Onderzoek: 'Red Hat riskanter dan Windows Server'

Het bedrijf Security Innovation heeft, in opdracht van Microsoft, een onderzoek uitgevoerd met als doelstelling te achterhalen welk besturingssysteem, Red Hat Enterprise Linux 3.0 (RHEL 3.0) of Microsoft Windows Server 2003, de meeste bugs en lekken heeft gehad in 2004 als het gebruikt werd als webserver. De gebruikte configuraties bestaan uit Microsofts nieuwste serverbesturingssysteem in combinatie met Microsoft SQL-server 2000 met servicepack 3, Internet Information Services 6.0 en het ASP.NET-applicatieplatform. De RHEL 3.0 distributie was voorzien van Apache, de MySQL-databaseserver en PHP. Voor beide onderzochte systemen geldt dat de onderzoekers er vanuit zijn gegaan dat de software voorzien was van alle recente patches die bij de start van het onderzoek bekend waren. Bij RHEL 3.0 is echter niet duidelijk in het rapport opgenomen met welke versie van MySQL, PHP en Apache er gewerkt is, iets wat het gevonden aantal veiligheidsgaten en patches beïnvloed kan hebben. De doelstelling van het onderzoek was om een vergelijking te maken tussen deze twee besturingssystemen met de focus op een specifiek doel. In dit geval dus het serveren van dynamische en statische webpagina's.

Red Hat HQ (kleiner) De onderzoekers hebben er voor gekozen om een tweetal zaken te meten: het aantal gevonden bugs en veiligheidsgaten, en de tijd die het geduurd heeft om deze te verhelpen. Omdat RHEL 3.0 op een aantal verschillende manieren geïnstalleerd kan worden heeft men ervoor gekozen om een standaardinstallatie uit te voeren (pakketten als kde-games en dergelijke werden ook geïnstalleerd) en een minimale installatie uit te voeren. Door het design van Microsofts besturingssysteem is het niet mogelijk om een minimale installatie uit te voeren en de onderzoekers hebben ervoor gekozen om deze dan ook in de volledige installatie te testen. Omdat de onderzoekers ervan uit zijn gegaan dat gebruikers van RHEL 3.0 en Microsoft Windows Server 2003 alleen gebruikmaken van packages en patches die door respectivelijk Red Hat en Microsoft zijn aangeleverd, werden alleen die patches meegenomen die door deze leveranciers zijn geleverd. Hierdoor kan het zijn dat bijvoorbeeld een lek in de kernel langer in RHEL 3.0 aanwezig blijft volgens de onderzoekers dan dat er een patch beschikbaar gesteld was door de kernelontwikkelaars. Als we kijken naar de uitslag van het onderzoek, dan komen we op de volgende uitslagen:

Aantal bugs:

Risico	Windows Server 2003	RHEL 3.0 minimaal	RHEL 3.0 Standaard
Hoog	33	48	77
Medium	17	60	69
Laag	0	7	8
Niet bekend	2	17	20
Totaal	52	132	174

Aantal dagen dat bugs onopgelost zijn:

	Windows Server 2003	RHEL 3.0 Minimaal	RHEL 3.0 Standaard
Hoog risico bugs open	1145 dagen	2124 dagen	3893 dagen
Medium risico bugs open	426 dagen	4003 dagen	5303 dagen
Laag risico bugs open	0 dagen	921 dagen	943 dagen
Onbekend risico bugs open	55 dagen	2142 dagen	2276 dagen
Totaal aantal	1626 dagen	9190 dagen	12415 dagen
Gemiddeld aantal	31,3 dagen	69,6 dagen	71,4 dagen

Met dit rapport in handen zou geconcludeerd kunnen worden dat Windows Server 2003 beter ingezet zou kunnen worden als webserver dan RHEL 3.0, indien men naar de veiligheidsgaten kijkt. Wat echter mist in het onderzoek zijn de exacte softwareversies die er gebruikt zijn onder RHEL 3.0, hierdoor is het lastig om het onderzoek te valideren. Daarnaast gaat het onderzoek ervan uit dat beheerders van RHEL 3.0 in het geval van het uitblijven van updates van de leverancier zelf geen tijdelijk patches zullen toepassen. Of dit in de praktijk ook zo is, valt te bezien. Mark J. Cox van Red Hat heeft in een reactie aangegeven dat hij vindt dat het onderzoek geen hout snijdt. Volgens hem wordt er in het onderzoek geen rekening gehouden met het gevaar dat een specifiek veiligheidslek met zich meebrengt. Daarnaast meldt hij dat Red Hats eigen securityafdeling in het jaar 2004 acht veiligheidsgaten heeft ontdekt in RHEL 3.0, zowel op de schaal die Red Hat hanteert als de schaal die door Microsoft wordt gehanteerd. Van deze acht veiligheidsgaten zou 75% gerepareerd zijn geweest binnen een dag en het gemiddelde zou op acht dagen gelegen hebben. Volgens Red Hat is een veiligheidsgat kritiek zodra een gebruiker van buiten er misbruik van kan maken.

Reacties (138)

Nakebod

25 maart 2005 21:18

Volgens mij is het al jaren bekend dat er voor Linux algemeen meer bugs worden gevonden.
Heeft volgens mij ook wel eens op t.net gestaan.
Windows had minder bugs, maar wel gelijk ernstigere.

En idd, wij doen een onderzoek naar de veiligheid, maar we zeggen lekker niet welke versie we gebruiken...
Nu ben ik niet pro-MS, maar ook niet anti-MS, maar dit onderzoek zou nooit gepubliceerd zijn in opdracht van MS als zou blijken dat Linux RH "beter" zou zijn..

brtdv @Nakebod • 25 maart 2005 21:31

Ik denk wel dat ze in Linux stukken sneller worden opgelost. Ikzelf had bv. een uur geleden een volledige ubuntu update gedaan, en een halfuur later, als ik thuisgekomen was had ik alweer 10 nieuwe updates die beschikbaar waren.

Verwijderd @brtdv • 25 maart 2005 21:56

Ik denk wel dat ze in Linux stukken sneller worden opgelost. Ikzelf had bv. een uur geleden een volledige ubuntu update gedaan, en een halfuur later, als ik thuisgekomen was had ik alweer 10 nieuwe updates die beschikbaar waren.

Wat je nu schetst is de nachtmerrie voor iedere professionele ICT afdeling. Hoe ga je hiervoor in hemelsnaam een proces opzetten als bug fixes te pas en te onpas gepubliceerd worden???

Verwijderd @Verwijderd • 25 maart 2005 22:08

Mij geeft dat juist een heel veilig gevoel. Het is niet zo dat de Amerikaanse defensie de patches een maand eerder krijgen. Ze draaien mee in het BETA programma om zo'n patch te testen. Daardoor hebben ze 1 maand eerder beschikking over beta code. Als de code door de test heen komt wordt het beschikbaar gesteld aan het publiek.

Als gebruiker kan je er dus op kan vertrouwen dat de patch grondig getest is en niet alleen het probleem oplost maar ook nog eens goed blijft werken in combinatie met andere producten/systemen (zogenaamde regression-testing)

terabyte @Verwijderd • 25 maart 2005 22:11

Wat heeft een professionele ICT afdeling te maken met een desktop-distro als Ubuntu?

Of moeten thuisgebruikers ook een 'proces opzetten' voor de toepassing van bugfixes?

jeroen_t @Verwijderd • 26 maart 2005 19:13

het gaat hier over Server2003.
Dat is veel te duur voor thuisgebruikers en weinig functioneel (voor de thuisgebruikers dan toch...

)

hiostu @brtdv • 25 maart 2005 21:43

ja en daar wordt je dus niet vrolijk van in een productie omgeving. Elke patch moet namelijk door een test omgeving om vervolgens in een productie omgeving geinstalleerd te worden. Je wil namelijk nog wel weten of de patches invloed zullen hebben op je omgeving.

Verwijderd @hiostu • 25 maart 2005 23:48

Waarschijnlijk heeft hij een 'unstable' versie van Ubuntu. Net zoiets als Debian Unstable. Dat heeft inderdaad veel updates, maar dat zijn ook functionele updates, dus niet alleen security.

Ubuntu is ook niet bedoelt voor servers, maar voor workstations.

Verwijderd @hiostu • 29 maart 2005 11:45

Hij zal waarschijnlijk wel in Hoary zitten, en deze is momenteel de development versie.. En het is dus niet meer dan normaal dat er momenteel enorm veel updates bijkomen. Ze zijn hard aan het werken aangezien Hoary op 6 april zal gereleased worden. De update's van Warty zijn een stuk minder.

Verwijderd 25 maart 2005 21:29

in opdracht van Microsoft
[..]
Daarnaast gaat het onderzoek ervan uit dat beheerders van RHEL 3.0 in het geval van het uitblijven van updates van de leverancier zelf geen tijdelijk patches zullen toepassen.
[..]
Wat echter mist in het onderzoek zijn de exacte softwareversies die er gebruikt zijn onder RHEL 3.0, hierdoor is het lastig om het onderzoek te valideren

Kortom een nietszeggend onderzoek.

Naar mijn mening zijn beide OS-sen secure te gebruiken als webserver die statische en dynamische pagina's serveert. Dit baseer ik op het feit dat er in de praktijk bedrijven zijn die dit domweg doen. Er zijn zat sites welke hackers/crackers/scriptkiddies maar al te graag om zeep zouden helpen, maar waar ze domweg niet bijkomen, zowel Linux/Redhat based als windows based.

Waar men beter naar had kunnen kijken, is het aantal daadwerkelijk gehackte systemen over dezelfde tijdspanne. Het zou me niets verbazen als dan zou blijken dat RedHat er relatief gesproken (dus niet absoluut, formaat van de installed base doet er dus niet toe) ineens beter scoort. Niet omdat Redhat meer secure is, maar omdat incompetente beheerders doorgaans liever Windows installeren, daar die meer n00b vriendelijk is.

Verwijderd @Verwijderd • 25 maart 2005 21:59

Het tegenovergestelde is echter waar. Het aantal Linux servers dat daadwerkelijk gehacked wordt ligt aanzienlijk hoger dan het aantal Windows web servers:

Bron: http://www.zone-h.org/en/winvslinux2
Bron: http://www.zone-h.org/en/stats

Gerco

@Verwijderd • 25 maart 2005 22:18

Heb jij die pagina wel tot onderaan gelezen? Een paar opmerkingen:

- Er staat nergens dat de attacks ook succesvol waren
- Er staan alleen absolute aantallen attacks, dus er is geen rekening gehouden met de 3,5x grotere installed base van apache (69% tegen 20%, aldus netcraft)
- Er staat tot twee keer toe onderaan dat de grafieken en data erboven waardeloos zijn aangezien er niets uit af te leiden valt.

Wolfboy @Verwijderd • 25 maart 2005 22:09

Als het al waar zou zijn wat je zegt (linkjes zijn down) dan moet je er ook rekening mee houden dat er veeeel meer linux servers direct op het internet aangesloten staan op dit moment.
Neem dat met een paar slechte beheerders (tegenwoordig denkt iedereen maar dat ie een linux bak kan beheren) en je hebt idd een groot aantal gehackte bakken ja.

Vreemd? nee
Eerlijk onderzoek? nee

Het hangt maar net van de beheerder af, maar ik kan uit eigen ervaring zeggen dat het eenvoudiger is een linux/bsd machine veilig te houden dan een windows machine.

terabyte @Verwijderd • 25 maart 2005 22:22

Je schermt in meerdere reacties met deze links, maar er staat duidelijk:

So far, so good except from one detail: the only exact action after watching these data is that
YOU SHOULD SEND ALL THIS ANALYSIS AND THESE GRAPHS IN /DEV/NULL

Ik zal het je niet kwalijk nemen als je niet weet wat /dev/null is, maar dit is niet goed voor je geloofwaardigheid.

Verwijderd @Verwijderd • 25 maart 2005 22:37

Als je het over absulote aantallen hebt, geloof ik je nog wel. Domweg omdat er meer linux servers 'op het internet' zijn. Daarom zei ik ook (duidelijk) 'relatief'. Druk het eens in percentages uit, hoeveel procent van die linux servers zijn daadwerkelijk gehacked, en hoeveel procent van de windows machines?

Gé Brander @Verwijderd • 26 maart 2005 13:31

Wel grappig dat de mogelijkheid van een hack voor 28,5% mogelijk is door fouten van de beheerder (vervang beheerder, probeer opnieuw?). 5,3% door social engineering vind ik veel zorgwekkender...

Wolfboy 25 maart 2005 21:15

Bij RHEL 3.0 is echter niet duidelijk in het rapport opgenomen met welke versie van MySQL, PHP en Apache er gewerkt is, iets wat het gevonden aantal veiligheidsgaten en patches beïnvloed kan hebben.

Vanaf dat gedeelte had het al geen zin meer om verder te lezen, als ze dat soort (imho crusiale) info al niet meer melden is het onderzoek gewoon niets waard.
Als ze het anders gedaaan zouden hebben dan was MS (de sponsor dus) waarschijnlijk niet tevreden maar een onderzoek als dit werkt dus gewoon niet op deze manier.

mOrPhie 25 maart 2005 23:42

Ze tellen de tijd van openstaande bugs bij elkaar op. Voor RHEL 3 zijn er véél meer bugmeldingen dan voor Windows Server 2003. Dat is dus absoluut niet te vergelijken.

En dat RHEL 3 veel meer bugs open heeft staan, betekent niet dat RHEL onveilig is. In dat geval kunnen we dus beter geen bugs meer melden. Dan zou RHEL veel veiliger zijn. Volgens dat onderzoek.

Ik vind de methodes verwerpelijk, de opdrachtgever discutabel en de conclusies te snel getrokken.

The Jester 25 maart 2005 23:46

Alle in opdracht van MS gehouden onderzoeken geven dit soort conclusies. Echter, alle onafhankelijke onderzoeken laten een heel ander beeld zien.

Hetzelde zien we regelmatig bij de zgn. Total Cost of Ownership onderzoeken: Gartner c.s. komen tot de conclusie dat Linux-server veruit het goedkoopst zijn, terwijl de door MS gedane onderzoeken laten zien dat Windows zo goedkoop is.....

Wat is betrouwbaarder: een onderzoek gelast door MS, of een onafhankelijk onderzoek?
De vraag stellen, is 'em beantwoorden.

Quacka 25 maart 2005 21:13

Het bedrijf Security Innovation heeft een, in opdracht van Microsoft

Toen ben ik maar gestopt met lezen...
De betaler krijgt wat hij wil, zo werkt dat in amerika.

Verwijderd @Quacka • 25 maart 2005 21:53

Dat ben ik niet met je eens. Dit onderzoek baseert zich op publiekelijk beschikbare data en kan dus door iedereen geverifieerd worden.Microsoft heeft er een belang bij om deze informatie naar buiten te brengen en betaalt daarvoor het onderzoek maar dat zegt nog niets over de opbjectiviteit van het onderzoek of de resultaten. Het enige wat je kan doen als betaler van het onderzoek is de resultaten niet publiceren (bijv. als het negatief is).

In dit geval komt er gewoon vrij duidelijk naar voren dat Linux helemaal niet zo veilig is als veel mensen denken.

terabyte @Verwijderd • 25 maart 2005 22:19

Dit onderzoek baseert zich op publiekelijk beschikbare data en kan dus door iedereen geverifieerd worden.

Waar exact kan ik de openbare volledige bugs database (a la bugs.debian.org) van Windows Server vinden?

Verwijderd @terabyte • 25 maart 2005 22:45

Hierzo, een lijst van alle bugs die gefixt zullen worden in Windows Server 2003 SP1 (beantwoordt het dichtst jouw vraag), zijn een honderdtal bugs in totaal: http://support.microsoft.com/gp/winserv2003presp1

Verwijderd @terabyte • 25 maart 2005 23:06

Zoals ik in mijn eerste post vermelde, zijn dit de bugs die in de volgende SP voor Windows Server 2003 zullen gefixt worden. Deze zijn momenteel dus nog niet gefixt, aangezien SP1 nog steeds in Release candidate 2 stadium zit: http://www.microsoft.com/WindowsServer2003/downloads/servicepacks/sp1/ default.mspx
En of dit inderdaad alle bugs in Windows Server 2003 zijn, tsja daar heeft alleen MS een antwoord op.

CARman @terabyte • 26 maart 2005 10:17

Toch vreemd dat het rapport slechts 52 bekende bugs telt en er in SP1 al meer dan 100 gepatched gaan worden. Waar zit het lek nou ?

Verder ben ik benieuwd wat er bedoeld wordt met het aantal dagen dat een bug open staat. Want bij die 5000+ dagen voor RHEL 3.0 standaard zou dat inhouden dat een bug zo'n 14,5 jaar open bijft staan. Cool, we gaan een 15 jaar oud OS vergelijken met Windows Server 2003 ?

Rest me eigenlijk nog een vraag die niet echt duidelijk wordt uit het verhaal, want welke versie van Windows is er nou gebruikt ? De volledige Windows Server 2003 of de 'uitgeklede' webedition ?

Uiteindelijk lijkt dit weer een typisch voorbeeld van de Amerikaanse mentaliteit, om een concurrent in een kwaad daglicht te stellen, en met dat in het achterhoofd een rapport door een zogenaamde 3rde partij uit te laten voeren die betaald word, om de verhoudingen zo gunstig mogelijk te laten uitkomen voor MS, in dit geval.

terabyte @terabyte • 25 maart 2005 22:58

@SecondOpinion:
Als dat alleen de gefixte bugs zijn, waar is dan de volledige openbare lijst van openstaande gerapporteerde bugs (aangezien daar ook naar verwezen wordt)?

BertS @terabyte • 26 maart 2005 11:31

Toch vreemd dat het rapport slechts 52 bekende bugs telt en er in SP1 al meer dan 100 gepatched gaan worden. Waar zit het lek nou ?

Die 100+ in SP1 zijn imo grotendeels al verholpen door losse patches (die dus al beschikbaar waren bij de start van het onderzoek en daardoor niet meetellen als openstaande bugs)

kimborntobewild @terabyte • 28 maart 2005 04:59

@Bert S:
Aha... Dus zijn er al 152+ bugs.toegegeven... Veilig is anders.

RSpliet @Verwijderd • 25 maart 2005 22:07

Oeps...

Het gaat inderdaad om 'publieke' data. Ging het in het geval van Redhat niet om een Open-Source OS? En houdt Microsoft er eigenlijk wel een publieke bugtracker op na? Wat ik wil zeggen is, wie kan hier in godsnaam controleren of de data die Microsoft levert over zijn/haar producten correct zijn. Voor hetzelfde geld staan er nog 100 bugs open, waar ze niets over naar buiten brengen, omdat het niet breed wordt uitgebuit. Daar komt bij dat bugjagen op een Open-Source systeem gewoon relatief makkelijker is omdat de broncode open is (op een gegeven moment zijn er wel gewoon minder bugs, wat het dus weer moeilijker maakt om ze te vinden, maar dat is een ander verhaal). Onderzoekjes als deze bewijzen dus in feite helemaal niks.

RSpliet @RSpliet • 25 maart 2005 22:20

Dat is inderdaad een veel relevantere discussie, echter denk ik dat alleen de tijd dit ons zal leren. Wat mijn indruk in ieder geval is is dat er relatief weinig bad-guys zijn tegenwoordig, die zich echt met bug-graven bezig houden. Het Blaster-virus bijvoorbeeld dook pas op NADAT de patch uitgebracht was, dus de bug is waarschijnlijk reported door een goodguy, er is een fix voor uitgekomen, die fix is gereverse-engineered oid, en daarop is weer een virus geschreven. Dat is iets wat met elk besturingssysteem, elke software, eigenlijk met alles kan gebeuren (wijze les: houdt altijd je meuk up to date), maar ik denk zeker niet dat er meer badguys dan goodguys zijn.

Verwijderd @RSpliet • 25 maart 2005 22:10

Het maakt in dat geval wel een gezonde discussie los of het feit dat de broncode voor iedereen in te zien is niet JUIST onveiliger is. Natuurlijk kunnen de "good guys" de problemen daardoor helpen oplossen maar helaas zijn er veel meer "bad guys"...

player-x @RSpliet • 25 maart 2005 22:38

@ yep

maar helaas zijn er veel meer "bad guys"...

Waar haal jij die wijsheid van daan ?
Is zo iets als zeggen dat er in de schilderswijk in DH er meer "bad guys" woonen dan gewoon eerlijke mensen.
want als ik mijn auto daar s'avonds neer zet word er gehijd ingebroken.

Eric Oud Ammerveld @RSpliet • 26 maart 2005 12:36

Onzin..
D'r zijn veel meer softwareprogrammeurs "good guys" dan
"bad guys", ze verdienen er hun brood mee.

ejay79 @RSpliet • 29 maart 2005 07:32

@Eric Oud Ammerveld:

Ja, en probeer 's verder te kijken dan je neus linux lang is: Er is altijd maar één bad guy nodig om het water troebel te maken.

ppl @Verwijderd • 26 maart 2005 14:07

Ander mooi voorbeeld waarom dit onderzoek puur en alleen marketing is in voordeel van Microsoft.

Het is al eerder aangehaald: het aantal dagen klopt niet.
Waarom klopt het niet? Om dat ze hier zo slim zijn om het allemaal bij elkaar op te tellen.
Er zijn in RHEL meer bugs gevonden dan in Windows 2003.
Ook al zou je maar een paar dagen bezig zijn per bug dan nog zal het aantal dagen dus hoger liggen dan die van Windows 2003 als je alles bij elkaar op telt.
Een nogal logisch gevolg.

Nu komt echter de slimme truc die men toepast: we brengen dit dusdanig dat het lijkt alsof het heel lang duurt bij RHEL voordat een bug gefixed wordt en dat doen we door alles bij elkaar op te tellen want dan is het een groter getal.

Even een voorbeeldje nog ter illustratie:
Aantal hoog risico bugs in Windows 2003 is 33 stuks, in RHEL al 77, meer dan het dubbele.
Als we dan naar het aantal dagen dat diezelfde bugs openstaan kijken dan zie je bijna hetzelfde verschil, ook net meer dan het dubbele, bijna 3x zo hoog.
Dat is heel frappant want dan zou een bug maar gemiddeld 1 dag openstaan (even kijkend vanuit de verhouding).

Het aantal openstaande bugs zou dan eventueel kunnen kloppen, maar die dagen zijn dus gewoon uit de duim gezogen. Er is een dusdanige verhouding uit af te leiden dat het gewoonweg niet op waarheid kan berusten.
Juist dat laatste punt zorgt ervoor dat het hele onderzoek dus niet te vertrouwen valt en alleen maar marketingpraat is.

Cybergamer @ppl • 27 maart 2005 05:40

Ik moet toegeven dat dat mooi gevonden is.

Florimon @Verwijderd • 26 maart 2005 13:17

Het enige wat je kan doen als betaler van het onderzoek is de resultaten niet publiceren (bijv. als het negatief is).

Precies. Daar zit 'm dus al de kneep. Wie zegt dat Microsoft niet eerst 10 onderzoeken door andere organisaties heeft laten uitvoeren, die helaas allemaal negatief voor hen uitpakten ?
Om die reden wantrouw ik dus al gelijk onderzoeken die zijn gedaan in opdracht van een partij die belang heeft bij de uitkomst van het onderzoek.
Voor een bedrijf als Microsoft zou een manier om dit wantrouwen weg te nemen, zijn om vooraf bekend te maken tot welke onderzoeken men opdracht geeft, en de uitslag te publiceren ongeacht de uitkomst. En dan nog ligt er het gevaar van selectiviteit op de loer, want zodra zo'n onderzoeksbureau met een rapport komt dat negatief is voor Microsoft, zou Microsoft kunnen volstaan met dat rapport dan wel te publiceren (omdat men immers niet anders kan), en voortaan geen opdrachten meer te geven aan dat specifieke bureau.

kimborntobewild @Florimon • 28 maart 2005 05:04

Een onderzoek KAN pas betrouwbaar en objectief zijn als de opdrachtgever niet bekend is (en kan worden) bij het onderzoeksbureau.
En dan NOG is er geen zekerheid... Men kan bijv. raden wie de opdrachgever is. Maar 't leuke is, dat je dan ook verkeerd kunt raden.

Quacka @Verwijderd • 25 maart 2005 22:00

Heb jij het gecontroleerd of het klopt?
NEE!

Dus kan jij helemaal niet weten of de cijfers kloppen, of niet. Ik geloof best dat er wat van waar is, maar het is ook zeker niet zo dat de cijfers betrouwbaar zijn.

Het is bij onderzoeken altijd interessant wie de opdrachtgevers zijn. Tabaksfabrikanten hebben in amerika ook tig onderzoeken gesponserd naar de gevolgen van roken en de gevolgen van meeroken. Uit dergelijke onderzoeken kwam altijd een positief resultaat voor de tabakindustrie.

Zulke onderzoeken dien je gewoon altijd met een flink korreltje zout te nemen.

Twarp @Mafkees • 29 maart 2005 10:34

Zou dat niet met kosten te maken hebben? Iets waarbij je bij een bedrijf altijd eerst aan moet denken...

Eric Oud Ammerveld @Mafkees • 26 maart 2005 14:25

Ach.. kijk voor de lol maar eens naar de servers die de internet providers gebruiken. (XS4All, Demon)
En webhosting bedrijven zoals Inflate en Luna

Die willen echt geen Windows hoor

Verwijderd @Quacka • 25 maart 2005 22:11

Toen ben ik maar gestopt met lezen...

Zelfs al heb je gelijk met de conclusie die je trekt, kan je dat nooit verdedigen doordat je het niet gelezen hebt.

player-x @Verwijderd • 26 maart 2005 02:10

Meschien heeft hij de reeks vooraf gaande "degelijke" onderzoeken van microsoft gelezen.

En dacht hij meteen toen hij de kop las en dat het door MS gesponserd was dat hij het maar meteen voor waar aan moest nemen en niet veder hoevde te lezen.

Want zo als iedereen toch weet is Windows het beste bestuurings systeem op deze aarde

Sorry hoor ben zelf een tevrede gebruiker van XP en win2003 maar moet altijd wel lachen als ik deze PR bullshit van MS lees.
En word een beetje triest dat er mensen zijn die er (gedeeltelijk) intrappen.
Zo iets als "waar rook is moet vuur zijn"

Windows doet zijn werk best goed, allen is het gebouwd puur voor gebruiks gemak.
(hoewel er best veel verbetert is de laast tijd met SP2)
En ik denk dat daar door zo veel probleemen met virus en wormen zijn.
Linux heeft dat probleem niet meschien omdat er meer windows dan linux machiens zijn.
Maar ik draai een firewall, 2 anti virus en 1 anti spyware programa mijn vriend met linux draaid aleen een firewall geloof niet dat ik dat op mijn MS machiene wil probeeren.

Verwijderd @player-x • 29 maart 2005 09:29

2 virusscanners??

Is dat niet een heel slecht idee? Eerst en vooral zal de ene de andere als virus zien aangezien virusscanners hun code soms erg op dat van een virus gelijkt. En ten tweede zou ik jou performantie eens zien. Twee koffietjes voor je pc geboot is en alles geladen? Om over het nut ervan nog maar te zwijgen.

Thuis op mijn linux box draait niets, geen anti-spyware, (als die al zou bestaan voor linux) en geen antivirus. Ik zit enkel achter een hardwarematige firewall.

Twarp @player-x • 29 maart 2005 10:36

Als je niet scant vind je ook niets zou ik zeggen. Een beetje vals gevoel van veiligheid naar mijn mening.

Pietervs @Quacka • 26 maart 2005 14:49

De betaler krijgt wat hij wil, zo werkt dat in amerika.
In Nederland niet dan? Tijd om eens wat koffie naar binnen te werken en wakker te worden: ook hier in Nederland worden ongunstige rapporten onderin een burola verborgen, of ontkracht door een tegen-onderzoek.

Verwijderd @Quacka • 27 maart 2005 13:35

Het bedrijf Security Innovation heeft een, in opdracht van Microsoft

Toen ben ik maar gestopt met lezen...
De betaler krijgt wat hij wil, zo werkt dat in amerika.

Wat een typische puberale opmerking zeg.

Als Canon overtuigd is dat zij de allerbeste printers maken, dan kunnen ze aan de consumenten bond vragen om hun printers te vergelijken met andere merken. Maar dan kunnen ze bijvoorbaat al niet meer de beste zijn, omdat zij de opdracht hebben gegeven? Die conclusie trek jij namelijk!

Zo ook hier bij Microsoft. Ze zijn overtuigd dat Windows Server het beste Server OS is, daarom vragen ze gespecialiseerde instanties om dat te testen. Keer op keer wordt de conclusie getrokken dat Windows Server inderdaad het beste Server OS is voor deze toepassingen. RedHat Linux is echt niet heilig omdat ze de source openbaar maken hoor. Dat lijkt tegenwoordig de belangrijkste eigenschap van goede software te zijn, dat de source openbaar is.

burne @Verwijderd • 27 maart 2005 16:54

aan de consumenten bond vragen

Er was een tijd waarin de consumentenbond niet in zou zijn gegaan op dat soort vragen. De bond was in die tijd iets van de leden, en de leden bepaalden wat er getest werd.

kimborntobewild @Verwijderd • 28 maart 2005 05:14

@tlobker:
Ja hoor, Canon kan wel de beste zijn.
Alleen is zo'n betreffend onderzoek niet objectief en betrouwbaar als de opdrachtgever bekend is. Ook al is Canon écht de beste: 't onderzoek zal niks aantonen (juist omdát de opdrachtgever bekend is).
Tenminste, dit alles geldt voor onderzoeksbureau's die leven van hun opdrachtgevers.
Daarom zie je ook dat (in verhouding vrij) objectieve instanties als de consumentenbond zo'n onderzoeksopdracht zelden of nooit krijgen.

Twarp @Quacka • 29 maart 2005 10:38

Stop jij ook met lezen zorda er staat: "Microsoft heeft TNO de opdracht gegeven ..."?

Een beetje bevooroordeelde mening misschien?

spone 25 maart 2005 23:28

En wat nou als Microsoft gewoon een onderzoek zou hebben betaald? Waarom moet meteen overal iets achter gezocht worden? Waarom wordt niet geaccepteerd dat Microsoft een 'onafhankelijk' onderzoek uitbesteedt aan een extern bedrijf?

Je kan me naief noemen, maar als een bedrijf eerst een onderzoek gaat publiceren, en daar later op terug moet komen omdat er gecheat is, dan lijkt mij dat alleen maar anti-reclame.

Verder vind ik dat er (te zien aan de reacties) hier toch iets teveel Linux/Microsoft fanboys rondlopen die bij hoog en laag beweren dat hun keuze de beste is. In mijn optiek is de beste sysadmin niet alleen degene die het beste os kiest, maar degene die het best inspeelt op de lopende (security)problemen. En niet iemand die een OS op een servertje zet en dan zegt "mijn systeem is veilig".

Het probleem is nu een beetje dat iedereen elkaar nablaat, (ik heb nu al minstens 10x gequote gezien dat Microsoft het onderzoek betaald heeft en dat er dáárom niks van deugt, om maar een voorbeeld te nemen).

Begrijp me niet verkeerd, ik ben geen 'onvoorwaardelijke Microsoft fanboy', maar ik zie hier toch iets teveel zinloos ms-bashen.

Just my €0,03

Verwijderd @spone • 26 maart 2005 04:42

Ze hebben het niet alleen betaald, ze hebben de opdracht er toe gegeven. Dit houdt in dat ze de eigen data zelf aanleveren (=niet objectief) en dat ze de vraagstelling zelf bepalen.

Je kunt statistieken alles laten zeggen, en daar maken PR-afdelingen (zoals die van MS, maar ook die van RedHAt) graag gebruik van.

Verwijderd @Verwijderd • 26 maart 2005 09:47

Wie zei ook al weer:

There's Lies, Damn Lies, and there's Statistics.

RSpliet @Verwijderd • 28 maart 2005 12:18

Benjamin Disraeli was dat, was ergens in de 19e eeuw de eerste minister van Engeland.

"Then there was the man who drowned crossing a stream with an average depth of six inches."
- W. I. E. Gates

kimborntobewild @spone • 28 maart 2005 06:07

En wat nou als Microsoft gewoon een onderzoek zou hebben betaald? Waarom moet meteen overal iets achter gezocht worden? Waarom wordt niet geaccepteerd dat Microsoft een 'onafhankelijk' onderzoek uitbesteedt aan een extern bedrijf?

Wil je soms beweren dat je 't een objectief onderzoek vindt?

Verwijderd @spone • 26 maart 2005 12:02

Het probleem is niet dat microsoft dit onderzoek heeft betaald, het probleem is dat je niet weet welke onderzoeken microsoft nog meer heeft laten doen en de resultaten niet van bekend gemaakt heeft. Grote bedrijven laten aan de lopende band onderzoeken doen op allerlei gebied, ze brengen alleen die naar buiten die het bedrijf goed voorstellen. Niets mis mee, maar daardoor moet je dit soort onderzoeken wel met een korrel zout nemen.
Bij de opensource gemeenschap komt ieder onderzoek naar buiten, zowel positief als negatief. Daarom ben ik benieuwd welke onderzoeken er ongebruikt in de kluizen van microsoft liggen.

Verwijderd 25 maart 2005 21:40

Daarnaast gaat het onderzoek ervan uit dat beheerders van RHEL 3.0 in het geval van het uitblijven van updates van de leverancier zelf geen tijdelijk patches zullen toepassen.

Datzelfde geld ook voor de Microsoft patches, fout in firewall is bij de meeste gebruikers geen probleem, omdat deze vaak een hardware firewall gebruiken. Bugs in ActiveX, goede admin schakelt ActiveX uit of verandert instellingen totdat patch beschikbaar is.

Het punt wat gemaakt wordt, is dat Windows Server 2003 door een idioot geïnstalleerd en gebruikt kan worden. RedHat begint ook op dat nivo te komen en steeds minder kennis is nodig om het aan de gang te krijgen. Dat brengt dus wel met zich mee, dat die gebruiker er dan vaak vanuit gaat dat het OS zichzelf update. En dus geen developer forums afzoekt naar patches, maar deze verwacht van het bedrijf achter het OS.

corani 25 maart 2005 21:46

Was het niet zo dat een bug volgens Microsoft pas een bug is, als die door hun erkend is? Als ik me goed herinner is het al vaker voorgekomen dat Microsoft een bug pas bekend weken/maanden nadat hij geconstateerd is.

Verwijderd 25 maart 2005 23:25

Kijk eens op: http://www.securityinnovation.com/partners/alliancetech.shtml Inderdaad, Microsoft is een partner van deze jongens

Op dit item kan niet meer gereageerd worden.

Onderzoek: 'Red Hat riskanter dan Windows Server'

Lees meer

Reacties (138)

Sorteer op:

Weergave: