Red Hat vs. Windows Server 2003

Szóval az alapján hasonlították össze a két OS-t, hogy melyikben mennyi sechole került napvilágra, és hogy mennyi idő telt el átlagosan a javításukig. Ez tök jó, csak ilyen összevetésben szart sem ér...

Egy nyílt forráskódú rendszerben persze, hogy több hibát találnak, egy zártban persze, hogy kevesebbet. A nyíltban persze, hogy előbb bejelentik a sebezhetőséget, míg a M$ nem szokta nagydobra verni a dolgot, sokszor csak akkor, amikor már kész a patch.

Ez szerintem nem volt kérdés eddig. Inkább az, hogy ha nyílt forrású lenne a Win, nem találnának-e benne 20x ennyi hibát, és ha nem titkolózna a M$, vajon mennyi idő telne el a javításig (emlékezhetünk fél éves késésekre is). Meg ki tudja, mennyi hibát javít egy SP2, amiről soha szó sem volt. Szóval... tök jó ez a teszt, csak számomra szart se ér.

> Ui.: Ugye ezt nem cenzúrázzátok ki, mint a többit?

1.) Eloszor regisztralj

2.) Ha te vagy az, aki naponta copy & paste nyomkodod be a hireket, akkor legalabb annyi faradsagot vegyel, hogy:

- uj es eddig meg itt meg nem jelent hireket kudesz be. ajanlom figyelmedbe az a tenyt, hogy itt orarol-orara es nem hetekrol hetekre valtoznak a hirek. lehet, hogy itt egy 2 napos hir mar regen lement. bekuldes elott cikkarchivum [www.hup.hu]

3.) azokat a hireket nem teszem ki, amik nem felelnek meg bizonyos formai, es egyeb kovetelemenyeknek

- rettento rossz a helyesiras (altalaban ezeket meg kijavitom)

- nincs link az eredeti cikkre -> /dev/null (ezeket nem teszem ki, hacsak meg nem talalom a Google segitsegevel, altalaban eleg sokat keresem mire feladom) (lasd: Miért nem közölted le a cikkemet?)

4.) Ha reklamrol van szo

5.) Ha a cikk nem erdekes

A fentiek ellenere a bekuldott cikkek 99%-ka kikerul.

Ezek utan kivancsian varom, hogy mik azok a ``mint a többit''. Ja mielott jossz azzal, hogy mert itt csak a Windows hibákról van szó (vagy a szokásos moron szoveggel, ajanlom figyelmedbe a Bugok kategoriat (524 hir), es a tobbi cikket [www.google.com] (tobb, mint 2.000) amelyben szinte csak a UNIX rendszerek hibairol van szo.

Jotanacs: probalj meg regisztralni, mert:

Ha valaki nevvel kuld be 2-3 jo cikket, akkor legkozelebb elegendo csak a cikkbekuldo nevere raneznem, es tudom, hogy az illeto jo dolgokat szokott bekuldeni. Vannak olyan emberek akiknek a cikket mar ellenorzes nelkul is ki szoktam tenni. Ezzel az anonymous nevvel nem nagyon tudok mit kezdeni.

Moron, troll, nutball megjegyzesekkel nem sokra mesz, tehat azt is a /dev/null-ra.

Ez vonatkozik a tobbi anonymous cikkbekuldore is!

Ja es hozzateszem, hogy az altalad bekuldott cikk ismet *****, egy konkretum nincs benne, ellenben a linkelt oldal 95%-a, es a "cikk" minden masodik szava reklam. A komoly biztonsagi elemzesekhez jar letoltheto whitepaper, dokumentacuio, esettanulmany, stb. Itt egyiket sem latom. Magyarul konkretumok nelkuli az egesz. Nem is csoda, hogy az ilyeneket nem teszem ki.

(miert van az az erzesem, hogy ezekere nem fogsz valaszolni?)

Micskó Gábor wrote:
> (miert van az az erzesem, hogy ezekere nem fogsz valaszolni?)

Mert unregistered user nem szolhat hozza?! ;)

Mindjárt az idézett cikk alatt ott vannak a hozzászólások, amelyek elég
keményen kivesézik a cikk hibáit. A cikk ugyanis nem részletezi a hibák
jellegét (local, remote), súlyosságát. Továbbá csak a RedHat
disztribúciót vizsgálta, az egyik levélíró szerint a RedHat viszonylag
sok időt tölt a javítások tesztelésével, ez megnöveli a hibaablak
méretét. Harmadrészt nem veszi figyelembe, hogy az MS hibáiról sok
esetben csak akkor jön ki információ, amikor a patch már készen van, így
nem lehet reálisan felmérni a hibaablakot.

--
--- Friczy ---
'Death is not a bug, it's a feature'

sosem ertettem miert jo a kocsogdudat a harfahoz hasonlitani; illetve hogy mi a tanulsag a fenti osszehasonliasban

Miután ilyen jól elmagyaráztál mindent, csak azt nem értem,

hogy miért raktad ki mégis ?

Ezek után én biztos nem olvasom el :)

btami

Okulasbol, hogy az ilyen cikkek miert nincsenek kiteve, es miert nem is lesznek. Nem azert mert cenzura (ami szerintem butasag), hanem mert nem utnek meg (szerintem) egy bizonyos szintet.

Eleve nagy problémám, hogy ez most melik Redhat Linux? Egy Enterprise verziónal nem hiszem hogy "viccel" a biztonsaggal a redhat, de azt sem hiszem, hogy a sima verzional megtenne. Az szinten erdekes lenne, hogy egyaltalan milyen szolgaltatasok szerint nézték ezt a dolgot (ha nézték egyáltalán). Olyanra gondolok hogy mondjuk volt pgsql hiba, es beleszamoltak, mikozben mondjuk nem is hasznaltak...

Reklamokat nezve, microsoftos van, linuxos nincs :)

elnezest, van azis, de az ms reklam jobban latszik :)

Személyessen nem tartom mérvadónak az OS-ek közötti biztonsági összehasonlításokat, meg álltalában más fajta összehasonlítást is ovatossan kell kezelni. Megvan egy biztonsági szint amit egy OS-től tapasztalhatunk a default beállításoknál vagy szűz telepítés után, de ami szerintem lényegessen fontosabb, az a rendszergazda, meg ha nagyobb rendszerről van szó annak a csapata, vagyis előfordul, hogy egy OpenBSD a gyagyi rendszergazda miatt kevésbe biztonságos egy Windows-nál és persze az is előfordulhat, hogy egy RedHat lebukik egy Windows Server 2003-tól, de ez nem a két OS tulajdonsága, ugyanis minden komoly OS-t lehet biztonságossan üzemeltetni, és azt hiszem, hogy komoly OS a RedHat Linux is meg a Windows Server 2003 is. Na most tapasztalataim szerint a Windows-nál alapból nagyobb biztonságra lenne szükség mint a Linux-oknál, hogy a real world is ezt tapasztalja, egyszerűen azért mert a Windows rendszergazdák álltalában (tisztelet a kivételeknek), de mondom álltalában gyengébbek a UNIX-os kollegáiknál, akkor maga a Windows user orientáltsága több lehetőséget ad a gyagyi rendszergazdának, hogy elszúrja a dolgot... tehát még ha elfogadom azt, hogy a Linux alapértelmezés szerint kevésbe biztonságos mint a Windows Server 2003, (de mégegyszer mondom, nem komoly az aki ilyen megmérettetésekra odafigyel), akkor is azt hiszem, hogy egy real time környezetben a mindennapi életben ez sok minden mástól függ, és nem is csak a rendszergazdától, hanem a userek (pl. social engineering) a network architectura és sok más még nagyon is beleszól a rendszer valódi biztonságához.

Ja és még egy logikus megközelítése a dolognak, ha két házunk van és az egyiken 3 nyitott ajtó van a másikon meg 1 nyitott ajtó, akkor melyik itt a biztonságosabb? Most lehet, hogy valaki vitatkozna rajta, de mindkettő ház NEM BIZTONSÁGOS, mindkettőbe be lehet menni, tehát a melyik a biztonságosabb kérdés értelmét veszti, ez olyan mintha azon vitatkoznánk, hogy melyik a halotabb akit háromszor fejbe lőttek vagy akit ötször... nem értelmes összehasonlítás, mert mindkét esetben a végeredmény ugyanaz, vagyis konkrétan az OS-ek esetében mindkettő integritása veszélyezhető, és akkor meg minek összehasonlítás végezni, inkább a biztonság javításán kellene dolgozni, föggetlenül attót, hogy melyiken fedeztek fel több vagy kevesebb rést. Ezek a dolgok inkább marketing szagúak és amikor a marketing avatkozik bele akkor álltalában arról van szó, hogy ki fog több embert becsapni. És akkor meg sem a Linuxnak sem a Windowsnak igazi technikai javulára nem lehet számítani. És ki hallott még ezekről a szakemberekről a múlt héten? Senki, most meg minden portálon a TOP NEWS-ben szerepelnek... komoly biztonsági szakértők mindég is mellőzik a túlzott kijelentéseket, és figyeljük meg, hogy mindlg ilyen ismeretlenek jönnek elő szenzációnális kutatási eredményekkel, nevetséges...

az emberek 30%-a tuleli a kozvetlen fejbelovest...

De ha mégis nem élné túl akkor mindegy, hogy hányszor lőtték fejbe... persze, lehet, hogy nem a legjobb az összehasonlítás, de valójában arra gondoltam, hogy mindég a hangsúlyt magára a gépezetre rakják, holott a fő dolog az ember... és ez téves. Eljutunk lassan egy szintig, hogy relatív jó minőségű rendszereket diletánsok fognak üzemeltetni és akkor ha valami bejön amit nem vártunk akkor ledöglik minden. Fontos az OS biztonsága, de olyan, hogy biztonságos OS és rendszer nem létezik és nem is fog sohasem létezni, ezért inkább az emberek edukációjára fektetném a hangsúlyt.

On 2005-02-20, aludanyi <aludanyi@msn.com> wrote:
>
> Ja és még egy logikus megközelítése a dolognak, ha két házunk van és az
> egyiken 3 nyitott ajtó van a másikon meg 1 nyitott ajtó, akkor melyik itt a
> biztonságosabb? Most lehet, hogy valaki vitatkozna rajta, de mindkett? ház
> NEM BIZTONSÁGOS, mindkett?be be lehet menni, tehát a melyik a
> biztonságosabb kérdés értelmét veszti, ez olyan mintha azon vitatkoznánk,
> hogy melyik a halotabb akit háromszor fejbe l?ttek vagy akit ötször... nem
> értelmes összehasonlítás, mert mindkét esetben a végeredmény ugyanaz,

Ez a hasonlat nem rossz. Na de, folytatva: hany ajtot konnyebb
eltorlaszolni, egyet vagy harmat? Egy lik a rendszeren meg nem a
halal...

Nem rossz a folytatás sem, de ha eltorlaszolod akkor már nem nyitott ajtó :)

A hasonlat tenyleg nem rossz, csak hianyos. Es ha pontositom, akkor viszont teljesen mas megvilagitasba kerul a dolog. Ugyanis a kovetkezo formaban, szerintem, jobban illik a valosaghoz:

"Van 2 epuletunk, es mindketton 10 millio ajto van. Ezek kozul az egyik hazon 100 nyithato, a masikon 1000. Melyikbe fogsz hamarabb bejutni ?"

Vagy ha az OpenSource jelleget is bele akarom kombinalni, akor:

" ...Viszont az elobbit nappal, vilagosban probalhatod, az utobbit csak ejszaka, gyakran vaktaban tapogatozva."

Ebbol is latszik, hogy nem a nyitott ajtok szama fontos, hanem az, hogyha egy nyitott ajto helye koztudomasuva valik, azutan milyen gyorsan zarjak be.

Ha a brute force algoritmust alkalmazom, akkor a valószinűség nagyobb, hogy a másodikba (az 1000 ajtósba) jutok be előbb, de ez sem biztos, mert elképzelhető, hogy szerencsém van. Ha viszont egy profi betörő vagyok akkor elöbb megfigyelem az épületet, meg alkalmazom előbbi tapasztalataimat és tök mindegy, mindkét épületbe egyformán lépek be. Tehát, hogy leszögezzem az ember a fontos a gép csak szerszám és okos ember kezében a "gyengébb" szerszám többet ér mint fordítva. Na de, hogy most itt ne essek a filozófia "áldozatává" elfogadom, hogy a realis világban és ezt már le is irtam a Windows az ami jobban sebezhető, de ez még véletlenül sem azért mert több a rés rajta, hanem azért mert rosszabbak az őrök, és egyrészt nehezebb vigyázni is (mert több az ajtó rajta), de mindkettőt egyformán sebezheti egy komoly profi betörő, és ez az ami fontos és ez az ami miatt a legnagyobb hiba ha a biztonságot magára az OS-re bizzuk, nem pedig a rendszergazdákra és a felhasználók edukációjára.