Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties
Bron: Ematic Interactive, submitter: rickmans

Ematic Interactive, een bedrijf dat gespecialiseerd is in de ontwikkeling van weboplossingen op basis van opensourcesoftware, heeft een onderzoek gehouden onder 200 van de meest bezochte Nederlandse websites. Door middel van de zogenoemde Netcraft-methode, wat inhoudt dat de gegevens uit de headers van de webpagina's worden gehaald, heeft het bedrijf een beeld gekregen van het gebruik van verschillende softwarepakketten op grote websites. Uit het onderzoek is gebleken dat Linux-besturingsystemen de grootste voorkeur genieten, met Windows op de tweede plaats. De opensourcedistributies werden door 47 procent van de gevallen gebruikt, terwijl Microsoft's commerciŽle pakket voor maar 23 procent was vertegenwoordigd. Wat webservers betreft, is Apache het meest geliefd. De serversoftware werd door 120 van de 200 sites gebruikt, ruim twee keer zoveel als de Internet Information Services van Microsoft, die op 53 webhosts geinstalleerd waren.

Als de bezoekersaantallen worden bekeken, blijkt Linux vooral populair te zijn bij de websites die maandelijks tussen de 1,5 en 3 miljoen bezoekers trekken. Bij meer dan 3 miljoen unieke bezoekers is weliswaar het percentage lager, maar is eveneens de groep met 'Overige' een stuk groter. Ematic denkt dat dit komt omdat, naast het simpelweg verbergen van het besturingsysteem om veiligheidsredenen, de providers de webserver zelf hebben aangepast, waardoor het type niet meer te achterhalen is. Wanneer de websites worden gesorteerd op categorie, komt naar voren dat de softwarekeus daaraan gebonden is. Als het gaat om nieuwspagina's, en audiovisuele en entertainment websites, heeft Tux het leeuwendeel in handen. Microsoft's kas wordt voornamelijk gespekt door de zakelijkere kant van de veelbezochte sites, namelijk de contact, financiŽle en e-commerce websites.

Gebruik OSS bij veelbezochte sites (categorie)
Moderatie-faq Wijzig weergave

Reacties (39)

Onderzoek op basis van headers zegt geen fuck! Wij hebben alle servers zo geconfigureerd zodat IIS zich identificeerd als Apache op FreeBSD. Enig idee hoevoek hack pogingen dat voorkomt!

Laat al die script kiddies maar een Apache + PHP tools los op onze IIS server..

Zelfs de extentie php wordt afgehandeld door isapi_aspnet.dll. Het enige waaraan je kunt herkennen dat het asp.net betreft, is aan een aantal html fragmenten in de html source.

En ik weet van veel andere collega's dat zij dezelfde tacktieken gebruiken om IIS attacks te voorkomen.
Toevallig met de mod_security apache layer5/7-firewall module?! Heb ik ook op mijn Apache/PHP thuisbakkie gedaan. Identificeert zich als IIS5 en poept asp-pagina's uit.

http://www.modsecurity.org/
Ik denk dat Niemand_Anders het omgekeerde bedoelde, een IIS die zich identificeert als een Apache/Php machine..
Inzake verbergen van de echte OS/webserver combinatie:
Ik vraag me af in hoeverre het echt mogelijk is om bijvoorbeeld te verbergen dat je op Windows draait (tenzij dat je er een reverse-proxy onder Linux/*BSD oid voor zet) - Netcraft bepaalt het OS namelijk niet uit de headers van de HTTP reply maar op TCP/IP gebied.

Edit - "typo": netstat -> netcraft
Security through obscurity, klinkt als een heel goed plan. :/
Zolang je niet alleen maar daarop vertrouwt is er helemaal niets mis met security through obscurity.
Je wou zeggen dat IIS als IIS terug geven wel verstandig is? Je moet de kans op problemen zo klein mogelijk maken. Dit is een erg simpele, maar effectieve methode.

Als je bekend dat de kennis van een script kiddie over het algemeen zeer beperkt is, is dit een zeer goede 'first wave defense'.

Overgens, je error pages vervangen door degene van Apache helpt ook. Ik ben een aantal vervelende gasten die express een 404 error veroorzaakte om zo de server te identificeren.

Verder gaat dit artikel niet over beveiliging, maar over het feit dat onderzoekers hun resultaten baseren op http headers, wat net zo effectief is als spam identificeren op basis van from address..

In de top 200 staan zeker bedrijven die door ons worden gehost en door hun bijna zeker als apache zijn geteld. Daardoor zijn de resultaten op z'n minst twijfel achtig.

Nog los van het WC eend verhaal (OS implementator zegt dat OS vaker wordt gebruikt van closed source).
Security Through Obscurity is niet iets wat je gebruikt voor de beveiliging, echter uit kosten overweging is het een goede zaak om het erbij te doen.

Wij genereren ongeveer 6TB per maand minder netwerkverkeer door gebruik te maken van STO, dat tikt erg snel aan. Niet zozeer in de kosten, omdat we vaste bedragen betalen voor de OC-lijnen, maar de servers zijn op die manier wel veel beter bereikbaar voor het 'echte' verkeer.

Poort 21 bijvoorbeeld wordt keurig door onze OC-providers geblokeerd, zodat onze eigen firewall het niet meer hoeft te filteren. De 1 miljard pakketjes per uur die we vroeger wel eens moesten verduren voor een brute-force DDoS aanval richten dan geen schade meer aan. Op onze websites staat keurig de juiste poort die onze klanten moeten gebruiken, echter 99% van de portscans worden gedaan door script-kiddie-toolkits, en het is juist al dat verkeer wat je erg fijn met STO kan vermijden.

POP, SMTP, FTP, RDP, SQL, VPN, etc kunnen dus prima via alternatieve poorten geregeld worden.
Lach maar, maar dit gebeurt vaker dan je denkt.

Wat dacht je van deze: draai een zware applicatieserver (bijvoorbeel Java) achter een Apache die niks anders doet dan statische images serven en doorproxyen naar de applicatieservers.

Als je de Apache's zo kaal mogelijk houdt heb je meteen twee voordelen in een klap:

- Statische images en dergelijke vetragen je applicatie niet
- Een zo kaal mogelijke apache is stukken moeilijker te hacken

Daardoor is dit onderzoek vast met een korreltje zout te nemen. Het bedrijf waar ik voor werk hoort vast bij het lijstje dat door dit bedrijf onderzocht is, alleen jammer dat ik die lijst nergens kan vinden.

Het hele onderzoek lijkt me trouwens iets dat door een hobbyclubje in mama's garage gedaan is door schaamteloos gegevens van Netcraft te rippen.
EN je had nog meer hackpogingen kunnen voorkomen door je als een compleet onbekende server te identificeren, dan laten de scripts kids geen standaard tools los. had je nog wat bandbreedte bespaard ook. :D
Ik denk eerder dat men dan ALLE standaard tools erop los laat...
Wij hebben alle servers zo geconfigureerd zodat IIS zich identificeerd als Apache op FreeBSD. Enig idee hoevoek hack pogingen dat voorkomt!

Laat al die script kiddies maar een Apache + PHP tools los op onze IIS server..
En dat doen jullie omdat die scripjes het ook doen...

OMG wat is ISS een fantastisch systeem! :P
Het is idd vrij knap opgezet van de NASA in samenwerking met de ESA ;)
Best goed idee, maar er zijn tegenwoordig ook genoeg tools die met behulp van http fingerprinting kunnen bepalen of je je headers spooft of niet.
ben ik nu zo stom, of klopt er iets niet aan dit onderzoek? 53 van de 200 sites gebruikt IIS (+/- 26%) Terwijl ze zeggen dat maar 23% (46 sites) windows als OS gebruikt.
Bijvooreeld omdat de IIS-server achter een Linux-proxy hangt. Op die manier heb ik ook wel eens zogenaamd een IIS-server op een Debian-bak gehad. :)
Op die manier heb ik ook wel eens zogenaamd een IIS-server op een Debian-bak gehad.
Maar dan moet je toch een IIS-server achter een windows-proxy hebben?
nee, een ISS-server (op windows), die achter een debian-proxy staat...
Waarschijnlijk omdat het besturingssysteem minder vaak wordt vrijgegeven dan welke webserver wordt gedraaid :)
Het type webserver is gewoon te herkennen; ook al hangt deze achter een proxy.
Ik mag hopen dat er in het onderzoek ook is gekeken naar het gebruik van de betreffende webserver.
Een *nix O.S. i.c.m. een IIS webserver zou op die manier niet voor kunnen komen.
Een controle van enkel het "server os" zal daarnaast lang niet altijd het juiste resultaat opleveren omdat nagenoeg ieder bedrijf een router gebruikt die zichzelf lang niet altijd identificeert richting de buitenwereld.

Een nmap -o (hostname) levert zodoende in veel gevallen een incorrecte beschrijving van het gebruikte server O.S.
Misschien een Linux server die IIS in Wine draait? ;)
(alhoewel ik me geen reden voor zou kunnen stellen waarom...)
Voor alle tweakers die willen weten wat GoT en Tweakers.net gebruikt:
reviews: Tweakers.net serverpark
Alle servers met uitzondering van draaien een Linux-distributie: op Artemis en Apollo draait een AMD64-versie van SuSE Linux, de andere servers zijn uitgerust met een AMD64 of 32-bits versie van Debian of Slackware. Bij vervanging van servers zullen Slackware en SuSE worden vervangen door Debian
;)
Verbaast me niks. Nederlanders hebben algemeen een mentaliteit zoals Dagobert Duck... het liefst gratis. :P
*zucht*

"free as in free speech" and not "free as in free beer."[/offtopic]

wat ik eigenlijk wel zou willen weten is WAARDOOR de verschillen komen........ is het zo dat de contact, financiŽle en e-commerce website beheerders gevoeliger zijn voor ms marketing, of heeft dit een andere reden?
Naar mijn mening zie je een duidelijke tweedeling tussen "traditionele bedrijven" sites en "hobby" of "uit hobby ontstane" sites.

De traditionele bedrijven gebruiken windows. Die maken zich niet druk om licentie kosten, en kunnen ook wel een beheerder betalen die een windows server wel veilig kan maken. (en anders hebben ze er wel een goede firewall voor gezet)

De rest is waarschijnlijk uit financieel oogpunt uit met Open Source begonnen, en is daarna daar uiteraard op gebleven.
Bij grote websites zitten de grootste kosten meer bij hardware, bandbreedte en onderhoud/beheer van servers. Linux is uiteraard met licentiekosten wel iets goedkoper dan Windows, maar de keus voor Linux heeft meestal andere redenen dan licentiekosten.

Daarnaast heeft Apache zich inmiddels wel als zeer stabiel bewezen op gebied van webservers.
misschien zijn het wel virtuele machines... kan maar zo
Kunnen ze nog kleinere grafieken maken?? Ik kan de laaste grafiek de tekst bijna niet lezen!
Dit soort onderzoeken vind ik eigenlijk niet zo super interesant. Een beetje naar de headers kijken is wel wat flauw. Liever zou ik eens een onderzoek zien wat een aantal sites nu -echt- gebruikt aan de binnen kant. Lijkt me zeer interesant om nu eens te zien hoeveel % van de websites nu eigenlijk Spring gebruikt, en hoeveel % JSF, Struts, Webworks, of ASP.NET of RoR etc.

Dat zou een veel interesanter plaatje opleveren.
Ematic denkt dat dit komt omdat, naast het simpelweg verbergen van het besturingsysteem om veiligheidsredenen, de providers de webserver zelf hebben aangepast, waardoor het type niet meer te achterhalen is.
Is dat eigenlijk niet twee keer precies hetzelfde? :?
Waar blijft die WC-Eend grap?
komt ie dan:

Wij van WC-Eend adviseren om altijd de juiste software te gebruiken.
Pas op: Meng WC-eend niet met andere producten!
ik ben -naar aanleiding van dit bericht- eigenlijk wel benieuwd welke de 200 grootste Nederlandse sites zijn. Iemand een link?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True