Gartner: Gebruik geen IIS

Op de site van de Automatisering Gids is te lezen dat Gartner blijkbaar niet echt te spreken over IIS, het webserverpakket van Microsoft. Het onderzoeksbureau adviseert bedrijven om geen IIS (meer) te gebruiken, en over te stappen op andere alternatieven, zoals Apache of iPlanet van Sun.

De voornaamste reden van dit advies is dat het programma te kwetsbaar is voor aanvallen, omdat er teveel beveilingslekken is de software zit. Verder zouden de beheerskosten van het programma veel te hoog zijn voor de meeste bedrijven, omdat er te vaak patches geïnstalleerd moeten worden:

Het installeren van de patches die bijna wekelijks door Microsoft worden uitgebracht om nieuwe lekken te dichten, verhoogt de beheerskosten bovendien onaanvaardbaar. Dat wordt volgens de analisten van Gartner nog eens onderstreept door het feit dat verschillende wormen waarvoor al een stopmiddel beschikbaar was, toch webservers infecteren. De beheerders zijn blijkbaar niet in staat het aantal updates bij te houden.

Gartner merkt verder nog op dat Microsoft steeds achter de feiten aan loopt, omdat het bedrijf zelf niet actief genoeg zoekt naar beveiligingslekken. Vaak worden lekken eerder door iemand anders ontdekt, waardoor hackers en virusmakers een voorsprong hebben op Microsoft.

Een woordvoerder van het bedrijf uit Redmond ontkent dat IIS onveiliger zou zijn dan andere producten. Alle webservers zouden last hebben van beveiligingslekken. Het bedrijf bracht vorige week nog het programma URLScan uit, wat IIS beter zou moeten beveiligen.

IT-banen

Reacties (128)

JaKaLa 26 september 2001 14:30

En nu? Hoeveel procent van de wereld draait IIS? Moeten die allemaal overstappen op een alternatief? En werken die alternatieven wel op een MS platform? Dus alle bedrijven moeten dan extra servers gaan bijkopen.
Laten ze eerst maar een geld investeren in Firewalls e.d. ISA in combinatie met Cisco PIX of Checkpoint Firewall-1... Dubbele firewall met DMZ... Binnenkomen lukt altijd wel, je kunt alleen voorkomen dat er schade aangebracht wordt...

Verwijderd @JaKaLa • 26 september 2001 22:03

En nu? Hoeveel procent van de wereld draait IIS?

20% ofzo?

Moeten die allemaal overstappen op een alternatief?

Nee hoor. Dat moeten ze helemaal zelf weten, maar het feit dat Gartner dit roept, zou ze op z'n minst aan het denken moeten zetten.

En werken die alternatieven wel op een MS platform?

Sommige wel, sommige niet. Dat moeten die bedrijven zelf maar beslissen.

Dus alle bedrijven moeten dan extra servers gaan bijkopen.

De aanschafkosten van een server bedragen maar ongeveer 5-10% van de totale kosten van een server. Dus een servertje meer of minder maakt niet zoveel uit. Zeker als je (zoals Gartner zegt) op die andere 90-95% flink kan besparen.

Laten ze eerst maar een geld investeren in Firewalls e.d.

Weet je wat de meest gemaakte fout bij beveiliging is? Roepen: "maar we hebben toch een firewall?".
Dit is dus duidelijk een uitspraak die ernstig in die

richting gaat. Een firewall is geen wondermiddel, maar slechts een van de hulpmiddelen bij het bouwen van een veilige verbinding

SvMp @JaKaLa • 26 september 2001 15:00

Zoals eerder iemand hier al zei: Een goede firewall helpt je niet tegen "foute" http-requests.
De meeste IIS-lekken kunnen zelfs met een goede firewall nog misbruikt worden.

Apache draait ook onder Windows. (php trouwens ook) Dus het is niet zo dat IIS de enigste keuze is die je hebt met Windows.

mxcreep @SvMp • 26 september 2001 15:57

Fout, daar kan een firewall wel tegen helpen.
Een klant van ons heeft 2 tunix firewalls die allebei aan http-screening doen, er worden dan alleen url's en parameters doorgelaten naar de webserver die van te voren vastgelegd zijn.
Geen shit meer naar de webserver dus....

xipetotec @mxcreep • 26 september 2001 17:40

heeft 2 tunix firewalls

Gelukkig weet je ook wat die kosten, zeker als je ze zo specifiek wil configureren.... De meeste bedrijven (bedrijfjes) hebben daar geen geld voor.... sterker nog, waarschijnlijk is IIS onderhouden nog goedkoper is als je afschrijving meetelt.

RG @mxcreep • 26 september 2001 18:41

Ja dat vind ik dus persoonlijk een beetje triest als je zoiets hebt. Een webserver dient gewoon veilig te zijn, klaar uit. En als je al je heil ziet in een firewall is dat al helemaal dom, vooral in die commerciele spullen, waravan je ook niet weet wat ze allemaal doen....

Verwijderd @JaKaLa • 26 september 2001 14:54

Ik denk niet dat alles omgezet zal moeten worden, maar als er een klant komt naar dit adviesbureau zal de kans groot zijn dat er geen IIS aangeraden wordt, waardoor het aantal IIS servers minder hard zal stijgen.

packman 26 september 2001 14:26

Dit is heel goed vind ik, tenminste iemand (in het bedrijfswereldje tenminste) die zijn nek wil uitsteken en de problemen bij de bron aanwijzen (en dan nog wel Gartner).
Overlaatst zei een kameraad die server admin is dat hij er absoluut van die ISS afwou -> te veel onderhoudswerk, maar niet mocht van het bedrijf waar hij werkt. Nu kan die kerel tenminste aantonen dat Gartner ook niet echt happig is op IIS en kan hij hiermee mischien z'n baas overtuigen.

Ik snap het trouwens nog steeds niet waarom MS absoluut unicode support in IIS wou, de meeste gaten zitten daar namelijk in.

Verwijderd 26 september 2001 14:21

Het feit dat de websever van M$ het meeste 'lekken' bevat heeft denk ik ook te maken met het feit dat hackers het waarschijnlijk leuker vinden om IIS te kraken dan een ander webserverpakket.

MikeN @Verwijderd • 26 september 2001 14:24

Ik denk niet dat het komt door IIS, maar dat het komt doordat IIS vaak op het Windows platform draait.

En het Windows platform is gewoon niet het veiligste platform. Dat valt niet te ontkennen.

Als je op FreeBSD of Linux draait, heb je met een redelijke setup, een veel betere beveiliging en kan je webserver geen programma's als root starten...

blade181 @MikeN • 26 september 2001 14:27

IIS kun je nu niet eenmaal draaien in Freebsd of linux omdat het ingebakken zit in windows net zoals internet explorer, wat wel een oplossing zou zijn is een freebsd bak als router laten fungeren en dan voor de webserver zetten in het netwerk., want wat freebsd wel heeft is echt een superbeveiliging!

En IIS heeft als enigste frontpage extensions!

burne @blade181 • 26 september 2001 14:51

Nog even los van wat je nou met Frontpage Extensions moet (ftp of scp zijn sneller, beter, en een *stuk* veiliger, en die vijf halfgare scripts kunnen ook wel beter) is dat simpelweg niet waar. Die extensies draaien al drie jaar op linux/apache bij Vuurwerk, om er maar even een te noemen die ik goed ken. Ook voor andere Unix-en zijn er extensies, tot en met Solaris aan toe.

Niet gaan lopen lullen, dus.

MikeN @blade181 • 26 september 2001 14:36

Dan nog is je webserver te hacken

Een router/firewall houdt echt geen foute requests tegen...

MikeN @blade181 • 26 september 2001 15:55

We hebben het hier over FreeBSD als router configgen. Dan gebruik je dus een packet filtering firewall, en daarmee kun je niet dit soort dingen eruit filteren.

Verwijderd @blade181 • 26 september 2001 19:21

In tegenstelling tot was sommige mensen hierboven beweren kan dit NIET met een firewall.

Wat zij waarschijnlijk bedoelen is dat dit wel kan met een application-layer proxy.

Verwijderd @blade181 • 26 september 2001 15:06

En IIS heeft als enigste frontpage extensions!

Oh?? Wat heb ik dan zo'n 2.5 jaar geleden zitten installeren op een HP doos met Apache (draaiende met HP-UX)

Afgezien van het feit dat je bewering onjuist is heb ik ook mijn twijfels over het nut van die extensies (creeert een hoop rommel op je server) en van je opmerking (nog meer rommel).

Om over Frontpeetzj maar te zwijgen.

blaatenator @blade181 • 26 september 2001 15:16

dat kan een firewall wel! Eén van de fouten in ISS is dat ie niks doet tegen onrechtmatige opdrachten (bv een veel te lange tekenreeks, waardoor een bufferoverflow ontstaat, die dus de mogelijkheid geeft onrechtmatige commando's uit te laten voeren). Daar kan een firewall wel degelijk uitkomst bieden.
Maar zou eigenlijk niet nodig moeten zijn, als men dit soort fouten er uithaalt.

ToAoM @blade181 • 26 september 2001 22:03

Firewall + reverse Proxy-ing apache is wel een aardige combi hier denk ik

Verwijderd @Verwijderd • 26 september 2001 15:00

...het feit dat hackers het waarschijnlijk leuker vinden om IIS te kraken dan een ander webserverpakket

Hoezo dat? Wat is er leuk aan om hacker nummer 4577 te zijn die een fout in IIS heeft ontdekt. Het is helemaal niet leuk om een kunstje te tonen als al velen je voor zijn gegaan. Je bent pas een echte dude als je een systeem kan kraken dat nog nauwelijks gekraakt is, voorbeelden genoeg:
- jaartje of 10 geleden werd een heel interessant gat ontdekt in Novell door een Nederlandse student
- vorig jaar werd een grove fout ontdekt bij Lotus Notes (was dat ook geen Hollander?)
- dit jaar foutje in encryptietechniek van Intel (door die Lee Towers look-a-like)

Het feit dat we deze zaken allemaal nog weten geeft wel aan waar de meeste eer mee te behalen is, wie was ook al weer ontdekker 2537 van een foutje in ISS?

xipetotec @Verwijderd • 26 september 2001 17:35

Klopt, Nederlanders hebben die fout in domino gevonden, zijn daar keurig mee naar Lotus gegaan en die hebben vervolgens de fout in de QMR eruit gehaald.
Je kon trouwens vrij eenvoudig die fout voorkomen door je server goed te configgen. Daardoor kon je met het gat niets, omdat je niet bij het gat kon komen. (ik weet vrij veel van domino)

Je hoort heel vaak verhalen over: Ja maar het is zoveel gebruikt, toch logisch dat er hacks voor zijn...
Nee, vind ik niet, als het zo veel gebruikt wordt dan weet je door praktijk toch waar die gaten zitten, stop die dan dicht.
Maar goed, voor je een zeef dicht heb gestopt met naald en garen ben je wel even bezig laten we maar denken

Verwijderd @xipetotec • 27 september 2001 22:51

Als je aan die hack hebt gewerkt, dan weet je dat die zo simpel is dat je geen 5 jaar notes developer hoeft te zijn om hem te vinden/gebruiken.... Er zijn nog meer hacks a-la back-orifice. Het is meer dat de meeste developers er zich niet mee bezig houden.

Verwijderd @Verwijderd • 27 september 2001 10:27

Hoezo dat? Wat is er leuk aan om hacker nummer 4577 te zijn die een fout in IIS heeft ontdekt

Dat is niet het "leuke" ervan. Het "leuke" is dat je het machtigste bedrijf wat de grootste bek heeft en beweert de beste software ter wereld te maken, op een gruwelijke manier voor lul zet. Dat doe je niet door 5, maar door 4577 fouten bloot te leggen en dan nog door te gaan.

Geloof me: Er zijn veel bedrijven die ernstige twijfels hebben over .NET. Fout nr. 4577 kan ervoor zorgen dat ze er definitief vanaf willen stappen. Vervolgens geeft Gartner het advies van IIS af te stappen en eventuele .NET-plannen in de ijskast te zetten. Dat kan de druppel zijn

blouweKip @Verwijderd • 26 september 2001 14:26

Valt wel mee denk ik, voor een hacker is er meer eer aan te behalen een goed opgezette apache server te hacken dan een IIS bak, dat dat laaste toch nog zoveel gebeurd komt omdat het gewoon niet al te goede software is, maar dat zijn we wel gewend van microsoft

Verwijderd @blouweKip • 26 september 2001 15:05

Voor een hacker lijkt mij er ook meer eer te behalen aan een apacheserver, maar voor een cracker ligt dat waarschijnlijk heel; anders; die wil gewoon zo snel mogelijk zoveel mogelijk gegevens hebben/dingen kapot maken. Die zullen dus voor IIS gaan. En ik heb een vermoeden dat er meer crackers (lees scriptkiddies) rondlopen dan hackers...

BadRespawn @Verwijderd • 26 september 2001 23:35

maar scriptkiddies kunnen geen beveiligings gaten vinden, ze kunnen allen de tools gebruiken die door een (echte) hacker zijn gemaakt.
hackers zijn eerst en vooral mensen met verstand van zaken, en daarvan houden relatief veel zich bezig met linux/unix.

("cracker" is hier m.i. niet de goede term, voor zover ik weet 'kraken' die kopieer beveiligingen)

Verwijderd @Verwijderd • 27 september 2001 07:02

Hacker:

Eric Raymond, compiler of The New Hacker's Dictionary, defines a hacker as a clever programmer. A "good hack" is a clever solution to a programming problem and "hacking" is the act of doing it. Raymond lists five possible characteristics that qualify one as a hacker, which we paraphrase here:

A person who enjoys learning details of a programming language or system

A person who enjoys actually doing the programming rather than just theorizing about it

A person capable of appreciating someone else's hacking

A person who picks up programming quickly

A person who is an expert at a particular programming language or system.

Raymond deprecates the use of this term for someone who attempts to crack someone else's system or otherwise uses programming or expert knowledge to act maliciously. Use the term cracker for this meaning.

Cracker:

A cracker is someone who breaks into someone else's computer system, often on a network; bypasses passwords or licenses in computer programs; or in other ways intentionally breaches computer security. A cracker can be doing this for profit, maliciously, for some altruistic purpose or cause, or because the challenge is there. Some breaking-and-entering has been done ostensibly to point out weaknesses in a site's security system.
The term "cracker" is not to be confused with "hacker". Hackers generally deplore cracking. However, as Eric Raymond, compiler of The New Hacker's Dictionary notes, some journalists ascribe break-ins to "hackers."

Verwijderd @Verwijderd • 26 september 2001 16:12

Dat denk ik eerlijk gezegd ook. Geheid dat Apache en Iplanet gelijksoortige leaks/bugs bevatten. Het eerste waterdichte Internet Server pakket moet nog worden uitgevonden. De enige argumenten om over te stappen op een dergelijk alternatief zijn volgens mij het feit dat Unix(-achtigen) een beter te onderhouden securitystruktuur hebben (dat scheelt al een hoop) en verder is het natuurlijk helemaal niet erg als Microsoft eens wat gezonde concurrentie krijgt.

Jrz @Verwijderd • 26 september 2001 17:32

Ik dacht het even niet.
Apache eerder dan iPlanet.

De meeste van dit soort bugs zijn buffer overflow bugs, en die zal je in C (apache) eerder hebben dan in Java (iPlanet) om dat je dan gewoonweg een Exception in je mik krijgt.

Verwijderd @Jrz • 26 september 2001 20:46

Het maakt volgens mij niet zozeer uit waardoor deze security-issues ontstaan voor de eindgebruiker. Het punt dat ik probeer te maken is dat ieder systeem manipuleerbaar is. Of dat nu via tekortkomingen van de code of de programmeur(s) is laat ik in het midden.

Overigens is C in mijn ervaring stabieler dan Java (mits zuiver geschreven). Maar dit is subjectief.

ronaldmathies 26 september 2001 14:42

Dit staat er verder op WebWereld :

"De onderzoeker van Gartner sluit zijn ogen voor het feit dat veiligheidsproblemen in de hele industrie voorkomen. Serieuze veiligheidsproblemen komen voor in nagenoeg alle webserverproducten. IIS is geen uitzondering", zegt Jim Desler, woordvoerder van Microsoft.

Ook gebruikers menen dat Gartner te ver gaat in zijn conclusie. "Gartners conclusie raakt kant noch wal. De patches die wormen als Code Red en Nimda tegenhouden, waren ruimschoots op tijd voorhanden. Volgens mij doen bedrijven die geïnfecteerd zijn geraakt met de wormen er goed aan om een andere systeembeheerder in huis te halen", zegt John Kenyon van FreshSpark, een Amerikaans internetbedrijf.

Je moet natuurlijk wel bedenken dat dat de meeste (ik zeg niet altijd) Hackers e.d. van het Linux / FreeBSD platform komen. En waar de idealen van deze mensen liggen liggen die van Microsoft nou niet echt. Dit is gewoon altijd nog een vorm van een pest campange, Virussen worden niet geschreven om aan te geven hoe slecht een beveiliging is, dat kun je ook gewoon aantonen door jouw bevindingen naar virus bedrijven en media bedrijven te sturen. Ik blijf het gewoon zielig vinden wat sommige mensen doen in hun vrije tijd, ipv dat ze met iets nuttigs bezig zijn (mischien helpen aan het bouwen van bestaande Opensource webservers / proxy servers ?). Dan zorgen ze er pas echt voor dat Micrsosoft mischien verslagen word ipv weg gepest.

burne @ronaldmathies • 26 september 2001 15:07

Dit is gewoon altijd nog een vorm van een pest campange, Virussen worden niet geschreven om aan te geven hoe slecht een beveiliging is, dat kun je ook gewoon aantonen door jouw bevindingen naar virus bedrijven en media bedrijven te sturen.

Nu doe je net alsof al die stoute hackers niets anders doen dan arm Microsoft pesten. Da's niet helemaal het geval. Ik ben denk ik toch wel redelijk thuis in het beveiligingswereldje. Maar ik zou niet weten hoe ik zeg slashdot te grazen moet nemen. Alles zit daar zo volkomen potdicht dat iedere poging verspilde tijd is. Ik zie daar echt geen achterdeurtje, anders dan met heel veel geduld er zelf een proberen te maken. Zie de hack van sourceforge.net voor een voorbeeld van hoe je dat aan zou kunnen pakken. Begin een board, en lok slashdot-admins daar naar toe, en hoop dat ze op jouw board dezelfde wachtwoorden gebruiken als voor hun slashdot-account.

Van de andere kant: Iedere halfzachte scriptkiddie met een beetje hardnekkige instelling kan een NT-doos hacken. Er zijn tientallen gaten in NT die welliswaar deels gefixed zijn, maar nog altijd potentieel bieden voor een nieuw lek. Voorbeeld: Het hele verhaal rond de unicode-parser is nog altijd niet af. Je kunt nog steeds via een unicodesploit-variant binnenkomen. Je moet 'm nu alleen zelf vinden, en niet kopieeren van een ander.
Als mensen het lukt om een grote, niet NT-site te hacken is dat altijd veel werk. Als mensen het lukt om een grote wel NT-site te hacken, is dat een beetje volhardendheid in combinatie met een matig talent.

De lat voor NT-hackers ligt gewoon een stuk lager. En de enige die je dat kunt verwijten is Microsoft zelf.

Aaargh! @ronaldmathies • 26 september 2001 15:02

Ook gebruikers menen dat Gartner te ver gaat in zijn conclusie. "Gartners conclusie raakt kant noch wal. De patches die wormen als Code Red en Nimda tegenhouden, waren ruimschoots op tijd voorhanden. Volgens mij doen bedrijven die geïnfecteerd zijn geraakt met de wormen er goed aan om een andere systeembeheerder in huis te halen", zegt John Kenyon van FreshSpark, een Amerikaans internetbedrijf.

De patches zijn er wel, maar als je het originele stukje van gartner leest:

The constant need to deploy these patches continues to increase the total cost of ownership of IIS Web servers and always leaves periods of vulnerability.

Het word dus gewoon te duur om constant al die patches uit te voeren. systeembeheerders zijn te veel tijd bezig met het fixen van MS's fouten.

Verwijderd @Aaargh! • 27 september 2001 08:01

Als je je installatie niet default laat maar CONFIGUREERT (jawel een nieuw concept) dan hoef je ook niet zo achter de patches aan te rennen. Microsoft heeft recentelijk heel veel gedaan om dit makkelijker te maken, onder meer met de IIS lockdown tool en de url scanner. Als je dat allemaal even combineert (kwartiertje werk) dan is het allemaal een stuk veiliger

Verwijderd @Verwijderd • 27 september 2001 13:17

Als je je installatie niet default laat maar CONFIGUREERT

Zijn daar geen handige "Wizzards" voor dan ?

Verwijderd @Verwijderd • 27 september 2001 13:33

Lees mijn bericht?

Verwijderd @ronaldmathies • 26 september 2001 14:59

Zo wordt Microsoft tenminste met de neus op de feiten gedrukt. Waren er geen virussen/wormen geschreven, zag men wellicht ook geen reden om bijv. URLScan uit te brengen.

Dat is ook de reden waarom men spreekt over "achter de feiten aanlopen".

Kijk, als IIS veilig is, werken virussen niet, en kan niemand ze schrijven. Kwestie van oorzaak aanpakken, en niet gevolg fixen.

edit:
Hmm dit was eigenlijk als reactie op Ronald Mathies bedoeld

Admin: Fixed...

[edit2] Thanx

[/edit2]<div class=r>[Reaktie gewijzigd door [TCT]Nexus]</div>

Verwijderd @ronaldmathies • 26 september 2001 15:33

Ik blijf het gewoon zielig vinden wat sommige
mensen doen in hun vrije tijd, ipv dat ze met iets nuttigs bezig zijn

Volgens mij zijn die mensen wel nuttig bezig, ze tonen aan waar de lekken in de software zitten. En dan kunnen de software-schrijvers die lekker dichten.
Alleen beetje flauw van M$ dat ze zo weinig (serieuze) fouten uit hun software halen voordat ze een product opleveren.

wimmi @ronaldmathies • 26 september 2001 17:14

, Virussen worden niet geschreven om aan te geven hoe slecht een beveiliging is, dat kun je ook gewoon aantonen door jouw bevindingen naar virus bedrijven en media bedrijven te sturen

Ik verbaas me er nog steeds over het feit dat er nog steeds geen 'totale vernietigingsvirussen' met het arsenaal a-la Nimba rondgaan.

In de 'goeie ouwe tijd' waren er nog virussen/trojans die je bootsector en FAT overschreven en binnen 1 seconde was het hele systeem onbruikbaar.
Misschien is de virus-bouwer wel enigszins bezorgt over de claims en straffen die hem/haar boven het hoofd hangt?

basb @ronaldmathies • 27 september 2001 01:14

Ronald vergeet een paar belangrijke puntenm
Ten eerste is een virus schrijven voor unix/linux veel moeilijker vanwege het rechten systeem.

Daarnaast draait op unix/linux geen gare outlook dat alle opdrachten van visual basic(ook van microsoft) scripts uitvoerd.

Als laatste Unix/linux mensen hebben gemiddeld betere kennis van NT dan NT beheerders zelf. Komt gewoon doordat dit over het algemeen betere (en ook duurdere) systeembeheerders zijn voor wie NT beheer zeer makkelijk te leren is. Paar klikken en het draait, zal voor vele hier een bekende kreet zijn. Maar o wee als het na paar keer klikken niet helemaal goed draait.....

rjeggens 26 september 2001 14:26

Een woordvoerder van bedrijf uit Redmond

Hmm.. klinkt als een puzzeltje

Was er trouwens ook al niet een Verzekeringsmaatschappij die het gebruik van MS software als een verhoogd risico beschouwde?

[edit]

Yep, gevonden

http://www.tweakers.net/nieuws/17095

Standeman 26 september 2001 14:31

In principe had ik dit al een beetje verwacht. Als ik het zie hoevel patches er voor IIS worden uitgebracht tegenover het aantal van Apache of de webserver van SUN, dan kan ik wel geloven.
Toch ben ik een beetje bang voor een vertekening. Ik heb het idee dat er meer hackers zijn die het voornamelijk specifiek gemunt hebben op microsoft producten en minder vaak kijken producten van bijvoorbeeld sun, aangezien daar wat meer sympathie voor tonen. (je hoort regelmatig over Worms die alleen maar IIS aanvallen en tevens worden in nieuwsberichten vaak alleen IIS genoemd, terwijl producten als Apache er ook zeker last van kunnen hebben).

Natuurlijk speelt het feit van OpenSource software ook wel een beetje mee. Iedereen kan namelijk in code kijken waar de lekken zitten en deze aan Apache doorgeven.. (inclusief de fix hiervoor) en dit gebeurt ook. hierdoor worden gaten gedicht voordat er misbruik van gemaakt wordt!

RG @Standeman • 26 september 2001 19:00

(je hoort regelmatig over Worms die alleen maar IIS aanvallen en tevens worden in nieuwsberichten vaak alleen IIS genoemd, terwijl producten als Apache er ook zeker last van kunnen hebben).

Ik weet niet van wie je dat gehoord hebt, maar dat is dus echt onzin. het zou wel HEEL toevallig zijn als IIS en Apache precies dezelfde exploit hebben. Die kans is superklein, omdat ze verder geen bal met elkaar te maken hebben. Als er in WinAmp een bug zit, heeft Windows Media Spelert er toch ook geen last van??

chewie 26 september 2001 14:39

Ik denk dat het allemaal nog al meevalt. Zeker voor wat betreft de kosten. Het optuigen van een Sun-omgeving kost namelijk veeeeel meer geld dan het optuigen van een Microsoft-omgeving. Als het eenmaal staat heb je er minder onderhoud aan, dat is zeer zeker waar. Maar Sun-beheerders kosten weer veel meer geld dan Microsoft-beheerders, dus daar is de geld-besparing ook minimaal. Het blijft gewoon altijd afwegen voor een bedrijf. Waarom zou je zoveel geld steken in een dure Sun-oplossing voor een webservertje voor een intranetje waar wat spul van een afdelinkje op staat? Praat je daarentegen over een bedrijfskritische toepassing, dan wil je gewoon dat het spul 24x7 in de lucht is en is Microsoft IIS waarschijnlijk niet de beste keuze.

Aaargh! @chewie • 26 september 2001 15:06

Zeker voor wat betreft de kosten. Het optuigen van een Sun-omgeving kost namelijk veeeeel meer geld dan het optuigen van een Microsoft-omgeving.

Wie heeft het over Sun

Diezelfde (of mindere) hardware die de MS omgeving draait kan met 2 vingers in z'n neus Linux draaien, en dan bespaar je ook nog eens de kosten van licenties. (om het maar niet te hebben over de kosten van al die patches)

Verwijderd @chewie • 26 september 2001 15:07

Bij dat soort beslissingen gaat 't om de Total Cost of Ownership. En als je daar veiligheidsrisico's van IIS meetelt, kom je toch sneller uit bij een oplossing van Sun.

Het laatste wat een serieus te nemen bedrijf met een bepaald image wil, is gehackt/gedefaced/etc. worden.

wimmi @chewie • 26 september 2001 16:59

Maar Sun-beheerders kosten weer veel meer geld dan Microsoft-beheerders, dus daar is de geld-besparing ook minimaal.

ook deze zin bevat een aantal fouten:
1) Sun beheerders zijn Unix beheerders: die zijn schaars - dus duur- omdat Unix "moeilijke" (ahum) materie is.
2) Microsoft beheerders zijn veelal van die omgeschoolde MCSE chimpansees die voor fl. 50,00 per uur worden verhuurd om NT-accountjes in te kloppen en webpagina's te installeren.
Maar het ontbreekt hun aan Inzicht in het grotere geheel (door gebrek aan kennis of ervaring).

Dit leidt dan ook weer dat Unix systemen minder "open deuren" hebben omdat de Unix beheerder beter op de hoogte is op zijn gebied
Een MCSE weet soms niet eens wat de risico's zijn bij het opzetten van een share of IIS.

Jrz @wimmi • 26 september 2001 17:35

Ik ben zelf MCSE, omdat het moest.
Ik doe gelukkig geen beheer, ik ben lekker software architect, en ik snap een boel van unix.
Het klopt ja, dat bijna alle MCSEs debielen zijn.
Maar unix kan wel een stukkie consistent (gebruikers vriendelijker) zijn met bepaalde configuraties, of betere tools maken.

blouweKip @Jrz • 27 september 2001 02:24

Ik vind consistentie juist niet hetzelfde als gebruiksvriendelijk (waarschijnlijk bedoel je ook iets anders), unix/linux is consistent, veel meer dan bijvoorbeeld windows, wat unix (of iig vooral linux) ontbeert zijn idd tools waarmee slecht opgeleide sysadmins ff snel iets in elkaar kunnen klooien zonder dat ze iets van het systeem afweten.

Zulke mensen tref je ten overvloede aan bij het windows-systeembeheer en niet bij unix/linux, naar mijn mening is dat absoluut geen zwaktebod van unix/linux dus.

Hugo 26 september 2001 14:30

Voor Apache en Sun komen ook regelmatig updates. IIS is juist doordat veel grote companies het gebruiken veel leuker om te pesten... en daarbij het ligt meestal ook aan sysbeheerders die gewoon niet patchen/updaten. Microsoft treft hier bijna geen blaam vind ik. Ik vind het juist goed van MS dat ze een pakket hebben neergezet dat makkelijk te beheren is en toch veel mogelijkheden biedt.

SvMp @Hugo • 26 september 2001 15:05

Van Apache en Sun komen niet elke week updates.

Daar komt nog bij dat de ernst van de gaten bij IIS veel groter is, dan gaten die soms ontdekt worden in Apache.

Natuurlijk treft Microsoft wel blaam..zoals die Gartner al zei, MS doet er zelf te weinig aan die lekken te vinden. Server software moet nou eenmaal nog zwaarder gecontroleerd worden als gewone applicaties, omdat een fout in server software meestal ernstiger is.

Microsoft is een miljarden-bedrijf. Hebben duizenden ontwikkelaars in dienst. Ze hebben de middelen wel. Bovendien verdienen ze veel geld met IIS, een zekere kwaliteitsgarantie is dan zeker op zijn plaats.
Als je dat eens vergelijkt met Apache, dat door hobbyisten en studenten in elkaar is/wordt gezet... (en toch is Apache beter.. zowel naar mijn mening als de harde feiten mbt security problemen)

Bobco @SvMp • 26 september 2001 16:13

Microsoft is een miljarden-bedrijf. Hebben duizenden ontwikkelaars in dienst. Ze hebben de middelen wel. Bovendien verdienen ze veel geld met IIS, een zekere kwaliteitsgarantie is dan zeker op zijn plaats.
Als je dat eens vergelijkt met Apache, dat door hobbyisten en studenten in elkaar is/wordt gezet... (en toch is Apache beter.. zowel naar mijn mening als de harde feiten mbt security problemen)

IIS is 'gratis' in de zin dat je het niet los kunt kopen. Als onderdeel van het paradepaardje van MS op server gebied zou je verwachten dat ze in Redmond veel aandacht gaan besteden aan de kwaliteit van IIS.

Ik heb van MS nog niets gezien dat wijst op een radicale rewrite zoals Gartner ook al concludeert. Een 0.8 probabilty betekent bij Gartner 'als de kalveren op het ijs dansen'.

Naar mijn idee zie je hier het verschil tussen produkten die wel of niet 'gemarket' moeten worden. Elke marketingafdeling zal altijd pushen bij de ontwikkelaars om alles op tijd af te krijgen en ook feature X nog even in te bouwen. Die combinatie is vaak dodelijk voor de kwaliteit van het geheel.

Bij Apache worden dingen gedaan omdat er blijkbaar behoefte aan is bij iemand en vervolgens wordt het technische van veel kanten bekeken. Lijkt mij een proces dat garant staat voor een betere kwaliteit, maar die discussie woedt ook al heel erg lang.....

Verwijderd 26 september 2001 14:28

Automatiseringgids:

Apache zou aanmerkelijk minder lekken bevatten....

Lek is lek!

Aaargh! @Verwijderd • 26 september 2001 14:55

Lek is lek!

Ben ik het niet mee eens

De lekken zoals die in Code Red en Nimda ge-exploit worden geven de attacker Administrator (root) access.

stel dat je door een overflow programmacode in een apache process kan krijgen, dan heb je access als user www-data (op een debian systeem) , daar kan je verder nog relatief weinig mee.

Verwijderd @Verwijderd • 26 september 2001 17:31

Lek is lek!

Ik geef je de keuze tussen:
1) dagtocht Barentszee op de Koersk
2) weekend Londen met de Herald of Free Enterprise
3) zondagmiddag met een roeiboot op de Reeuwijkse plassen (1 keer hozen per dag)

Kies je dan eieren voor je geld of ga je als echte vent toch voor het avontuur (volgens jouw redenatie is het toch 1 pot nat).

Verwijderd @Verwijderd • 26 september 2001 23:26

In welke boot ik ook ga zitten, of er nou 1 of 10 gaten in zitten, vroeg of laat zinkt ie toch.

Tis maar net hoe je het bekijkt

rjeggens @Verwijderd • 26 september 2001 14:30

Dat is wel waar, maar hoe snel word een lek gevonden, dat is veel belangrijker. Als er veel lekken inzitten, dan wordt er ook sneller eentje gevonden.

Verwijderd 26 september 2001 15:28

De discussie over wel of niet MS gebruiken blijft voortrazen...ik vind wel dat Gartner te ver is gegaan, ze zeggen een onafhakelijke organisatie te zijn, maar ook zij doen aan MS-bashing, waarbij ze er totaal aan voorbij gaan dat IIS wel degelijk een grote deployment base heeft. Je kunt je afvragen of dat komt omdat IIS gratis en handig bij NT en Win2K zit, of dat admiins gewoon niet verder kijken dan hun neus lang is. Misschien is IIS wel gewoon een handig en goed produkt?

Het is mijn werk, en ik maak PER PROJECT en PER SERVER de beslissing welk platform gebruikt gaat worden, en kan mijzelf dus redelijk onafhankelijk noemen. IIS is lekker makkelijk op te zetten en te beheren, ook omdat veel bedrijven toch al een MS server-infrastructuur hebben. Daarentegen is Apache op Sun of Linux weer veel flexibelere en veiliger, maar vergt meer kennis en tweaking voordat alles draait. Het blijft een keuze....

Ik ben het ook wel eens met de posting van burne: het hacken van NT is simpeler. Ik denk dat de meeste mensen die NT en IIS targeten het gedeeltelijk daarom doen, en natuurlijk ook omdat MS zo'n lekker groot target is. Als je Sun of RedHat o.i.d. aanvalt krijg je de hele open source wereld over je heen.
Ook denk ik dat je als "echte" hacker ook wel van een uitdaging houdt, en je dus niet laat verleiden door het "laag hangende fruit" van MS. Je kunt je dus afvragen of echte hackers zich met dit soort systemen wel bezig houden.

Het centrale punt blijft dat het de verantwoordelijkheid van een admin blijft om zijn eigen systemen te beveiligen. Ik draait een aantal IIS systemen, en die hebben tot nog toe een aanval gewoon overleefd.

blouweKip @Verwijderd • 26 september 2001 17:59

.ik vind wel dat Gartner te ver is gegaan, ze zeggen een onafhakelijke organisatie te zijn, maar ook zij doen aan MS-bashing,

Wanneer leren mensen nu dat kritiek op MS of haar producten nu niet automatisch MS-bashing is.

Misschien is IIS wel gewoon een handig en goed produkt?

Tja, misschien heeft t wel een interface die door de gemiddelde pc-gebruiker kan worden gebruikt, maar dat lijkt me niet het meest belangrijke bij een http server, daar gelden andere kwaliteiten als belangrijk, en op die punten laat ms nu eenmaal steken vallen, dat er mensen zijn die daar meteen opduiken en het (soms) opblazen doet daar niets aan af

[ti] @Verwijderd • 26 september 2001 15:38

Gartner is gewoon kritisch, en doen al zeker niet alleen MS-bashing. In het verleden heeft ook Linux en de Open Source community het moeten ontgelden.

Zie bv. http://slashdot.org/article.pl?sid=99/10/14/0 838249& mode=thread

Even als 'n side note:

Wat nog wel interresant is om bij te houden is de NetCraft-survey. Als deze weer uitkomt, kunnen zien wat de impact is geweest van Code Red (die van Nimda is waarschijnlijk pas volgende maand te zien), en kijken hoeveel bedrijven/gebruikers hebben besloten IIS te dissen...<div class=r>[Reaktie gewijzigd door [ti]]</div>

Verwijderd @Verwijderd • 26 september 2001 16:47

...kan mijzelf dus redelijk onafhankelijk noemen ....
Apache op Sun of Linux .... vergt meer kennis en tweaking voordat alles draait.

Hmm, je vergelijkt nu ISS op M$ plaform met Apache op Sun en Linux. Zo te horen ben je niet echt onafhankelijk, meer bevooroordeeld zou ik zeggen. Waarom praat je bijvoorbeeld niet over Apache op M$. Volgens mij heb jij nog nooit een Apache installatie gedaan, anders zou je wel anders lullen.

En jij vind jezelf zo'n onwijs goeie professional? Als je onder het motto 'IIS is lekker makkelijk op te zetten' beslist wat je klanten moeten doen (en dat Apache moeilijker is om aan de praat te krijgen) dan zegt dat ook erg veel over jouw kennis van zaken. Ben blij dat ik geen klant van je bent

ik maak PER PROJECT en PER SERVER de beslissing welk platform gebruikt gaat worden, en kan mijzelf dus redelijk onafhankelijk noemen

Ik snap je woordje dus niet in je betoog. Afgaande op wat je zegt zal je dus kiezen voor:
Win95 met ISS
Win98 met ISS
Win2000 met ISS
WinNT met ISS
WinXP met ISS
Lekker onafhankelijk zeg. Doe die oogkleppen eens af!!!

dat IIS wel degelijk een grote deployment base heeft

Hey, joe ken ook well normal nedderlends pratten hor. Je lijkt wel zo'n nagesynchroniseerd tell-sell filmpje

Op dit item kan niet meer gereageerd worden.

Gartner: Gebruik geen IIS

Lees meer

IT-banen

Reacties (128)

Sorteer op:

Weergave: