Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 161 reacties
Bron: The Register, submitter: imapbox

Er wordt veel geschreven over de beveiliging van Windows en Linux. Veel rapporten die vaak een verschillende en/of tegenstrijdige uitkomst hebben. Een echte uitgebreide vergelijking tussen de beveiligingsproblemen van de beide besturingssystemen is er niet, maar daar komt nu verandering in: The Register heeft een systematische vergelijking gemaakt tussen de verschillende veiligheidslekken van zowel Windows als Linux. De onderzoekers hebben de laatste veertig lekken van Microsoft Windows Server 2003 en Red Hat Enterprise Linux AS v.3 bekeken.

Windows Server 2003 doosBelangrijke aspecten bij het onderzoek waren: hoe gemakkelijk is het om misbruik te maken van het lek, wat voor rechten heb ik hier voor nodig en hoe groot is de schade die aangericht zou kunnen worden. Tot slot wordt er aandacht besteed aan het aantal kritieke veiligheidslekken. Van de in het besturingsysteem van Microsoft gevonden lekken is 38 procent kritiek volgens het bedrijf zelf. Linux doet het wat beter: tien procent van de in Red Hat Advanced Server gevonden lekken valt in die categorie. De bij dit onderzoek van The Register gebruikte methode zou vijftig procent van de in Windows server 2003 gevonden lekken als zeer ernstig bestempelen. Als er gekeken wordt naar de CERT (United States Computer Emergency Readiness Team) database, dan blijken negenendertig van de eerste veertig vermeldingen voor Windows Server 2003 serieus, tegen drie van de veertig voor Red Hat.

Red Hat logo (rood)In het rapport wordt verder dieper ingegaan op een viertal mythen rondom de veiligheid van Linux: "Windows wordt alleen zoveel aangevallen omdat dit besturingssysteem zoveel gebruikt wordt", "Open source is minder veilig omdat hackers makkelijker de lekken kunnen vinden", "er zijn meer beveiligingsmeldingen voor Linux, dus dit besturingssysteem is onveiliger" en "Het duurt langer voordat er een patch beschikbaar komt voor de problemen in Linux". Het rapport wordt afgesloten met een bespreking van de verschillende architecturen van de twee besturingsystemen om daarmee een basis te verschaffen voor de grotere veiligheid van Linux.

Moderatie-faq Wijzig weergave

Reacties (161)

Ik heb even de moeite genomen om het complete rapport te lezen. Dan zie je al vrij snel dat het rapport niet objectief geschreven is. Wel zitten er een paar interessante punten tussen maar het is vrij snel duidelijk dat dit artikel nou niet een heel objectief artikel genoemd kan worden.

Het verhaal over de Uptime is een voorbeeld van de vooringenomenheid van de schrijver.
Zelfs als er volgens de schrijver zelf geen openbaar bewijs is, weet hij toch een conclusie in het voordeel van Linux te trekken. Eerst verteld de schrijver dat het onmogelijk is voor Netcraft om een linux server te vinden met een uptime van meer dan 497 dagen en dat je dus moeilijk conclusies kan trekken. Dan pakt hij de cijfers van Microsoft.com waar servers regelmatig gereboot blijken te worden en vergelijk hij die cijfers met die van Linux.com. Linux.com heeft zowel een gemiddeld als maximale uptime van 348 dagen. In plaats van dit als abnormaal te zien en aan te nemen dat linux.com waarschijnlijk slechts op 1 server draait of er maar 1 server gemeten wordt die toevallig 348 dagen online is wil de schrijver erop wijzen dat deze uptime hoger is dan het gemiddelde van de MS site. Blijkbaar ziet de schrijver in de uptime een veiligheidskenmerk. Wie zegt echter dat het bij MS geen policy is om computers te resetten of dat de Linux.com site geen essentiele bugfixes mist. Oftewel, neem een bepaalde situatie en verklaar het algemeen geldig zonder te weten waarom die situatie is zoals die is. Bad Statistics.

Ook een grappige is het "conclusions based on Single metrics" verhaal. Eerst wordt verteld hoe slecht het is om dat te doen en dan.... Je snapt het.

Echt slecht wordt het als de multiuser aspecten ven de kernel van Windows aan bod komen. Hier blijkt maar weer eens dat de schrijver niet echt veel kennis van zaken heeft :(
Windows XP was the first version of Windows to reflect a serious effort to isolate users from the system, so that users each have their own private files and limited system privileges.
Goh, blijkbaar nooit gehoord van Nt3.5 NT 4.0 of windows 2000.
WINDOWS IS MONOLITHIC BY DESIGN, NOT MODULAR
Tuurlijk dat is waar. (Al zullen er zeker mensen zijn die erop wijzen dat NT als Modular systeem ontworpen was) Het is echter net zo waar dat Linux Monolithic is. Zowel de Linux kernel als Linux Desktop Environments zijn monolitisch van opzet.

Ook dit is een vrij trieste opmerking
Case and point: The Windows XP service pack 2
already has a growing history of causing existing third-party applications to fail. This is the natural consequence of a monolithic system – any changes to one part of the machine affect the whole machine, and all of the applications that depend on the machine.
Allereerst komen de meeste problemen door de Firewall die opeens netwerk verkeer blokkeert waardoor programma's niet meer zomaar een verbinding kunnen maken. Dus dit is een keuze van de standaard instellingen en meestal erg eenvoudig op te lossen.
Ten tweede wordt door Linux experts het continue veranderen van het binary driver model, waardoor binary drivers vrijwel nooit werken op nieuwere kernels, verdedigt met het argument dat als iets beter is het toegepast wordt ongeacht dat er software door kapot gaat. Als je dat een probleem vind bij windows is het een minstens net zo groot probleem bij Linux
Dus alweer een vrij eenzijdige weergave van de werkelijkheid.

Het RPC verhaal is natuurlijk waar. Hoewel het binnen een bedrijf erg handig is, heeft het grote nadelen als machines open en bloot met het internet verbonden zijn. Dit is natuurlijk iets wat MS moet verbeteren. Maar het argument dat het gebruik van de grafische interface een server onveiliger maakt? Beetje vergezocht. Bij een headless linux machine waar je via x-windows op inlogt heb je hetzelfde probleem als bij een windows machine waar je lokaal op inlogt. Er is dus geen werkelijk verschil. Misschien een verschil in mentaliteit van de beheerder. De windows beheerder die onder de administrator account eens lekker vage sites op het internet gaat opzoeken versus de linux beheerder die echt nooit als root inlogt maar alles via su doet.

Ook is een zin als "we hebben de laatste 40 flaws bekeken" nogal verdacht. Hoezo de laatste 40 en niet de laatste 20, 50 of 100? Nu ben ik te lui om dit uit te gaan zoeken maar het is wel zo dat de oudste patch voor windows 2003 uit september 2003 komt terwijl de patch voor Red hat uit April 2004 komt. Een verschil van 7 maanden. Er komen dus véél meer patches uit voor Red hat. Misschien minder ernstig, maar zoals de schrijver zelf stelt, hangt de ernst erg af van het gekozen criteria. En helaas heeft hij een voor mij lekker ondoorzichtig criteria gekozen. Maar het verschil in ouderdom van de bugs wordt in het artikel lekker onder het tapijt geschroven.

Dus eigenlijk lost dit verhaal weinig op. Duidelijk geschreven door een persoon uit het linux kamp, er zitten er aantoonbare fouten in en het lijkt alsof de data en de omschrijving van die data gekozen is om een vooringenomen stelling te bewijzen.
Jammer, want een goed, onafhankelijk verhaal over de veiligheid van Linux vs Windows kunnen een hoop mensen wel gebruiken. Helaas is dit dat dus niet. Wel zitten er een paar interessante feiten in en is natuurlijk niet alles onjuist wat erin staat. Het RPC probleem bijvoorbeeld is een groot probleem voor windows en dat moet verbeterd worden.

Edit:
Voor de mensen die het niet begrepen hadden. Het artikel gebruikt dus patches van April 2004 tot september 2004 voor Red Hat en patches van September 2003 tot september 2004 voor Windows. In aantal is dat volgens het artikel gelijk, maar er worden dus veel meer fouten gevonden in Red Hat als in Windows 2003.

En voor de mensen die Gnome geen monolitisch systeem vinden. De auteur van het artikel vindt zowel KDE als Gnome wél monolitisch. Om hem te quoten
The two most popular graphical desktops, KDE and GNOME, are somewhat monolithic by design; at least enough so that an update to one part of GNOME or KDE can potentially break other parts of GNOME or KDE.
Dat de auteur daarna weer om de hete brij heen draait en wat krom is recht probeert te lullen doet hier niets aan af.

Tot slot: Een headless systeem is een systeem zonder monitor en toetsenbord. Dat kun je prima beheren door een x-windows sessie op je desktop te starten.
> Wie zegt echter dat het bij MS geen policy is om computers te resetten

Als dat policy is, wat zegt dat dan over de betrouwbaarheid? Je gaat servers toch niet voor de lol resetten?

> of dat de Linux.com site geen essentiele bugfixes mist.

Linux hoef je alleen bij kernel updates te herstarten.
Bij updates van Apache herstart je alleen Apache en dat heeft dus geen invloed opde uptime van de kernel.

> Goh, blijkbaar nooit gehoord van Nt3.5 NT 4.0 of windows 2000.

Heb je ooit gekeken naar de standaard user privileges in NT?
Ten tweede wordt door Linux experts het continue veranderen van het binary driver model, waardoor binary drivers vrijwel nooit werken op nieuwere kernels, verdedigt met het argument dat als iets beter is het toegepast wordt ongeacht dat er software door kapot gaat. Als je dat een probleem vind bij windows is het een minstens net zo groot probleem bij Linux
Hoezo?
Als de kernel geupdate wordt, wordt binnen dezelfde update de drivers geupdate. De user heeft er dus eigenlijk geen last van.

> Bij een headless linux machine waar je via x-windows op inlogt heb je hetzelfde probleem als bij een windows machine waar je lokaal op inlogt.

Heb je het artikel wel echt gelezen?
Op de headless server draai je geen X, die beheer je via een remote shell. Of desnoods draai je een GUI app op je eigen desktop systeem en beheer je daarme de server.

> Nu ben ik te lui om dit uit te gaan zoeken maar het is wel zo dat de oudste patch voor windows 2003 uit september 2003 komt terwijl de patch voor Red hat uit April 2004 komt.

Ik weet toch vrij zeker dat ik dit jaar Windows Server 2003 een redelijk aantal keer heb moeten herstarten voor patches. Hoezo 2003?

> Een verschil van 7 maanden. Er komen dus véél meer patches uit voor Red hat.

En wat zegt het artikel over patch aantallen?
Het artikel liegt over aantallen.

Secunia:

RedHat 3 AS, 89 advisories
http://secunia.com/product/2535/

Windows 2003 ES: 31 advisories.
http://secunia.com/product/1174/

En dat zijn de totalen dus de auteur liegt simpelweg als hij het over 'de laatste 40' heeft aangezien Server 2003 er sinds zijn komst nog maar 31 heeft.
En dat zijn de totalen dus de auteur liegt simpelweg als hij het over 'de laatste 40' heeft aangezien Server 2003 er sinds zijn komst nog maar 31 heeft.
Heeft de auteur gebruik gemaakt van Secunia dan?
En vermeldt Secunia inderdaad alle advisories?
Tuurlijk dat is waar. (Al zullen er zeker mensen zijn die erop wijzen dat NT als Modular systeem ontworpen was) Het is echter net zo waar dat Linux Monolithic is. Zowel de Linux kernel als Linux Desktop Environments zijn monolitisch van opzet.
Waar heb je die wijsheid vandaan? Linux is inderdaad monolitisch (maar puur praktisch gezien wel als modulair te beschouwen), maar een desktop zoals gnome is dat zeker wel. Ik ken de ins en outs niet, maar Gnome is niet 1 grote API-base (zoals KDE dat bijvoorbeeld wel is), maar kent weldegelijk abstraction-layers welke vervangen kunnen worden door een eigen implementatie.

Waar de schrijver op doelt mijs inziens, is dat een distributie verschillende componenten bij elkaar kan kiezen. Zoals de kernel, de X-Server (Xorg of XFree bijvoorbeeld), de soundserver, de Desktop en waarbij KDE-applicaties ook weer inherent zijn aan QT en gnome-applicaties aan GTK.

De term "modular" wordt, zoals je zelf waarschijnlijk ook wel weet, te pas en te onpas gebruikt. En dat is wat hier volgens mij gebeurd. Is hij daarom vaktechnisch nog wel bij? Ja, want iedereen begrijpt wat hij bedoelt, behalve de mensen die de moeite niet nemen hem te proberen te begrijpen.
deze vergelijking is natuurlijk sowieso subjectief; wat is een "groot risico", een "belangrijke fout" enz.
Daarnaast worden enkel de laatste 40 fouten onder de loupe genoemen, wat gezien de code-omvang van een besturingssysteem (en dus het vanzelfsprekend groet aantal fouten) een nogal kleine steekproef is.
Darabij worden nog enkel _gemelde_ fouten onderzocht; misschien meldt de linux community elke kleinste bug, en MS alleen die gaten, die een onmiddelijk risico vormen?
Ik denk dat dit soort vergelijkingen sowieso kritisch gelezen dient te worden.

En als laatste toch even de openstaande deur met geweld inbeuken; de veiligheid hangt in belangrijke mate af van de gebruiker; als het OS 100% dcht zit, maar mr. X downloadt en probeertelke domste progsel... Daarnaast is een minder veilig besturingssysteem niet noodzakelijk echt onveilig; als de gebruiker weet hoe er mee om moet gaan (maw een firewall installeert, antivirus ed en zich aan "de regeltjes" houdt (zoals bijv voer nooit een attachment uit van een mail tenzij je hem _uitdrukkelijk_als veilig kan beschouwen))

just my 2 cents ;)
Agreed, de eindgebruiker zorgt ervoor dat zn pc op orde is. Als de eindgebruiker dit niet kan is hijzelf nog steeds verantwoordelijk, je moet je toch een beetje verdiepen in materie om er mee te werken, tis geen stereotorentje ofzo die wat in en outputs kent.
...als je ziet hoeveel mensen al moeite hebben met het programmeren van hun videorecorder ;)
Die mensen zouden dus de laatsten moeten zijn die zonder begeleiding een computer mogen gebruiken.
maar mr. X downloadt en probeertelke domste progsel...
Met een goed OS mag dat geen probleem zijn.
Helaas is zelfs Linux nog niet zo goed.
Het ZOU kunnen hoor, maar dat gaat ten koste van gebruiksvriendelijkheid. En geef nu toe, de grootste noob krijgt het wel omzeep hoor. Ik heb vroeger in een pc-zaak gewerkt, waarvan ik soms versteld stond: hoe hebben ze t dit keer toch weer gelapt? ;)
Het ZOU kunnen hoor, maar dat gaat ten koste van gebruiksvriendelijkheid.
Waarom zou er geen implementatie (kunnen) zijn die wel gebruiksvriendelijk is?
Dat is wat met beleid te maken heeft. Als je als linux-user geen programma's mag installeren, dan kan je wel een executable downloaden die niet geinstalleerd hoeft te worden (dat zijn er volgens mij vrij weinig), maar dan kan dat programma nog weinig. Dat programma zal dan gebruik moeten maken van bugs in andere programma's (zo werken de meeste rootkits)

In windows is dat anders: om normaal met de pc te werken is het bijna noodzakelijk om root te zijn (beheerder bedoel ik). Daarmee kan je over het hele systeem dingen veranderen, en een programma installeren etc. Komt voornamelijk doordat programmeurs er geen rekening mee hebben gehouden. Een stukje spyware is dan zo geinstalleerd, omdat dat programma meteen een poort kan opengooien. Maak een leuk spelletje met een backdoor, en wedden dat er iemand het installeert?
@MBV
Het zijn helemaal niet weinig executables die je zo kunt downloaden...er zijn behoorlijk veel kant en klare binaries te downloaden...en anders zijn ze wel te compilen op een andere machine...
De veiligheid zit em er juist in dat je die bestanden niet uit kunt voeren ook al heb je ze op je filesystem staan...
Je hoeft niet perse een rpm of apt te gebruiken om iets te kunnen installen, maar je hebt wel voldoende rechten nodig om iets te kunnen uitvoeren.
Dat is waar; maar het valt moeilijk te ontkennen dat "perfecte software" niet bestaat. Eeen goed programmeur zal imho altijd in staat blijven achterpoortjes te vinden, al zal het dan misschien (veel?) moeilijker worden.
zelf denk ik dat door een OS als Linux, Windows steeds veiliger wordt. Microsoft moet wel om zo toch nog Windows te kunnen blijven verkopen.
En zoals altijd geldt ook hier, gebruik het waar je het voor nodig hebt.
Daarnaast, de enterprise producten worden toch meestal voorzien van een goede firewall en een goede DMZ.
Misschien een idee om eens te kijken naar de beste combi? Firewall/DMZ/OS Desktop/OS Server.
Maar dat is misschien iets te veel gevraagd.

@LauPro

Volgens mij snap je het niet helemaal. Ik zeg namelijk nergens dat je Windows moet vervangen door Linux of vice versa, dat maak jij ervan. Gebruik de software waar je het voor nodig hebt en/of het beste voor geschikt is.

Voor wat betreft Linux voor een klein bedrijfje opzetten. Ja dat is heel erg leuk, vooral dat de gemiddelde startende ondernemer heel goed weet hoe hij op start moet drukken, maar over inloggen met root en dan iets aanpassen weet hij niets en heeft dan weer een "dure sys admin" nodig die het opzet.

Veiligheid is uiteindelijk niet alleen het OS, maar ook de skills van de persoon die het opzet. Een Linux systeem opgezet door een newbie kan lekker zijn dan een Windows systeem opgezet door een professional. Vice versa ook.

Heel relatief allemaal.
Microsoft moet wel om zo toch nog Windows te kunnen blijven verkopen.
Dat is onzin. Alle bedrijven die nu met Windows werken kunnen grofweg niet meer terug. Wanneer je daar nieuwe computers met Linux erop neer zou zetten dan wordt daar in eerste instantie niet prettig mee gewerkt. Denk aan de beroemde Worddocumenten die er in OpenOffice er 'iets' anders uit zien - laat staan de mannier waarop sommige functies anders zijn geïmplementeerd. Of bijvoorbeeld roaming profiles? Linux inzetten als desktop is een geheel andere structuur; die gooi je niet zomaar in je netwerk.

Misschien dat een enkele consument die afweging maakt. Ik vrees dat ze erg veel tegenstand zullen ondervinden; denk bijvoorbeeld aan op het werk waar ze wel met Windows werken. Maar dannog; consumenten zorgen er niet voor dat er werk is.

Het juiste tijdstip om met Linux te beginnen is als je een bedrijf start. En geloof me; het is niet verstandig om een illegale Windows versie bedrijfsmatig te gebruiken. En als je uitgaat van een bedrijf met 2 computers en 1 server; allemaal uitgerust met Windows dan zit je al snel op 3000 euro aan licentiekosten. Voor bestaande bedrijven is dat waarschijnlijk 3x niets; maar als startende ondernemer denk je wel 3x keer na denk ik.
Geen idee waar je de 3000 euro vandaan haalt.

Voorbeeldje:
Microsoft Office 2003 Small Business NL Retail ¤ 349,- (per stuk excl.)
Microsoft Small Business Server 2003 Premium NL ¤ 1.119 (voor 5 users, excl.)
XP zit reeds op de PC's geïnstalleerd en hoef je dus niet te kopen.

Totale prijs incl. BTW ¤ 2.162,23. (bijna 30% goedkoper dus. En de BTW is nog aftrekkbaar ook...)

En als je toch nieuwe PC's koopt kan je evt. ook Microsoft Office 2003 Basic NL Oem kopen. Die kost "maar" ¤ 179,- excl. per stuk en is dan zonder klantenbeheermodule voor het MKB..
XP zit reeds op de PC's geïnstalleerd en hoef je dus niet te kopen
Yeah, right... als je een PC vraagt zonder Windows XP Professional ben je toch dadelijk 150 Euro per PC goerkoper uit. Van de andere kant zie ik het nut van Office op de server niet dadelijk in... dus je prijs zit wel ongeveer goed.

Als je als beginnend klein bedrijfje even 2000 Eur kan besparen op je software is dat in ieder geval toch al mooi meegenomen. Als je ook al enige basiskennis hebt van Linux is dit al mooi meegenomen, want dan is het niet moeilijk om die stap te zetten.
2000 Euro besparen? En 2 Linux desktops installeren en 1 Linux server installeren en configuren is gratis? Dacht niet dus. Je moet als je over kosten praat niet alleen naar aanschaf kijken, maar naar TCO. En dan ontlopen de 2 elkaar niet zoveel.
Als je het zelf allemaal kan configureren, zal Linux wel goedkoper zijn.

Windows moet ook geconfigureerd worden, en in heel veel gevallen is dit in kleine bedrijven bedroevend slecht gebeurd. Windows is echt niet ff installeren en op het netwerk gooien, wat spijtig genoeg heel vaak gebeurd bij KMO's. En zij verliezen redelijk veel geld omdat hun netwerk vol spyware en virussen zit.
Want ... Het opzetten van een Windows server zit bij die 2000 euro in? Iemand van Microsoft komt bij je langs om de boel op te zetten?
:?

waarom zou het installeren van Linux desktops/servers geld kosten? ik heb hier ook een servertje draaien en heb er nog nooit andere kosten aan gehad dan stroom en hardware maintenance, maar dat heb je met windows ook. een bedrijfje van 5 personen neemt meestal geen groot support contract bij een bedrijf als MS/Redhat, dus de kosten aan de server qua software blijven beperkt tot de applicaties, maar ook die kun je vaak gratis vinden als het niet al te specialistisch is.
dat linux net zo duur zou zijn is misschien alleen zo bij grote bedrijven, die al hun medewerkers moeten gaan omscholen, maar als je een klein bedrijfje heb kan je al die medewerkers zelf wel leren om hun gloednieuwe desktop te gebruiken.
Waarom pak de SBS Premium editie?
Neem de standaard editie: 450 eurotjes. Deze editie is voldoende voor een MKB-er.
mephisto1982 : waarom zou het installeren van Linux desktops/servers geld kosten?
Omdat in een bedrijfssituatie niemand pro deo werkt misschien? :Z
Ik werk bij een niet zo groot bedrijf als CAD-tekenaar en doe er ICT bij. Daar heb ik ze nu zover gekregen om OpenOffice te draaien, aangezien ze allemaal verschillende tekstverwerkers/veries gebruiken(incl. WP5.1 :Y)) Linux compleet is problematisch i.v.m. speciale programmatuur.
een OS word steeds veiliger?... helaas worden hackers steeds handiger..

Ik denk dat de beste veiligheids ''maatregel' toch is dat meer en meer mensen inzicht krijgen in het begrip ''beveiliging'', en hoe er mee om te gaan.
OS'en kunnen wel veiliger worden, nu de gebruikers nog...

MS kan wel leuk en aardig allerlei patches uitbrengen, maar zolang niemand ze installeert, zal je er nix aan hebben en blijven de virussen en gehackte PCs komen.

Zelfde geldt voor linux, je bent niet veilig omdat je linux draait, je bent veilig omdat je weet wat je doet met je linux doos. Helaas klopt dit bij 75% van de linux gebruikers niet, en is linux alsnog zo lek als een mandje.

Als ik bij ons op school rondkijk naar de lekken, kan ik in principe op elke bak inbreken: de windows servers en workstations omdat de security fixes niet geinstalleerd worden (heh, moet er gereboot worden, kost uptime :X), de linux servers omdat ze enorm slecht geconfigureerd zijn door mensen die wel gecertificeerd zijn, maar die er eigenlijk geen donder van af weten.
Best wel een goeie vergelijking vind ik
Wat ook hierboven al een keer aangehaald is..
Als fabrikant A zijn product beter maakt, betekend dat voor fabrikant B, dat hij of:
- mee moet gaan met die verbetering
- of zijn prijzen omlaag moet gooien, om daarmee een goedkopere, en wellicht slechtere versie van dat product te verkopen.

Als de *nix-serie steeds beter worden, dan zal MS echt niet voor de tweede optie kiezen, maar er alles aan doen om beter/goedkoper te worden dan fabrikant A.

Dat Linux in de ogen van de meeste mensen goedkopere is, is gewoon bull.
Je kan leuk gratis een paar CDtjes van internet halen, maar een beetje *nix installateur kost minstens net zo veel centen als een MS expert.
Netzoals onderhouds-contracten, wijzigingen in structuren ed.
zelf denk ik dat door een OS als Linux, Windows steeds veiliger wordt.

Wat is dát nou weer voor een kromme vergelijking?

Er is weinig kroms aan die vergelijking: naarmate Linux meer en meer de naam krijgt veiliger te zijn als Windows, zullen meer bedrijven kijken naar Linux. En als er eenmaal Linux geinstalleerd is (bijvoorbeeld als webserver of als Firewall) komt er vanuit het management al snel de vraag of de rest van het netwerk ook niet zoiets moet draaien "want het is tenslotte gratis" (niet dus, maar dat is een andere discussie).
Dus reken er maar op dat Microsoft meer aandacht besteed aan de beveiliging van de Windows-omgeving, en dat dat deels onder druk van de goede naam van Linux komt (natuurlijk gebeurt dat ook vanwege alle beveiligingsissues van het laatste jaar).
Ach, belangrijker is denk ik hoe de beheerders met deze lekken omgaan. Als je een beheerder hebt die heel laks is, maakt het niet uit of je 5 of 15 lekken op je systeem hebt.
Ben ik niet met je eens. Er is niet zoiets als 'het belangrijkst bij veiligheid in de IT'. Het is altijd een totaal plaatje van punten als platformkeuze, beheerder, implementatie van technieken, obscuriteit, informatievoorziening, maar ook niet te vergeten: gebruikers. Je kan nog zo een goede beheerder hebben, zet je die achter windows 95, dan nog heb je nauwelijks veiligheid.

Het is ook niet ongebruikelijk dat er een goede beheerder achter een nog beter systeem staat. Als echter het management van het bedrijf ervoor kiest om voor gebruiksgemak ipv veiligheid te gaan, dan kan waardevolle informatie toch nog via de gebruikers worden gelekt (Toninho?)

Het management speelt in veiligheid van het IT systeem een sleutelrol. Nemen ze de adviezen van de IT afdeling serieus, of word er gekozen op basis van budget? Wil veiligheid echt aanwezig zijn bij een bedrijf, dan moet het beginnen bij het beleid.
Tuurlijk is het hele veiligheidsverhaal veel breder en zit een oplossing niet in alléén goede beheerders. Maar dat zeg ik dan ook niet! ;) Ik vind wel dat sommige onderdelen van een veiligheidsplan een groter risico vormen dan anderen. Het ontbreken van een firewall in een bedrijfsnetwerk kan een veel groter risico zijn dan een aantal lekkken op een Windows server. Om maar een voorbeeld te noemen... :)

Enne, het hele Toninho verhaal heeft volgens mij weinig met het beleid van het management te maken. Dat was zijn eigen schuld (en in zijn functie ook z'n eigen verantwoordelijkheid). Hij is slim genoeg om van te voren te bedenken wat de gevolgen zijn van zijn acties. Volgens mij is het gewoon laksheid geweest.
Het is ook niet te doen om gebruikers de mogenlijkheid te ontnemen om documenten mee naar huis te nemen (via floppy, email of uitprinten en in je tas stoppen) of je creeert een onwerkbare situatie. Slimmer is om alles zo dicht mogenlijk te timmeren en gebruikers richtlijnen uit te reiken wat wel en niet mag, en dus ook de verantwoordelijkheid te geven. Waterdicht kan nooit!
Voor je commentaar hebt is het beter eerst eens wat kennis te verzamelen.

Er zijn bij het OM wel degelijk regels over het gebruik van thuiscomputers e.d.

Toninho heeft die regels gewoon overtreden.

Maar ja, mijn ervaring als IT-er in een groot bedrijf is dat juist de gebruikers met de meest verantwoordelijk baan die regels altijd overtreden.

In het geval van Toninho zou je zo'n persoon gewoon een laptop moeten geven. Dan kan ie daarmee thuis werken, en over die laptop heb jij wel controle. Je kan op dat ding zorgen dat er een firewall, virusshield en encryptie op zit.
Doet ie het niet, dan is het gewoon een standaard machine die je IT afdeling kan repareren, en afdanken gaat dan ook via je interne procedures.
Enne, het hele Toninho verhaal heeft volgens mij weinig met het beleid van het management te maken. Dat was zijn eigen schuld (en in zijn functie ook z'n eigen verantwoordelijkheid). Hij is slim genoeg om van te voren te bedenken wat de gevolgen zijn van zijn acties. Volgens mij is het gewoon laksheid geweest.
Ik denk dat het er wel degelijk mee te maken heeft. Justitie heeft blijkbaar geen beleid op het gebied van veiligheid:
- heeft belangrijke bestanden thuis (waar is zijn kantoor?)
- geen encryptie
- geen regels t.o.v. af te danken apparatuur met essentiële informatie
- enz.
Justitie heeft zeker wel een beveiligingsbeleid! Ik heb er gewerkt en dat was al een jaar of wat geleden. Toen was deze al redelijk streng. Maar zoals ik hierboven al beschreef is er altijd een manier om hier omheen te werken door gebruikers.

Toninho heeft ook niet voor niks zelf besloten om te vertrekken. Hij zal wel beseft hebben dat hij zelf verantwoordelijk is voor zijn daden omdat hij de regels vertreden heeft :Y)

Het is trouwens waar wat mjtdevries zegt dat personen met veel verantwoordelijkheid vaak de regels overtreden.
Het is ook niet ongebruikelijk dat er een goede beheerder achter een nog beter systeem staat.

Als er 1 type persoon is die systeemsubjectief is, dan is het de beheerder wel.
Je hebt gelijk als het gaat om de discussie, het gaat niet alleen om veiligheid, ook om functionaliteit.
Je kiest niet de een of de ander, het gaat om het compromis. et beleid moet de beste keuze zijn.
Overall zeggen ze dus dat Windows beter is dan Linux.

"Windows wordt alleen zoveel aangevallen omdat dit besturingssysteem zoveel gebruikt wordt." <-- Verdediging Windows, ook al is het waar.

"Open source is minder veilig omdat hackers makkelijker de lekken kunnen vinden." <-- Nadeel Linux

"er zijn meer beveiligingsmeldingen voor Linux, dus dit besturingssysteem is onveiliger". <-- Slecht aan Linux

"Het duurt langer voordat er een patch beschikbaar komt voor de problemen in Linux" <-- Nadeel van Linux

Is dit onderzoek soms door Microsoft betaald? Of is Linux echt zo slecht als ze hier veronderstellen?
Is dit onderzoek soms door Microsoft betaald?
Heb jij het onderzoek soms niet gelezen?

Zie het stukje: Myths and Facts
En de bron...
* Nicholas Petreley's former lives include editorial director of LinuxWorld, executive editorial of InfoWorld Test Center, and columns on InfoWorld and ComputerWorld. He is the author of the Official Fedora Companion and is co-writing Linux Desktop Hacks for O'Reilly. He is also a part-time Evans Data Analyst and a freelance writer.
Oftewel iemand die zijn open source boterhammen verdient met...jawel, Linux.
Da's dus net zo'n betrouwbaar verhaal als een gesponsored onderzoek.

Je kunt op sites als secunia een keurige lijst met security vulnerabilities per OS, applicatie en ja, ook, per versie van kernels terugvinden dus wat hier nieuw aan is weet ik niet en het is bepaald geen betrouwbaar rapport uit onbevooroordeelde bron te noemen, eerder een tendentieus stukje van een Linux activist.
het is misschien wel geschreven door een linux zealot echter een hele hoop feiten wat hij noemt ten gunste van linux en ten koste van windows kloppen wel. nu is het eigenlijk eerder afwachten op een windows fanaat om het tegenover gestelde te beweren en dan die twee eens naast elkaar te leggen en te kijken wat voor beeld het dan schetst.
maar ik denk eigenlijk dat de praktijk al genoeg aantoond dat admins meer vertrouwen hebben in bsd/unix varianten dan windows. kijk naar webcraft :)
Oftewel iemand die zijn open source boterhammen verdient met...jawel, Linux.
Da's dus net zo'n betrouwbaar verhaal als een gesponsored onderzoek.
Nee, je vergelijking gaat mank.
In een discussie omtrent wat de 'feiten' zijn, zoals die door MS gepresenteerd worden ("get the facts" heet hun campagne), is dit verhaal een weerwoord van de tegenpartij.

En ze plaatsen goede argumenten tegenover de argumenten van MS die MS als feiten wil laten doorgaan.

Je moet dit dus zien als een publiek debat, van de kant van MS met een reklamecampagne gevoerd, met veel stelligheid maar weinig (publieke) inhoud, waarbij door dit verhaal duidelijk gewezen wordt op de zwakke punten die in de MS reklame als absolute waarheden (en voor iedereen absoluut geldend) gepresenteerd worden.

Laten we wel zijn: in de gesponsorde onderzoeken worden b.v. gevallen getoond waarin MS oplossingen goedkoper zijn. Prima. Maar dan wordt geextrapoleerd naar: dus Linux is duurder. (Enzovoort.)
Het probleem met gesponsorde onderzoeken is dat er vantevoren naar een bepaalde uitkomst gewerkt wordt (of zou kunnen worden).

Vergeet ook niet dat een wetenschappelijk onderzoek een antwoord dient te vinden op een vraag of kwestie, en dat het herhaalbaar dient te zijn, waarbij in dezelfde situatie dezelfde uitkomst gevonden zou moeten worden. Daarom staan onafhankelijke onderzoeken hoog op de ladder van referenties. Gesponsorde onderzoeken zijn niet onafhankelijk, en dus minder betrouwbaar.

Het betoog van N.Petreley is een betoog, niet een onafhankelijk onderzoek. Je kunt niet zeggen dat het betrouwbaar is of niet, het betoog wordt opgebouwd en als je daar niks in vindt dat niet klopt dan ben je het er blijkbaar mee eens. Bij een onderzoek wordt eindinformatie gepresenteerd, zonder dat je kunt nagaan waarop die gebaseerd is. Met andere woorden: bij een onderzoek waarvan je alleen de resultaten gepresenteerd ziet zul je vertrouwen moeten hebben op de gebruikte methoden en werkwijzen, alsmede de uitvoerende personen en dergelijke.

Bij een betoog hoef je niet op de redevoerder te vertrouwen, je kunt direct nagaan of zijn betoog drogredenen gebruikt of niet.

Zoals genoemd zijn de gebruikte (tegen-)argumenten inderdaad niet nieuw, maar wel netjes samengenomen en gestructureerd gepresenteerd.


Het enige wat hier jammer aan is is dat het niet benadrukt dat veiligheid niet een systeemeigenschap is maar een proces. De systeemeigenschappen kunnen het proces wel beter of minder goed ondersteunen, maar het proces 'veiligheid' is niet een systeemfeature.
Ooit gehoord van "Get The Facts"? Een reclame campagne van Microsoft waarin ze zogezegd met onafhankelijke studies afkomen en waarin MS er altijd beter uitkomt dan Linux. 1 van die rapporten handelt ook over veiligheid en komt met de omgekeerde conclusie : Windows zou het veiligst zijn met als hoofdreden dat daar net het minst aantal fouten voor gepubliceerd worden.

Geen enkel onderzoek zal ooit volledig onafhankelijk genoemd kunnen worden, maar ik vind dit interessant om lezen.
Iedereen weet dat security by obscurity niet werkt.
Misschien moet je het artikel eens lezen? Het is namelijk eerder oneerlijk pro-linux dan pro-windows. Ik kijk hier misschien met een wat vertekend beeld tegenaan als 100% linux gebruiker, maar dat is meer het beeld wat het onderzoek bij mij achterliet.

Het belicht de sterke punten van Windows bijna niet en de zwakkere punten van Linux ook niet. Ik ben het echter slechts gedeeltelijk eens met de "conclusie" van het onderzoek: Linux is veiliger, maar dat komt meer door zn gebruikers en hun kennis van zaken dan door het OS zelf.
Greco, een mens met verstand! ;), Ben ik het volledig met je eens, hoe goed een product het is, een noobje krijgt het wel omzeep ;), toegeven, zo is het ook met veel andere dingen ook.
Volg een cursus begrijpend lezen of zo..
Dit zijn dus de bekende 'vooroordelen' van de besturingssystemen. Dat zijn dus geen dingen die ze zelf verzinnen, maar de algemene zinnen die je tegenkomt in een Linux VS Windows discussie. Deze haalt men hier ff aan om ze tegen te bewijzen. Dat zijn dus NIET de resultaten van het onderzoek of dus de mening van de auteurs!
Neemt er iemand eigenlijk The Register serieus op deze wereld of ben ik de enige die dit onderzoek met zo'n bronvermelding direct de vuilnisbak in verwijst?

En dan heb ik het nog niet eens over twijfelachtige vormen van vergelijking die Linux als beter markeren omdat Microsoft zelf meer issues als kwalijk inschat dan Redhat, die bevestigen alleen maar hoeveel waarde we aan het 'onderzoek' als geheel moeten hechten :)
Nou ja, in ieder geval is The Register ietsje geloofwaardiger dan The Inquirer.

Maar The Register is al jaren anti-MS en er staat ook niets nieuws in hun artikel, dus veel waarde hecht ik er ook niet aan.
jahoor is het weer zo ver?
altijd zijn er mensen die zeiken als MS gebashed wordt en nu komt Linux beter uit de test en komt de MS fanclub weer zeiken dat het geen geloofwaardig artikel is.
Als je nog steeds denkt dat windows veiliger is dan linux loop je toch echt met een bord voor je kop. ik heb dat artikel niet nodig om in te zien dat linux een stuk minder security issues heeft dan MS.
Right. Heb je het rapport ook echt gelezen? De argumentatie in het stuk over de mythen is op zijn minst zwak te noemen, en is absoluut een simpele herhaling van wat Linux-voorstanders al jaren zeggen. Niets nieuws, en zeker niet onafhankelijk.

Jammer, maar dit stuk heeft totaal geen waarde. Jammer genoeg is er geen enkel onderzoek dat echt onafhankelijk te noemen is, en dit soort verhalen zijn simpelweg aanfluitingen. Dit doet de Linux wereld meer pijn dan goed.
Raido: je kent me waarschijnlijk niet zo. Kijk eens op http://kryz.org of zo - geen Microsoft stukje te vinden, maar zeker wel wat Linux-gerelateerde verhalen. Ik vind Microsoft persoonlijk een drama qua security, en Linux een stuk veiliger. Maw: ik support Linux absoluut. Ik zeg toch niet voor niets dat het jammer is dat het niet onafhankelijk is?

Ik zou zeggen: lees het eens. Als je objectief kijkt steekt het gewoon slecht in elkaar. Als je dat niet ziet, dan ben je net zo blind als de gemiddelde Microsoft fanaat.

Jammer overigens dat ik mijn voorkeur kenbaar moet maken, omdat ik anders voor "Microsoft-minded" en een "dwaas gebruikertje" uitgemaakt wordt. Wie heeft er nu een bord voor zijn kop?
Doet me denken aan het verhaal van Jip en Janneke en nu citeer ik de wijsgeer Jip : "als jij het beter weet, moet jij maar dokter zijn".

Allemaal dwaze gebruikertjes die met een joekels groot bord voor hun kop lopen, zo snel er iets negatiefs over Big Daddy Microsoft wordt gezegt, is het direct boe ende boosch... Nee je merkt inderdaad weinig van de veiligheidslekken in een OS, totdat je je toch afvraagd hoe je pc zo langzaam word omdat he vergeven is van enge meug door grote boze hackers er op gezet...

Mensjes open je ogen! Er is geen clean-OS zonder lekken maar Windows is nu eenmaal minder veilig en heeft meer lekken dan een Linux-distributie... daar gaat het om, niet om of het meer geld kost of weet ik wat voor iets...

Als jij het zo zeker weet, dat dit een flut artikel is, schrijf dan zelf een goed onderzoek, en toon aan dat het dus absoluut subjectief is gebeurd, ik wens je veel succes, ter zijner tijd, als je onderzoek af is komen wij wel om te zeggen dat het Microsoft-minded is...
Je kan gewoon het artikel lezen, en dan zie je dat het niet van de hand van the Reg is maar van Nicolas Petreley, een Linux voorstander.

Maakt dat de inhoud waardeloos?
Nee.

Vertel me liever wat er inhoudelijk aan mankeert.
Net zo goed als dat dit artikel probeert uit te leggen wat er inhoudelijk mankeert aan de 'get the facts' reklamecampagne van MS.


Ps the Reg en the Inq hebben vaak inside info en speculeren ook vaak. Dat maakt wat ze schijven niet per se waardeloos, je moet gewoon weten hoe je e.e.a. moet inschatten.
In dit geval zou ik zeggen: vertel maar waar de redenering fout gaat. Ik zie hier vreselijk veel commentaar, maar weinig onderbouwde kritiek wat er mis is met het artikel.
RobT, je vraagt om onderbouwing van de kritiek op het stukje dat op The Register staat, en dat lijkt me op zich niet meer dan logisch. Ik ga niet alles opnemen, maar neem even wat samples uit het stukje dat oude mythen probeert te weerleggen (Busting The Myths):

- De Netcraft meting waarin de top 50 van langst draaiende webservers staan wordt bijna volledig geheersd door BSD/Apache combinaties. Men ziet dat als bewijs dat Open Source stabieler is dan Microsoft produkten. Echter, wat zie ik: de eerste twee uit de lijst lijken wel erg hetzelfde... en jawel hoor, hetzelfde IP adres! Okay, even een paar van de nummer 15 t/m 50 controleren, gezien de opvallende overeenkomsten... Niet exact dezelfde IP adressen, maar het meeste wel in hetzelfde IP block - zou dat een cluster machines zijn, of gewoon 1 webserver met veel IP adressen? De enige zaken die niet overeenkomen bij al die sites zijn gemiddelde uptimes en aantal samples, maar ik heb vaag het vermoeden dat deze twee nauw gerelateerd zijn. Dus de top 50 wordt misschien wel bezet door een klein tiental machines, als het er niet minder zijn. Hebben we iets aan deze data? Ik vraag het me af. Oh, en kijk dan voor de gein nog even naar de inhoud van de websites van de top vier. Gewoon, even openen in je browser. Moet je kijken wat een systeembelasting dat zal opleveren. Dan heb ik wel respect voor die uptimes hoor.
- Open Source is Inherently Dangerous: ze zeggen dat, hoewel Apache 68% van de markt voorziet van webserver software, IIS veel vaker misbruikt wordt door worms en andere vervelendheden. Dat kan wel kloppen, maar ze zien dat als direct bewijs dat de kwaliteit van Open Source software dus helemaal niet per definitie slechter is. En Sendmail dan? Was dat een security-paradepaardje? Eén zwaluw maakt nog geen zomer.

Ik heb het voor de rest ook gelezen, maar ik vond het verhaal zo doorspekt met vooroordelen en stemmingmakerij dat ik er een beetje misselijk van werd. Ik hou het hier even bij, ik ben moe en moet slapen.
The United States Computer Emergency Readiness Team (CERT) uses its own set of metrics to evaluate the severity of any given security flaw. A number between 0 and 180 expresses the final metric, where the number 180 represents the most serious vulnerability.
Het blijft jammer dat Linux nog niet dermate gebruikersvriendelijk is dat de gemiddelde computer-n00b er mee kan werken. Dat is ook HET argument dat de gemiddelde gebruiker geeft.

Teveel mensen zijn al gewend aan de "standaard" windows interface. Uiteraard zou ik ook liever computers leveren met Linux (zelf hele goede ervaringen mee) maar ik weet dat de meeste mensen er problemen mee krijgen die ik ook niet 123 op kan lossen.
Wat sowieso voor servers een goed ding is, want dat vereist dat de adminstrator van de betreffende server tenminste verstand van zaken heeft voor hij e.e.a. aan de gang krijgt, in tegenstelling tot bij Windows waar hij gewoon moet weten hoe je met de muis op knopjes klikt. In 9 van de 10 gevallen krijg je dan een resultaat wat ongeveer is wat je bedoelde(bijvoorbeeld, de webserver draait en is bereikbaar vanaf het internet).

Voor de desktop is dat inderdaad een iets ander verhaal, maar het artikel gaat ook voornamelijk over servers.
Het probleem van Linux is ook eigenlijk dat er in tegenstelling tot Windows geen 'standaard Linux-interface is'. Als iemand een probleem heeft met Linux, moet je eerst gaan vragen welke van de vele windowmanagers er gebruikt wordt. Dat is de kracht van Windows, op een leuk skinnetje na is het overal hetzelfde.

Omgekeerd is de security en multi-user er in Windows maar een beetje ingehackt omwille van de backwards compatibility, terwijl dat in Linux nooit anders is geweest.
@CS-alcoholic
Over welke distributie praat je als je zegt dat Linux niet gebruikersvriendelijk is?

Kijk het maakt mij niet wat iemand gebruikt, gebruik zelf winXP en Suse9.1 en wat gebruikersvriendelijkheid doen ze niet voor elkaar onder (in mijn ogen).
Ik heb bij mijn ouders Suse9.1 geinstalleerd en ze werken er net zo snel mee als dat ze dat deden met windows (ze zijn dus duidelijk gebruikers van een systeem en het intreseert ze niet hoe het werkt, als het maar werkt).
Ok, het zit iets anders in elkaar, maar het werkt net zo goed, ook plug&play werkt goed.

Ik vraag me dus eigenlijk af, hoe lang het geleden is, dat je een Linux distributie bekeken/gebruikt hebt.

Diverse Linux distributies, zijn echt met enorme sprongen vooruit gegaan, zou zeggen probeer eens een moderne distributie.
Wie veiligheid wilt, moet er zelf voor zorgen. Er is geen waterdicht systeem.
Het hoeft ook niet water dicht te zijn.

De belangrijkste vraag die men zich moet stellen voordat men begint met beveiligen. Hoe interessant is de informatie voor derden.

Er ontbreken namelijk 99 van de 100 keren goede risico inventarisaties.
Klopt. En zelfs ALS ze die al hebben, is de stap van een risico inventaris naar er daadwerkelijk iets mee doen een grote.
Precies, een waterdicht systeem bestaat niet. Nou ja, behalve misschien bij een watergekoeld systeem ;)
* Nicholas Petreley's former lives include editorial director of LinuxWorld, executive editorial of InfoWorld Test Center, and columns on InfoWorld and ComputerWorld. He is the author of the Official Fedora Companion and is co-writing Linux Desktop Hacks for O'Reilly. He is also a part-time Evans Data Analyst and a freelance writer.
Hm, zoals ik het lees is het een echt Linux mannetje. Over zijn stuk vind ik dat hij windows behoorlijk onderuit haalt, en blijft ook vaag in veel van zijn beweringen.

Verder vind ik de vergelijking tussen windows bugs en linux bugs een beetje vaag. Van veruit de meeste windows bugs zul je nooit iets horen. Er is niet iets zoals linux' bugtrack systeem. Daardoor hoor je alleen iets van de serieuzere bugs.

Al met al vind ik het stuk gigantisch zichzelf opblazen. De titel past dan ook totaal niet bij het stuk: 'Windows v Linux security: the real facts' had beter 'Windows v Linux security: more myths'
Oh zo'n lijst is er wel degelijk voor Linux.

Ga hier maar eens kijken voor bijvoorbeeld RedHat AS 3

http://secunia.com/product/2535/
Da's ook precies wat 'ie zegt: zo'n lijst is er wel voor Linux, maar niet voor Windows.
Ik ben echt niet pro linux of tegen MS maar...
Het verhaal wat die man schrijft is zo klaar als een klontje.
Als je als software product manager bij microsoft naar binnen loopt kun je al deze informatie zo opvragen.
Net als informatie opvragen over de beeldbuis die in je monitor zit.
En als je enigzins verstand van besturingsystemen hebt weet je dat het geen onzin is wat er verteld word.

"Van veruit de meeste windows bugs zul je nooit iets horen"
Right, en die 50+ patches op windows update staan daar voor de sier..
Voor de goeie orde neem ik dan ook maar aan dat je linux bugs bedoelde..
Omdat linux modulair is opgebouwd bestaat het dus ook uit veel losse software deze word over het algemeen bijgehouden op sourceforge wat tevens een bugtrack systeem bevat.

Met windows ontvang je inderdaad meer kritieke bugs, wat niet vreemd is omdat, zoals het verhaal verteld, windows nou eenmaal zou gebouwd is dat als er ook maar de kleinste bug in zit je gelijk het hele systeem meeneemt.
Dit kun je alleen al opmaken uit het feit dat je meteen een BSOD krijgt waaneer er ook maar iets misgaat.
In tegenstelling tot bij linux waar alleen je XWindows eruit knalt.
Zou het niet zo zijn dat nvidia en ati hun drivers zelf schrijven, los van de windows kernel, dan zou dit probleem zich nog steeds voordoen.
Heeft iemand van jullie dat rapport wel gelezen?

Het is duidelijk geschreven door mensen die nog niet zo lang naar de internals van OS'en kijken of die niet de moeite genomen hebben om zich objectief in de architectuur van Windows te verdiepen. Windows NT is ontworpen met security als belangrijkste functionele eis. Het is volledig opnieuw ontwikkeld (van '88 tot 92) en zeer modulair opgezet met volledige afscherming van gebruikerscode t.o.v. de kernel. Natuurlijk is het een stomme zet van Microsoft geweest om het grafische subsysteem bij de overgang van NT 3.51 naar NT 4.0 in de kernel onder te brengen maar dat maakt Windows nog niet monolitisch.
Het gebruik van IE als HTML parser is maar een heel klein deel van de functionaliteit van het OS. Je kan jaren een server draaien zonder maar een byte code van IE uit te voeren.

Windows is vanaf het eerste ontwerp een multi-user OS. Ook onder NT kon je al m.b.v. een telnet server concurrent users ondersteunen, als je dat zo graag wilde. Het belangrijkste punt is dat bij elke call in het systeem de rechten van de gebruiker worden gecontrolleerd. Of je nu geheugen wilt alloceren, een file wilt accessen of een grafische call wilt doen, het systeem bepaald of dat is toegestaan in jouw security context.

B.T.W. ik draai hier ook Fedora en NetBSD en daar doe ik het meeste werk onder het root account. Maakt dat beide OS'en dan ook onveilig?

Dat hoofdstuk over de verschillen in design van Linux en Windows maar het hele rapport onbetrouwbaar.
Natuurlijk is het een stomme zet van Microsoft geweest om het grafische subsysteem bij de overgang van NT 3.51 naar NT 4.0 in de kernel onder te brengen maar dat maakt Windows nog niet monolitisch.
Van een niet-monolitisch systeem verwacht ik dat je zelf mag kiezen of je wel of geen webbrowser installeert, of wel of geen GUI, etc.

Ik kan me niet herinneren bij Windows de keuze te hebben gehad om het grafische deel niet te installeren. Want wat moet bijv een dedicated webserver, of een dedicated mailserver met een grafisch interface?

Vergeet niet dat elke extra component dat je installeer een mogelijke veiligheidsrisico is, omdat zo'n component ook veiligheidsbugs kunnen bevatten.

Windows is, zoals de gebruiker het voorgeschoteld krijgt dus absoluut monolitisch.
In het rapport beschrijven ze monolistisch niet zoals jij dat doet. Jij beschrijft modulair.

Monolitisch wordt beschreven als een systeem waarbij bijna alle functionaliteit is ondergebracht in een enkel component. Waarbij de functionaliteit niet is ondergebracht in onafhankelijke lagen die (qua security) van elkaar gescheiden zijn. Eerst beweren ze dat Windows te veel functionaliteit in de kernel heeft zitten, vervolgens hebben ze het alleen over IE. IE is een applicatie. Veel van de functionaliteit van IE is ondergebracht in DLL's die ook door andere componenten (zoals het help systeem) gebruikt worden. Niets van deze code draait in de kernel.

De uitleg met de afgeschermde lagen die niet in Windows geimplementeerd zouden zijn gaat ook mank. Windows maakt net als Linux (op i386) gebruik van 2 van de 4 "ringen" van de i386 processor. Ring 0 is de privileged ring waarin alles toegestaan is. Voordat je code in ring 0 kan uitvoeren, is door het security subsysteem gecontroleerd of dat wel toegestaan is. In ring 3 wordt de normale code uitgevoerd. Dit is niet alleen applicatie code maar ook het grootste deel van de OS code. Hier is echt geen verschil tussen Linux en Windows.

Hoe meer je naar de architectuur van besturingssystemen gaat kijken, hoe meer ze op elkaar blijken te lijken. Of je nu naar Unix, OS/2 of Windows NT (= OS/2 3.0) gaat kijken, de zelfde problemen zijn ongeveer op dezelfde manier opgelost.

De meeste security flaws zijn veroorzaakt door problemen in applicatiecode (buffer-overruns) en niet in kernel code. Dat het toch vaak om Operating System code lijkt te gaan in het geval van Windows, wordt veroorzaakt door het grote aantal meegeleverde applicaties.

Als er een probleem wordt ontdekt in IIS, is het een probleem van Windows omdat IIS wordt meegeleverd. Als een probleem in Apache wordt ontdekt, is het opeens geen Linux probleem ondanks het feit dat Apache in de meeste distributies van Linux wordt meegeleverd.

Je hebt gelijk als je bedoeld dat Windows niet modulair is. Je kunt bij de installatie niet kiezen voor een andere desktop, shell of grafische library zoals bij de meeste Linux installs. Maar Windows is zeker niet monolitisch.

Windows is trouwens ook prima headless te draaien. Daar is Windows XP embedded voor bedoeld. Er draaien heel wat Webservers en NAS'en op Windows zonder toetsenbord, muis of grafische adapter. Volledig te managen via een webinterface. De architectuur een het grootste deel van de code van Windows XP embedded is identiek aan die van de gewone Windows.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True