de fouten die niet in de kernel (Linux) zitten moeten laten vallen: OEI blijkbaar staan er geen fouten voor de Linux op de errata-age

YaPP @Verwijderd • 13 november 2003 22:17

het probleem is dat Windows en Linux twee verschillende universums zijn. de structuur is ook totaal anders. (en de mensen die Linux als Windows willen behandelen lopen hier ook doorgaans tegenaan)

Onder Windows kan je de kernel niet meer los zien van IIS of de GUI; iets wat bij Linux juist weer wel kan. (Linux is ook alleen de kernel). Ik ben misschien een Linux voorstander, maar ik durf heus te zeggen dat Microsoft's kernel ook niet zoveel kritieke fouten zal hebben.

en er zal dan overgens wel 1 grove fout op de lijst van Linux staan; de ptrace exploit.

MikeN @Verwijderd • 13 november 2003 22:42

Ik ben misschien een Linux voorstander, maar ik durf heus te zeggen dat Microsoft's kernel ook niet zoveel kritieke fouten zal hebben.

Nee, als je echt naar de kernel kijkt zijn dat er inderdaad maar 2 tot 3 keer zoveel per jaar als Linux, valt nog wel mee dus

Verwijderd @Verwijderd • 13 november 2003 22:22

Dat is het nu juist: MS Windows is een zeer extreme vorm van bloat.

Over die ptracebug: zou kunnen, maar ik baseer mij op die erratapage van RedHat (waarop MS zich vermoedelijk heeft gebaseerd).

Verwijderd @YaPP • 14 november 2003 08:44

Ik zie niet in waarom je fouten in bijvoorbeeld Outlook of IE mee zou moeten nemen wanneer je het aantal fouten van een server toetst. Dat is alleen voor een desktop omgeving relevant.

Verder slaat de vergelijking tussen Windows 2003 en Redhat 6 nergens op. Dan zouden ze ook Windows 2000 mee moeten nemen in de vergelijking. Zal je zien dat Redhat 6 het niet eens zo slecht doet.

nwagenaar @Verwijderd • 14 november 2003 09:06

Omdat Microsoft dit ook doet met Redhat 6. Als er een buffer overflow zit in bijvoorbeeld PINE (=textbased mail client), dan neemt Microsoft dit mee als critical update for linux.

Het probleem met Linux vs Windows (2000/2K3 Server) is dat beide systemen extra "rotzooi" wordt geinstalleerd, alleen bij Linux is dit vele malen hoger omdat er uit verschillende mogelijkheden gekozen kan worden (en dus is de kans groter op het patchen van programma's in Linux).

Als je heel erg kritisch kijkt dan is het appels vergelijken met peren. Ik kan een Linux systeem installeren dat alleen voorzien is van Samba en de benodigde applicaties. Als je op deze manier gaat kijken zal het aantal kritieke updates voor Linux aanzienlijk minder zijn ten opzichte van Windows 2000. Ik heb alleen de keuze om mijn Samba versie te upgraden, maar dit hoeft dus niet.

Bovendien is het een vertekend beeld. In de Servicepacks van Microsoft zitten tientallen patches geintegreerd (en ja ik weet het, ook de voorgaande) en dan zou het aantal kritieke updates enorm hoger uitvallen.

Ach, Microsoft ziet nu dat mensen wel heel erg gecharmeerd worden van Linux. De support van fabrikanten, distro makers, etc is enorm verbeterd ten opzichte van 2 jaar terug. Was het vroeger support, daarna was het TCO nu is het dus security. Dit is de gewone Microsoft propoganda en concurrenten bashing dat Microsoft altijd heeft gedaan en is voornamelijk bedoeld voor IT Managers die nagenoeg geen verstand hebben van (technische) zaken. Ik denk alleen niet dat zij verwacht hadden dat deze managers zich nu enorm goed laten inlichten terwijl dit voorheen anders was

Verwijderd @YaPP • 13 november 2003 23:08

Mjah, anders moest er een nieuw getalstelsel worden uitgevonden, het huidige voldoet dan namelijk niet meer

For the humor-impaired frontpage mods: dit was dus grappig bedoeld.

gumkop @zyberteq • 13 november 2003 21:52

ach ja, als ze het nou zouden vergelijken met ...

Het maakt niet uit waarmee ze het vergelijken.

99% van de IT managers weet geen bal van IT, dus hun zegt versie 6 echt niets. Ze horen alleen Linux slechter dan Microsoft.

pfismvg @zyberteq • 13 november 2003 21:58

Mwoah... kwa beveiligings en features vanuit server oogpunt gezien zittten redhad 6 en windows 2003 redlijk op gelijk nivo. Wel een beetje zielig dat zo'n groot bedrijf er zo lang over doet om op dat nivo te komen.

wacht al met smart op de vergelijking Longhorn en Redhad 6.1 (of zullen ze een stapje overslaan en direct naar 6.2 springen)

PS. De nieuwe taktiek in windows 2003 is beveiligings lekken en bugs omschrijven als Features. Dan lopen de bug tellertjes niet zo hard.

johanvdw 13 november 2003 22:07

Ze kunnen bij MS zeggen wat ze willen, maar gisteren heb ik windows XP geinstalleerd en vooraleer ik de patch tegen de RPC-exploits kon downloaden stond het virus al op de harde schijf.
Moest ik weten dat er in Linux zo'n fout zat, dan downloade ik gewoon een nieuwe iso ofzo. Op dit ogenblik is mijn windows CD gewoon defect (ik kan windows niet installeren zonder het virus erbij te nemen). Ik plan dan ook een nieuwe aan te vragen. Benieuwd wat het zal geven.

YaPP @johanvdw • 13 november 2003 22:27

installeer een firewall voordat je deze machine direct op het internet aansluit. (dus via een gebrande cdrom, of lan)

dat geld voor linux overgens ook; er zijn mensen die gehackt werden nadat het OS 15 minuten draaide. Gehackt worden, en een RPC worm krijgen zijn wel 2 verschillende dingen, maar het gaat o, het principe: beveilig eerst je OS voordat je op Internet gaat.

edit: in windows kan je de RPC niet uitzetten, netwerk services utizetten die gehackt kunnen worden kan wel

Verwijderd @YaPP • 14 november 2003 09:30

dat geld voor linux overgens ook; er zijn mensen die gehackt werden nadat het OS 15 minuten draaide. Gehackt worden, en een RPC worm krijgen zijn wel 2 verschillende dingen, maar het gaat o, het principe: beveilig eerst je OS voordat je op Internet gaat.

Zijn inderdaad verschillende dingen. Mijn laatste installatie van windows was ook na 10 seconden voorzien met een worm (nimba geloof ik). Ik heb geen idee hoe je dat moet voorkomen. Met windows is het niet mogelijk updates te downloaden zonder dat heel je systeem online is.

Linux is heel makkelijk. Ik installeer het altijd direct vanaf internet. Ik heb dus direct vanaf de eerste minuten een veilig systeem, nog voordat de eerste services online komen.

Verwijderd 13 november 2003 22:12

Microsoft gaat het veiligheid element gebruiken om linux te bestrijden.....

Windows is inherent onveilig omdat het *NOOIT* ontworpen is voor gebruik aan anarchistiche netwerken zoals het Internet.

Tuurlijk, Microsoft heeft de kennis en de technieken in huis om een veiliger windows te maken. Een aantal zitter er gedeeltelijk in. Maar dan moet je ze natuurlijk wel gebruiken !!! En daar zit nu net het probleem. Als Microsoft het OS net zo afschermt van de gebruiker als bij Unix dan werkt 99,9% van de software niet meer. De meeste MSCE developers kunnen geen werkend programma meer maken omdat ze niet weten hoe dat moet als je geen "root" rechten hebt. In weze is Microsoft zelf slachtoffer van zijn eigen "lock in" strategie!!

Verder is het probleem met windows de enorme hoeveelheid 100% identieke binaries vs vele (vaak op maat voor de architectuur) gecompilieerde versies van Linux binaries. Probeer dan maar eens een succesvolle bufferunderrun exploit te maken!

WIndows ontbeert een simple "sandbox" aka chroot omgeving waarmee je makkelijk een potentieel gevaarlijk programma of service 100% kan afschermen van de rest van het OS

Veel Linux security problemen hebben te maken met de meegeleverde applicaties en services die je niet HOEFT te installeren. Onder linux wordt ook het verkrijgen van (gedeeltelijke) rootrechten als gebruiker als security probleem gezien terwijl onder Windows elke gebruiker gedeeltelijke rootrechten heeft !!!! (onder windows kan je nog steeds een willekeurige exe starten (als systeembeheer je heeft beperkt tot alleen office door hem te rename als excel.exe en dan starten, je kan ook altijd in een commandprompt komen en je zelf dan administrator maken)) etc. etc. etc.

MikeN @Verwijderd • 13 november 2003 22:49

Sorry, op een paar punten moet ik toch even reageren.

Windows is inherent onveilig omdat het *NOOIT* ontworpen is voor gebruik aan anarchistiche netwerken zoals het Internet.

Bij de Win9x serie: zeker. Bij de WinNT serie: zeker niet. Natuurlijk zijn sommige punten bij Linux beter, maar zo heeft Windows ook zijn positieve punten. Windows kun je gewoon een firewall op draaien, waarna je internetproblemen zijn opgelost. Als je services dan ook goed dicht zitten (wat je totaal niet tot Windows moet rekenen) is het probleem redelijk opgelost.
Wat betreft beveiligingsfeatures heeft Windows zoveel meer dan Linux. Linux werkt standaard nog met een zeer simpel permissiesysteem (en de ACL's van 2.6 bieden niet echt héél veel uitbreiding hierop). Windows heeft echter een uitgebreid ACL systeem wat je op elk systeemobject kan loslaten.

WIndows ontbeert een simple "sandbox" aka chroot omgeving waarmee je makkelijk een potentieel gevaarlijk programma of service 100% kan afschermen van de rest van het OS

Ik hoop dat je weet dat het niet bepaald moeilijk is om uit een chroot te komen in bv. Linux hè?

onder windows kan je nog steeds een willekeurige exe starten (als systeembeheer je heeft beperkt tot alleen office door hem te rename als excel.exe en dan starten,

Onder Linux kan iedere users gewoon chmod a+x file doen en hij is executable. noexec helpt hier niets tegen, via /lib/ld*.so kun je altijd nog iedere file "opstarten"

je kan ook altijd in een commandprompt komen en je zelf dan administrator maken))

Dat wil ik jou zien doen?

Het is leuk als je Linux probeert te verdedigen tegenover Windows, maar doe dat dan wel met valide argumenten, en niet met halve waarheden.

TheAnimaL @MikeN • 14 november 2003 00:06

Toch heeft kickbill een aantal belangrijke punten, wellicht niet 100% correct, maar wel belangrijke punten welke onder Windows inderdaad niet te vinden zijn. Je zou dan eventueel onder een chroot kunnen uit kunnen komen, maar de functionaliteit is er wel.

Bijvoorbeeld een Apache onder chroot is gewoon 1 van de mogelijkheden om je tegen eventuele vulnerabilities te beschermen, onder Windows missen we dit. Sterker nog, delen van IIS draaien in systeemcontext en daar is niets aan te doen, de meeste services onder Linux/UNIX zijn gewoon onder een andere user onder te brengen dan root. Het is dus mogelijk om meerdere 'lagen' aan te brengen, ook iets wat onder Windows niet te doen is.

Wat betreft beveiligingsfeatures heeft Windows zoveel meer dan Linux. Linux werkt standaard nog met een zeer simpel permissiesysteem (en de ACL's van 2.6 bieden niet echt héél veel uitbreiding hierop). Windows heeft echter een uitgebreid ACL systeem wat je op elk systeemobject kan loslaten.

Zoveel meer features ? Alleen een uitgebreidere ACL-feature noem ik geen beveiligingsfeature, maar meer een feature.
De kracht van het Linux/UNIX permissie systeem zitten 'm nou juist in die simpelheid. Bovendien is het principe al tientallen jaren oud en dus door en door getest. De ACL's dienen slechts als uitbreiding op het bestaande permissie-systeem.

ACL's behoren trouwens niet toe aan de file-data, maar is een soort meta-database. Het permissie-systeem onder UNIX/Linux behoren daarintegen wel tot de file-data, opgeslagen in de i-nodes, waardoor alleen op filesysteem niveau permissies kunnen worden aangepast.

Wat ik bedoel te zeggen, security onder Linux/UNIX zit nou eenmaal dichter bij de kern en zo mogelijk in verschillende lagen. Onder Windows zit het aan de buitenkant, ben je eenmaal door de buitenkant heen dan ligt het systeem volledig bloot.

Verwijderd @MikeN • 13 november 2003 23:15

Linux werkt standaard nog met een zeer simpel permissiesysteem

En dat is nu precies de kracht. Voor iedere programeur eenvoudig te begrijpen en eenvoudig te gebruiken. *ELK* Unix programma maakt (verplicht) hier gebruik van !

Onder Windows kun je gewoon een firewall op draaien, waarna je internetproblemen zijn opgelost.

Ja dat kan maar je Ip traffic gaat nog wel door de kernel en bepaalde poorten kan je niet blokkeren. De MS firewall implementatie is een perfect voorbeeld van hoe het niet moet!! Een firewall moet het verkeer op het eerst mogelijke punt stoppen! De bekende porten 138 en 445 blijven open staan ondanks dat je ze dicht hebt gezet en zijn dus potentieel exploitable. En laten nu de services die aan deze poorten hangen nu zo lek als een mantje zijn......

>Dat wil ik jou zien doen?

Creatief met shortcuts doet wonderen !
Bill zijn internet exploder idem!
En vergeet niet dat je voor het gebruik van Windows update je security op "low" moet zetten

via /lib/ld*.so kun je altijd nog iedere file "opstarten"

Maar alleen met de rechten die je al hebt! Onder windows kan je *ELKE file opstarten met administrator rights !!!

Cubical @Verwijderd • 13 november 2003 23:34

onder windows kan je nog steeds een willekeurige exe starten (als systeembeheer je heeft beperkt tot alleen office door hem te rename als excel.exe en dan starten
Onder Windows 2003 is de software restriction policy uitgebreid met o.a. de mogelijkheid van hash of certificate rules, waarmee het simpelweg renamen van een executable het niet gaat redden.

je kan ook altijd in een commandprompt komen en je zelf dan administrator maken
Teach me, oh Wise One! Allereerst zou ik het knap vinden als je onder een goed geconfigureerde policy uberhaupt een prompt weet te starten. En dan ook nog jezelf Administrator rechten geven?

YaPP @Cubical • 14 november 2003 12:48

Onder Windows 2003 is de software restriction policy uitgebreid met o.a. de mogelijkheid van hash of certificate rules, waarmee het simpelweg renamen van een executable het niet gaat redden,

met andere woorden, als ik 1 bit verander (de titel bijvoorbeeld) is het einde zoek?

Verwijderd 13 november 2003 21:47

Hoewel 100% security natuurlijk niet te behalen valt kun je wel meer doen om erna te treven. En het bekritiseren van Linux is eigenlijk een verkeerde manier om je producten te promoten.

Alhoewel Microsoft Linux nu pas echt als een concurrent ziet en gelukkig Linux niet meer als "onamerikaans" en andere onzinnige noemers word afgedaan.

Nu Linux commercieler word, word het ook een echte bedreiging voor MS en worden ze op hun eigen grond bestreden. Dat zit ze natuurlijk niet lekker. Ik hoop maar dat microsoft niet de SCO kant opgaat (rechtzaken anyone?) en als een waardige concurrent Linux de vuur aan de schenen legt met noemenswaardige argumenten en goede producten.

YaPP @Verwijderd • 13 november 2003 22:00

Nu Linux commercieler word, word het ook een echte bedreiging voor MS en worden ze op hun eigen grond bestreden. Dat zit ze natuurlijk niet lekker

Ik denk dat Microsoft daar niet veel problemen mee heeft. Ieder commercieel bedrijf dat zich tegen hun verzette, heeft verloren van Microsoft. uit een analyse die Microsoft in 1998 maakte van Linux en OpenSource hebben ze een aantal opmerkelijke bevindingen geschreven.

In other words, to understand how to compete against OSS, we must target a process rather than a company.

Juist het 'process' wat Open Source vormt zit Microsoft niet lekker. Ze kunnen zich niet richten op 1 bedrijf.

Links: Open Source Software: A (New?) Development Methodology, en Linux OS Competitive Analysis Dit zijn uitgelekte analyses/rapportages van Microsoft zelf

Verwijderd @YaPP • 14 november 2003 09:19

Ik denk dat Microsoft daar niet veel problemen mee heeft. Ieder commercieel bedrijf dat zich tegen hun verzette, heeft verloren van Microsoft

Je geeft het zelf al aan waarom microsoft er wel problemen mee heeft.

Linux is geen bedrijf. Het is een product (dus ook geen proces).

Microsoft is waarschijnlijk wel redelijk in staat de opensource community te bevechten mits deze uit een vrijwilligers bestaat. Nu voegen Novell, IBM, Intel en een heleboel bedrijven zich bij de community.

Je moet momenteel niet meer spreken van een "opensource community" maar van een "industrie" of een "segment in de vrije markt".

Anders gezegd: De strijd van microsoft tegen linux is een strijd van een monopolist tegen het kapitalistische systeem! Een alleenheerser tegen de vrije markt.

Dat mag de monopolist niet winnen, en dat kan deze niet winnen.

Sowieso heeft microsoft wel degelijk moeite met het beconcurreren van bedrijven. Microsoft heeft nog nooit laten zien dat het kwalitatief kan winnen. ALTIJD is er sprake geweest van inzet van machtsmisbruik wanneer de monopolist marktsegmenten bezette.

Verwijderd @Verwijderd • 14 november 2003 10:35

Totaal offtopic, maar t moest gewoon;

"Anders gezegd: De strijd van microsoft tegen linux is een strijd van een monopolist tegen het kapitalistische systeem! Een alleenheerser tegen de vrije markt."

Klinkt vind ik machtig, en doet me denken aan de matrix

Skaah @Verwijderd • 14 november 2003 10:44

Matrix? Je bedoelt zeker Marx!

Verwijderd @Verwijderd • 14 november 2003 10:46

Ik ben geen matrix-freak, maar voor zover ik begrepen heb is het in de matrix juist about '1 vrije ziel' tegen het systeem met alleenheersers.
?

YaPP @Verwijderd • 14 november 2003 12:24

Linux is geen bedrijf. Het is een product (dus ook geen proces).

dat vind ik een betere toevoeging

Microsoft is waarschijnlijk wel redelijk in staat de opensource community te bevechten mits deze uit een vrijwilligers bestaat. Nu voegen Novell, IBM, Intel en een heleboel bedrijven zich bij de community.

vrijwilligers lijken anders erg veel voeten in de aarde te hebben gehad. Ik denk niet dat je 'de community' erg moet onderschatten.

Je moet momenteel niet meer spreken van een "opensource community" maar van een "industrie" of een "segment in de vrije markt".

Hiet durf ik geen standpunt over in te nemen. Ik richt me nog steeds erg op de community, en niet op een industrie.(The Cathedral vs The Bazaar)
lekker in het nederlands:
www.opensource.nl/bazaar.html)

Anders gezegd: De strijd van microsoft tegen linux is een strijd van een monopolist tegen het kapitalistische systeem! Een alleenheerser tegen de vrije markt.

Wie is dan de kapitalist? Linux?

Sowieso heeft microsoft wel degelijk moeite met het beconcurreren van bedrijven. Microsoft heeft nog nooit laten zien dat het kwalitatief kan winnen. ALTIJD is er sprake geweest van inzet van machtsmisbruik wanneer de monopolist marktsegmenten bezette.

met andere woorden, ze winnen wel?

...ook al is hun software -naar jouw woorden- niet de beste?

ArnoudJ @Verwijderd • 13 november 2003 22:17

en als een waardige concurrent Linux de vuur aan de schenen legt met noemenswaardige argumenten en goede producten

Als net zo'n waardige concurrent als hoe ze hun andere concurrenten hebben verslagen?

Hodgesaargh @Verwijderd • 13 november 2003 23:54

100% security is wel degelijk te halen....

Geen OS installeren, server in een brandveilige kluis zetten, sleutel weggooien en iedereen die van het bestaan van dat ding weet midden op de atlantische oceaan overboord gooien

Maar of het nou een oplossing is....

Bartjuh @Verwijderd • 14 november 2003 09:08

Onamerikaans zou ik als een compliment opvatten

Verwijderd @SirBlade • 14 november 2003 09:24

het opensource linux besturingssysteem heeft de kenmerken van een vrije markt: meerder bedrijven werken aan vergelijkbare producten waarbij ze elkaar aanvullen en beconcurreren.

windows wordt gemaakt door 1 bedrijf: microsoft. Daardoor is dat te vergeljiken met een communistische dictatur zoals stalin.

Samenvattend:
Windows --> Microsoft --> communistische dictatuur met Ballmer als Stalin

Linux ----> vrije markt, meerdere bedrijven ---> kapitalistisch systeem met evolutie, democratie en concurrentie.

Verwijderd @Verwijderd • 14 november 2003 14:26

Samenvattend:
Windows --> Microsoft --> communistische dictatuur met Ballmer als Stalin

Linux ----> vrije markt, meerdere bedrijven ---> kapitalistisch systeem met evolutie, democratie en concurrentie.

Een fantastische vergelijking voor de mensen die nog steeds vinden dat Gnu/Linux / BSD en overige staan voor rood / communisme. Dit toont mooi de andere kant

Verwijderd @SirBlade • 14 november 2003 07:05

Je hebt helemaal gelijk.

De koeien geven nog steeds zure melk wanneer de stoomtrein langs komt.

dingstje 13 november 2003 21:48

"In the first 150 days after the release of Windows 2000," he said, "there were 17 critical vulnerabilities. For Windows Server 2003, there were four. For Red Hat Linux 6, they were five to ten times higher."

Ja logisch, veel mensen lezen eens wat code door en melden zo bugs. Ook werd dat OS veel meer gebruikt en duurde het een tijdje voor dat er genoeg bedrijven waren die Windows Server 2003 gebruikten en er dan ook effectief dingen mee deden om bugs te vinden... Bij een release van een Redhat OS gaat iedereen massaal aan het testen... Ik wacht de resultaten van het onderzoek af.

Verwijderd @dingstje • 14 november 2003 09:44

Redhat is bovendien een distributie met vele programma's. Security issues van die programma's moet je voor een eerlijke vergelijking niet meetellen. Microsoft heeft dat ongetwijfeld wel gedaan.

Windows toevoegingen, zoals minesweeper en koppelverkoopproducten bedoeld om bedrijven uit de markt te drukken zoals mediaplayer en internetexplorer, tel je ook niet mee. Dat zal ms ook vast niet gedaan hebben. Internetexplorer zou je trouwens wel mee moeten tellen omdat het niet te verwijderen is en noodzakelijk is voor updates.

YaPP 13 november 2003 21:52

Op mijn werk had iemand hier ineens een leuke theorie over:

- als er een nieuwe Redhat uitkomt, gaan veel mensen uit de Linux community die downloaden, en rapporteren de bugs.
- de nieuwste windows is ook al een tijd uit, maar veel thuisgebruikers hebben deze nou niet bepaalt direct de eerste maand al gedownload (ahum gekocht), en hun bevindingen naar Microsoft gerapporteerd..

iets zegt me dat in de eerste maand van Redhat, er meer fouten gevonden worden

(ps. in eerder nieuws refereerde balmer naar deze eerste maanden, achteraf zag ik het niet in het artikel staan.)

Verwijderd @YaPP • 13 november 2003 21:56

Is niet helemaal waar, WindowsXP heeft wel een bugreport tool dus er worden wel degelijk kritieke fouten gemeld. Of ze er iets mee doen blijft de vraag...

YaPP @Verwijderd • 13 november 2003 22:20

ik heb het vooral over de eerste maand dat beide systemen uit zijn

Doorgaans duurt het even voordat gebruikers de nieuwe Microsoft software binnenslepen; bedrijven al helemaal.

maar je hebt idd gelijk dat er een rapportage is in XP. hoewel ik die angstvallig niet gebruikt heb.

Pietervs @Verwijderd • 14 november 2003 00:40

Is niet helemaal waar, WindowsXP heeft wel een bugreport tool dus er worden wel degelijk kritieke fouten gemeld. Of ze er iets mee doen blijft de vraag...
Ja, leuk zo'n bugreport tool. Alleen jammer dat ik geen informatie over mijn hardware aan Microsoft wil geven, laat staan over wat ik op mijn harde schijf heb staan en/of welke programma's ik draai. Met andere woorden: die bugreport tool is bij mij uitgezet, en dat zullen er heel veel met mij gedaan hebben. En dat zal zo blijven, tot Microsoft duidelijk maakt WAT er precies verzonden wordt in die bugreport-tool...

Countess @Verwijderd • 13 november 2003 23:33

met kritiese fouten bedoelen ze meestal veiligheids fouten. dus niet dat je IE crashed omdat je een brake pagina tegen kwam of omdat er te veel spyware op de pc aan de gang was.

die veiligheids fouten worden niet door die errorreporter opgemerkt, omdat hij daar helemaal niet naar kijkt.

Verwijderd @YaPP • 14 november 2003 08:47

Je vergeet de beta versies die per honderdduizenden exemplaren worden uitgedeeld (aan eindgebruikers, developers en bedrijven)

3dfx 13 november 2003 22:02

Hoeveel jaar is Windows nu verkrijgbaar? Vermenigvuldig dat aantal maal 365 (366 voor schrikkeljaren) en je hebt het aantal "days of risk"

Een voorbeeld: MS-Blast ligt nog vers in het geheugen, meerdere Windows versies waren er vatbaar voor, van winNT (1995) tot win2003...
Dus ff grof gezegd, 2900 "days of risk"

plexon @3dfx • 13 november 2003 23:20

Met "days of risk" bedoelen ze niet het aantal dagen dat je risico hebt gelopen want dat is altijd gelijk aan het aantal dagen dat het OS bestaat (m.u.v. van bugs die tussentijds zijn ontstaat door patches die zelf een nieuw bug introduceren). Bedoeld werd het aantal dagen dat je na aanmelding bij de fabrikant/ontwikkelaar moet wachten tot de bug hersteld is en je geen risico meer loopt.

Als je bij Microsoft een zgn. "Premier Support" contract afsluit zal Microsoft je problemen heel snel oplossen. De reactietijd is hier bijna direct en afhankelijk van het probleem, soms binnen het uur opgelost. De ondersteuning is echt heel goed. Kost je wel tienduizenden euro's per jaar en het aantal calls dat je kan plaatsen is beperkt. Kan je als (groot) bedrijf veel geld met anders verloren productiviteit schelen.
Voor de normale tweaker natuurlijk niet weggelegd maar voor bedrijven met duizenden installaties vaak heel aantrekkelijk. Ik heb het zelf bij klanten goed zien werken.

3dfx @plexon • 14 november 2003 06:25

Bedoeld werd het aantal dagen dat je na aanmelding bij de fabrikant/ontwikkelaar moet wachten tot de bug hersteld is en je geen risico meer loopt.

Het is inderdaad gebruikelijk dat de eindgebruiker bij MS voor beta-tester moet spelen, zelf zijn ze minder bezig met het opsporen van evt. zwakke plekken in de software:

The strategy, called "Days of Risk," measures the number of days it takes programmers to release a public patch after a vulnerability is revealed.

Dus MS wacht rustig af totdat iets een probleem vormt en dat vervolgens aan ze gemeld wordt? Zelf doen ze dus geen preventief onderzoek maak ik hieruit op.

Hoe kan de gemiddelde eindgebruiker (die er niet voor opgeleid is en ook niet betaald voor wordt), nu weten of iets een zwakke plek is ipv. een 'feature'?
Een heleboel gebeurt standaard al achter de rug om van de gebruiker, installeer maar een firewall (bijv. zonealarm) na een cleane windows-install, en tel eens hoeveel "program XXX tries to access the internet" meldingen je krijgt (zonder dat je zelf iets bewust 'aanklikt'/opstart).

En programma's om binnen een minuut windows-wachtwoorden te achterhalen (op een ietwat dubieuze manier) bestaan ook al jaren, lijkt me dat MS dat inmiddels ook wel weet...maar een oplossing vanuit Redmond daarvoor heb ik nog steeds niet gezien.

Correct me if I'm wrong, maar kun je dmv. het booten van een "speciale" bootfloppy/cd (die je zo kunt downloaden) achter het administrator-wachtwoord van, uhm laten we zeggen, een gemiddelde RedHat 6 install komen danwel wijzigen?
Nou, bij Windows 2k en XP is dat iig geen probleem, en gezien de copy/paste cultuur van MS, zal het met win2003 ook wel net zo makkelijk gaan...

Verwijderd @3dfx • 14 november 2003 08:35

Dan moet ik je toch teleurstellen. Ook van een gemiddelde linux installatie kun je met een boot(rescue)floppy het root password resetten. Geen enkele machine is veilig als een bad-guy fysieke toegang tot die machine heeft (ik bedenk net dat een versleuteld filesysteem misschien wel helpt, maar zelfs dan kun je denk ik uiteindelijk wel overal bij komen..) Het vervelende van al die security fouten is juist dat je vaak geen fysieke toegang nodig hebt om toch toegang te krijgen tot het systeem.

Pruttelpot @3dfx • 14 november 2003 09:04

Ik neem aan dat je de single user login bedoeld? Daarmee kan je idd zonder problemen het root wachtwoord wijzigen, maar dit is ook zonder veel problemen onmogenlijk te maken. Je kan namelijk de single user login gewoon uitschakelen, waardoor je gewoon geen toegang meer hebt zonder username en wachtwoord.

Voor windows daarin tegen is het zonder problemen mogenlijk om het wachtwoord te achterhalen, en dat is in geen geval mogenlijk bij Linux.

Maar zodra iemand toegang heeft tot het fysieke station, dan zijn je gegevens zowiezo onveilig. Iemand die bv een shcijf uit je raid configje trekt, waardoor alles vervolgens wel zonder problemen blijft werken, maar dat de ander toch de beschikking heeft over een kopie van je data.

Daarom staan servers dus ook altijd (ok, niet bij mij thuis) in een afgesloten ruimte waar maar een beperkt aantal personen toegang tot hebben.

Parody @3dfx • 13 november 2003 22:07

Pfoe, da's een krasse uitspraak! 't Is dat ik niet meer kan modereren, maar anders had je toch een +1 inzichtvol gekregen!

Nou is OSS wat dat betreft ook niet geheel onschuldig, hoor. Er hebben in bijvoorbeeld OpenSSH, OpenSSL en MySQL toch wel een aantal leuke gaatjes gezeten die heel lang onontdekt gebleven zijn. En het zou me niet verbazen als er nog meer pakketten te vinden zijn.

Pantagruel 13 november 2003 21:54

Lekker ontopic van Balmer op RH 6 met Windows 2003 server te vergelijken, zo'n vergelijking gaat volledig scheef.

Wat er daarnaast niet mee is genomen is de enorme lading applicaties die boven op een linux kernel draaien. Als MS en Balmer nu eens de patches ordenen naar categorie en service gedeelte (http,ftp,systeem kritische seervices) en dan verglijkt tov een recente RedHat of Suse distro dan heeft hij tenminste een goee vergelijking.
Maar zoals wel vaker is Balmer into FUD en roept maar wat in de rondte in een poging om het veiligheids aspect van Windows 2003 in de hemel te prijzen en de concurentie de modder in te trappen. Wat is dat toch dat ze keer op keer de vinger naar een ander moeten wijzen in een poging om er zelf beter voor te staan. ? Heeft Steve Balmer tochenigzins de pleuris in over het feit dat een GPL-ed en vrijwel gratis OS het beter doet dan het OS van zijn firma.
Wat dat betreft moet Steve BAlmer dan maar es rond gaan kijken en veel banger zijn voor Open/FreeBSD deze zijn in de laatse periode heel wat minder gepatched dan de Windows server OS-en in dezelfde periode.

YaPP @Pantagruel • 13 november 2003 22:10

Heeft Steve Balmer tochenigzins de pleuris in over het feit dat een GPL-ed en vrijwel gratis OS het beter doet dan het OS van zijn firma.

dat zal natuurlijk helemaal de grootste giller zijn... maar kan iemand me uitleggen waarom dit in vredesnaam mogelijk is?

Microsoft kan zo ontzettend veel geld tegen ontwikkeling smijten.

jiriw @YaPP • 14 november 2003 04:14

maar kan iemand me uitleggen waarom dit in vredesnaam mogelijk is? Microsoft kan zo ontzettend veel geld tegen ontwikkeling smijten.

Jawel hoor ....

Mensen met een aanmerkelijk belang in dit soort bedrijven noemen het winstmaximalisatie,
ik noem het eerder winstbejag, of dollartekentjes-in-de-ogen. Waarom geld in ontwikkeling smijten als je toch je producten wel verkoopt. En als er iemand dwars gaat liggen dan kopen/concuwurgen we ze uit de markt of smijten de propagandamachine er tegen aan.

The_DoubleU 13 november 2003 22:06

Ze vergelijken ook alleen het OS met de complete Redhat Distribute (inclusief apps en hun bugs).
IE rekenen ze bevoorbleed niet mee. Terwijl dat toch een onderdeel is wat niet uit het OS te krijgen is (volgens MS) en ik weet niet hoeveel bugs bevat.

Een ander punt is dat MS de tijd berekent vanaf het punt dat de bug bekent gemaakt wordt en hun patch uitgegeven wordt. Bij Linux wordt een bug meteen bekend gemaakt waardoor je alvast maatregelen kan nemen, terwijl er aan een patch gewerkt wordt. Bij MS houden ze zich stil als er een bug gevonden wordt en zeggen ze het pas wanneer er een patch (bijna) klaar is.

Al met al, blijf ik het toch wel leuk vinden wat MS doet. Ze hebben blijkbaar nog niet geleerd dat "Wie de bal kaats....."

YaPP @The_DoubleU • 13 november 2003 22:14

Al met al, blijf ik het toch wel leuk vinden wat MS doet. Ze hebben blijkbaar nog niet geleerd dat "Wie de bal kaats....."

op dit moment heeft Microsoft nog een hele grote trouwe markt achter zich, die deze opmerkingen klakkeloos overnomen.

Ik sta er eerlijk gezegd versteld van dat hier nu ook zoveel sceptische opmerkingen worden geplaatst. (bij een vorig vergelijkings artikel was dat toch anders.. as far as i know0

The_DoubleU @YaPP • 13 november 2003 23:12

bij een vorig vergelijkings artikel was dat toch anders

Ach je moet deze vergelijking altijd met een korreltje zout nemen. Eerst kijken naar wie het onderzoek betaald heeft dan bij jezelf af vragen of de resultaten wel kloppen.
MS betaald onderzoek = MS is beter, sneller, veiliger, etc
RH,Suse(Linux) betaald onderzoek = Linux is beter, sneller, veiliger, etc

wimmi @YaPP • 14 november 2003 01:52

op dit moment heeft Microsoft nog een hele grote trouwe markt achter zich, die deze opmerkingen klakkeloos overnomen.

En die nog steeds security updates aan het installeren is..

Ik vertel mijn vrienden in het zakenleven dat dit onacceptabel is. En dat managers die elke 3 weken een nieuwe virus willen weerstaan toch echt wel incompetent zijn.

De verandering begint bij jezelf en je omgeving. Bescherm jezelf met een Microsoft Condoom!

Verwijderd @The_DoubleU • 13 november 2003 22:15

Geen onzin verhalen de wereld ingooien. Bij MS is iets een bug wanneer de ontwikkelaars hebben bevestigd dat de bug bestaat.

Doodnormale zaak. Mensen kunnen wel van alles schreeuwen. (Vooral de gemiddelde windows gebruikers

)
Zowiezo, als een bug melding niet gereproduceerd kan worden, dan kan het uiteraard ook niet opgelost worden.

The_DoubleU @Verwijderd • 13 november 2003 23:18

Bij MS is iets een bug wanneer de ontwikkelaars hebben bevestigd dat de bug bestaat.

Uiteraard, maar toch heb ik het gevoel dat bugs sneller bekend gemaakt worden wanneer er iets wordt gevonden in een Linux dan bij MS. Waardoor je war meer aandacht op die bug kunt richten (services uitschakelen, meer controle uitvoeren)

Pietervs @The_DoubleU • 14 november 2003 00:43

[off-topic]
Al met al, blijf ik het toch wel leuk vinden wat MS doet. Ze hebben blijkbaar nog niet geleerd dat "Wie de bal kaats....."
Wie z'n ballen kaatst, kan pijn lijden

Ja toch? Krijg ik nou de wasmachine???

[/off-topic]

Verwijderd 13 november 2003 21:54

Hoe meer ze met dit soort waanzinnig slechte argumenten komen hoe meer ik erover nadenk om over te stappen op iets anders. Een tijd terug las ik nog dat onvrede onder Windows gebruikers een hoogtepunt heeft bereikt. Ik denk dat Microsoft op dit moment een kat in het nauw is met veel geld.
Veel marktaandeel maar weinig innovatieve producten. Kijk wat ze op dit moment bij Apple doen. Als ik naar MacOS X kijk wat voor functies ze daar hebben ingebouwd en wij Windows gebruikers moeten nog een aantal jaren wachten totdat Longhorn uitkomt...

Verwijderd @Verwijderd • 14 november 2003 09:51

Hoe meer ze met dit soort waanzinnig slechte argumenten komen

Het is normaal om tijdens een symposium de concurrent flink de grond in te trappen, dat doen ze allemaal hoor

Bovendien denk ik niet dat Ballmer het steeds over Linux heeft gehad, dat is marketing technisch gezien helemaal niet slim:

although its law and corporate affairs spokeswoman told us that she didn't think the company intended to launch a security attack on Linux

Een tijd terug las ik nog dat onvrede onder Windows gebruikers een hoogtepunt heeft bereikt

Argumentatie aub? Ik denk namelijk dat het andersom is: dat gebruikers juist steeds positiever over Windows worden. Windows is de afgelopen jaren stabieler, completer, veiliger, makkelijker en mooier geworden. Nu jij weer.

Kijk wat ze op dit moment bij Apple doen. Als ik naar MacOS X kijk wat voor functies ze daar hebben ingebouwd en wij Windows gebruikers moeten nog een aantal jaren wachten totdat Longhorn uitkomt

Waar dit op slaat is me onduidelijk. Neem eens wat features dan.

wimmi @Verwijderd • 14 november 2003 01:46

Hoe meer ze met dit soort waanzinnig slechte argumenten komen hoe meer ik erover nadenk om over te stappen op iets anders.

Sinds die sukkels van MSN hun openbare chatrooms hebben opgeruimd (http://chat.msnl.nl) draai ik al weken Mandrake Linux 9 - Windows heb ik feitelijk nergens meer voor nodig.
Je moet niet zeuren, maar doen: als het niet bevalt blijf je lekker Windows draaien - anders heb je hopelijk al iets anders geinstalleerd?

Iblies @Verwijderd • 14 november 2003 11:15

Ze moeten wel zo argumenteren aangezien Linux een steeds grotere bedreiging gaat vormen.
Linux wordt steeds meer gebruikt op servers, en is dat nu net niet waar alles begint op een bedrijf. IBM, toch niet de kleinste, promoot linux nu openlijk, je hebt de reclames wel gezien. * 786562 IbliesEn bedrijven zijn de meest trouwe klanten van MS die ook het meeste geld opleveren. Als linux op de servers wordt geinstalleerd zal de kennis op den duur ook toenemen van Linux, logisch gevolg is dat de workstations langzaam in de toekomst dan ook worden voorzien van linux met een grafisch schilletje.
En als dat gebeurt dan is MS ver van huis.

YaPP @Iblies • 14 november 2003 12:36

je hebt de reclames wel gezien.

welke?

reclames met tux in beeld?

ik moet ze eerlijk gezegt nog tegenkomen, maar als ze er werkelijk zijn, wil ik dat graag weten.

(ik verwachte eerlijk gezegt ook geen Linux reclames, omdat het nogal de plank misslaat)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (128)

Sorteer op:

Weergave: