MS: Vista har færre huller end Linux

Der er ihvertfald ikke fundet nogen huller i det hele sidste år.

Sandsynligvis fordi der ikke er nogen der bruger det, (computeren det ligger på er slukket).

Men den undskyldning har Microsoft vel ikke for Vista, eller ?

Statistik er en svær ting.

Poul-Henning

Kunne man forestille sig at det har en effekt?

/Anders

Er det ikke Microsoft selv der har lavet testen/undersøgelsen?

Ja, man kan kun undre sig..

...det de i analysen kalder "Linux" (og tildels også Mac OS X) altså ikke kun inkluderer styresystemet, men også MySQL, Apache, PHP samt et mindre hav af desktop-software som f.eks Firefox, Open Office, Gaim/Pidgin osv.

Hvis vi skulle tælle sikkerhedsopdateringer på samme måde for Microsofts produkter, så tror jeg nu nok tallene ville se lidt anderledes ud.

Den eneste statistik du kan tro på er den du selv har manipuleret. - Winston Churchill

Er bunden ikke snart nået?

Når MS sammenligner de 36 "hullukninger" med Ubuntus 224 siger det INTET om sikkerheden, udelukkende at Ubuntus community er meget mere (pro)aktive med lukke potentielle huller - og husk mange af Linux's huller er potentielle, da sikkerheden stadig er meget højere da Linux ikke er defective-by-design, men alligevel så rettes de!

Mageløst ævl fra monopolets side i et krampagtigt forsøg på at få folket til at tage deres nyeste virussprederflop til sig.

/Christian

Vista har haft færre huller det første år sammenlignet med andre systemer. Har Vista så været bedre til at børste tænder?

Vista har vel lige mange huller i morgen som i går? De er bare ikke fundet endnu.

Disse punkter siger vel alt om hvad det handler om. At Vista slet ikke sælger så godt som MS gerne ville have:

"* Det er nemmere at håndtere risici på et system, der har ti sårbarheder på et år, end et, der har 100 i samme periode.
* Hvad har størst negativ indflydelse på sikkerhedsfolkene og sikkerhedsprocedurerne: implementering af ti eller 100 sikkerhedsopdateringer på et år?"

Hvordan kan man finde fejl i koden på et lukket operativsystem. Har kontrollanten haft adgang til hele koden eller hvad? Jeg tænkte det ville være vanskeligt at udtale sig om, hvad der er i en bankboks, hvis man ikke kan åbne og se indholdet...

Teksten kan vel bare tages som et udsagn, eller personlig mening.

VH
Nicholas

Hvad får man ud af, at sammenligne antal lappede sikkerhedshuller i det første leveår?
Der er da flere muligheder:
- enten er der færre huller (MS håber på denne!)
- der er rapporteret færre huller (sandsynligt, da der er få brugere af OS'et pt.
- MS har bare lappet færre huller end de andre systemer.

Når det så er sagt, kan man yderligere tænke over, om det siger noget som helst om kvaliteten?
Bare fordi MacOs har x antal huller (hvordan de så end er kalkuleret!?), flere end Vista, betyder det da ikke nødvendigvis, at Vista er mere sikkert?

I mine øjne er det et USSELT forsøg fra MS's side for at reklamere for Vista.

/ignore MS...

Det burde den også have.

HURRAAAAAA...

• Otto Leisner.

De fleste edb brugere vil nok være glade for at et produkt er bedre end forgængeren på sårbarhedsområdet, men det gælder åbenbart ikke Microsoft haderne der ytrer sig her.

Synes i heller ikke at Linux firmaerne og Apple fremover må markedsføre sig med tal og oplysning de selv har fundet frem til eller betalt andre for at undersøge? Er det kun Microsoft der ikke må sige sin mening.

Min egen erfaring er, at efter jeg har skiftet til Vista og siden smidt Apples "nyt sikkerhedshul hver dag" Quicktime software ud, kører det rigtig godt.

Med de barnlig argumenter nogle af indlægene her ekselerer i, virker det som om der er en del læsere her på Version 2, der ikke er nået længere end version 0.1 i deres åndsudvikling

"Synes i heller ikke at Linux firmaerne og Apple fremover må markedsføre sig med tal og oplysning de selv har fundet frem til eller betalt andre for at undersøge? Er det kun Microsoft der ikke må sige sin mening."

Jo, det der bare er problemet er at MS prøver at lave et marketingstunt hvor de dybest set sammenligner bananer med æbler hhv. pærer, for dernæst at drage nogle konklusioner (det er 3 gange så sund at spise bananer end pærer fordi skralden er gul) der ikke har nogen brugsværdi, kun (pseudo)pr værdi.

"Min egen erfaring er, at efter jeg har skiftet til Vista og siden smidt Apples "nyt sikkerhedshul hver dag" Quicktime software ud, kører det rigtig godt."

Jamen det er da sikkert glimrende, men hvis folk holder deres XP (eller hvad de nu bruger) fornuftig patched up, så synes de sikkert også at det kører rigtig godt.

"Med de barnlig argumenter nogle af indlægene her ekselerer i, virker det som om der er en del læsere her på Version 2, der ikke er nået længere end version 0.1 i deres åndsudvikling"

Bortset fra indlægget der hed Hurraaa, så er det da vidst mere et spørgsmål om du føler dig stødt fordi der en nogen der er skeptiske over for MS markedsføring.

/Christian

Nu skal jeg ikke forsvare Microsoft, men opgørelsen skal læses ud fra en sammenhæng.

Først og fremmest må det være rimeligt, at Microsoft kan sammenligne Windows Vista med Windows XP. Her er der ingen tvivl om, at Vista er leveret langt mere sikkert end Windows XP blev det. Det er vel ikke helt fair at skyde Microsofts sikkerhed ned alene ud fra fortidens synder, så længe det ser ud til, at selskabet faktisk har formået at rette så meget op på det, som krav om bagudkompatibilitet tillader?

Sammenligningen med andre styresystemer er tvivlsom. Inddragelsen af tilhørende applikationer som Firefox giver dog mening, fordi de modsvarer de applikationer, der følger med Windows, som Microsoft står for at vedligeholde. Antallet af opdateringer siger i sig selv ikke noget om, hvorvidt det ene styresystem er mere sikkert end det andet. Til gengæld kan det sige noget om, hvor meget det kræver at vedligeholde det. I et produktionsmiljø er 200+ opdateringer på et år ikke nødvendigvis hensigtsmæssigt, hvis de alle skal testes, før de kan tages i brug.

Men Linux-vedligeholdelse og Windows-vedligeholdelse er to forskellige dicipliner. I den sidste ende er det afgørende punkt, hvilken vedligeholdelsesmodel, der bedst passer sammen med it-afdelingens færdigheder og procedurer. Et opdateret Windows-system er i dag lige så sikkert som et opdateret Linux-system. Det var ikke slet tilfældet for bare 3-4 år siden.

"Nu skal jeg ikke forsvare Microsoft, men opgørelsen skal læses ud fra en sammenhæng."

Men det er alligevel det du gør.

Artiklens overskrift gik på Vista kontra Linux, og det er lodret forkert.
Hvis der havde stået Vista kontra XP og det kun havde drejet sig om det, så var det en anden sag.

Men når MS så laver den der banan, æble, pære sammenligning, så er det filmen knækker.

"Til gengæld kan det sige noget om, hvor meget det kræver at vedligeholde det. I et produktionsmiljø er 200+ opdateringer på et år ikke nødvendigvis hensigtsmæssigt, hvis de alle skal testes, før de kan tages i brug."

Sådan kan man ikke gøre det op.
Dels er det de færreste der tester sikkerhedsopdateringer af, da de som regel leveres vha. autoopdate.
Dels er Linux' opdateringer som regel bedre afprøvet pga. udviklingsmodellen.
Og endelig så leveres typiske opdateringer i klumper der installeres i et hug (og her skal man så stadig huske på Linux' pakkesystem der er Windows overlegent, da trediepart programmer også opdateres automatisk).

"Et opdateret Windows-system er i dag lige så sikkert som et opdateret Linux-system."

Det passer simpelthen ikke!
Windows er først sikkert når der er kommet trediepartsprogrammer ind over, nemlig antivirus, hvilket slet ikke er relevant for Linux - men Windows uden nixen bixen.

/Christian

"Windows er først sikkert når der er kommet trediepartsprogrammer ind over, nemlig antivirus, hvilket slet ikke er relevant for Linux - men Windows uden nixen bixen."

Jeg tror, du her blander to ting sammen. Antivirus er ikke nødvendigt på grund af sikkerheden i Windows, men på grund af de trusler, der findes til den platform. Antivirus er for private brugere lige nu unødvendigt til Linux, fordi der ikke er noget at beskytte imod. Men der er masser af angrebsmodeller, som kan anvendes på alle platforme, hvor brugeren har mulighed for at omgå sikkerhedsadvarsler.

For at vende tilbage til emnet, så tror jeg vi alle kan være enige om, at Microsofts sammenligning er svær at bruge til en realistisk vurdering af sikkerheden og vedligeholdelsen.

"Antivirus er ikke nødvendigt på grund af sikkerheden i Windows, men på grund af de trusler, der findes til den platform. Antivirus er for private brugere lige nu unødvendigt til Linux, fordi der ikke er noget at beskytte imod."

Jeg troede egentlig at du vidste bedre - der er fundamental forskel på opbygningen af Linux og Windows, og godt nok kan der laves programmer der hærger Linux, men pandemiske vira er ikke muligt, da en eventuel dårligdom som en eller bøtosse får lusket ind fordi han kører som root, lynhurtigt vil dø ud.

"Men der er masser af angrebsmodeller, som kan anvendes på alle platforme, hvor brugeren har mulighed for at omgå sikkerhedsadvarsler."

Ja der kan godt foretages direkte cracking, og hvis password er kompromitteret vil alle maskiner kunne angribes, men det kan stadig ikke "smitte" på samme måde som det sker i en dåse!

"For at vende tilbage til emnet, så tror jeg vi alle kan være enige om, at Microsofts sammenligning er svær at bruge til en realistisk vurdering af sikkerheden og vedligeholdelsen."

Den er ikke alene svær at bruge, det er marketingsmæssig misinformation, hvor MS prøver at bilde mindre kyndige ind at Vista skulle være sikrere end Linux!

/Christian

"Ja der kan godt foretages direkte cracking, og hvis password er kompromitteret vil alle maskiner kunne angribes, men det kan stadig ikke "smitte" på samme måde som det sker i en dåse!"

Christian, nu skal vi ikke blive for personlige i denne debat, men det lyder som om, du stadig hænger fast i både Windows, som det så ud i 2004, og virusverdenen som den så ud i 2004. Der er pt. ingen orme, der spreder sig selv eller automatisk kan inficere en opdateret Windows. Så at holde fast i den kritik af Windows er FUD.

Og Linux kan sagtens angribes uden "cracking" (bruger vi stadig det ord på dansk?):

Scenarie: Jeg har lige installeret Debian på en gammel bærbar pc. Det virker fint, men der er ikke installeret et Flash-plugin til webbrowseren. Så jeg googler efter en vejledning i at installere et plugin.

Hvad kan der så ske?

Jo, jeg finder en beskrivelse på et forum, en wiki eller en weblog, som vejleder mig i, hvordan jeg trin for trin kan installere Flash.

Det involverer tilføjelse af nogle linjers kode til en konfigurationsfil og afvikling af nogle kommandoer.

Hvad er risikoen? Jo, vi ved, at virusgrupperne er eksperter i at forgifte søgemaskiner og oprette falske websteder. Hvis min søgning leder mig til sådan et websted, så kan jeg - hvis jeg ikke allerede havde prøvet den slags social engineering for mange år siden på Unix - blive lokket til at aktivere en telnet-server eller downloade og køre en keylogger.

Det sker selvfølgelig ikke, fordi der næppe er ret mange Linux-brugere, som ikke vil kunne gennemskue, hvornår de overskrider god sikkerhedspraksis, eller som ikke kan gennemskue risikoen, men er villige til at rode så meget med teknikken.

Der kan dog være scenarier, hvor man med en vis rimelighed kan sige, at Linux er mere sikkert alene i kraft af dets track record for angreb. Hvis vi taler om en virksomhed eller institution, hvor brugerne har begrænsede rettigheder og ikke kender root-koden, så kan man argumentere for, at der historisk set er mindre risiko for en zero-day sårbarhed, der kan omgå rettighedsstyringen og inficere en Unix-klient end en Windows-klient. Microsoft og Windows er stadig nogle år fra at kunne fremvise en track record, der tåler sammenligning med Unix.

Men lige nu - alene ud fra sårbarheder og angrebsformer - er både Windows og Linux kun så sikkert, som brugeren gør det til.

Det vigtigste er - og det gælder både Mac, Linux og Windows - at brugeren ikke automatisk tror, at den hellige grav er velforvaret, bare fordi alle angrebene sker mod Windows XP.

"Christian, nu skal vi ikke blive for personlige i denne debat"

Nu kan det at være personlig også være positivt, og jeg siger min mening råt og usødet også over for dem jeg har et godt forhold til :-)

"men det lyder som om, du stadig hænger fast i både Windows, som det så ud i 2004, og virusverdenen som den så ud i 2004. Der er pt. ingen orme, der spreder sig selv eller automatisk kan inficere en opdateret Windows."

Vil du dermed helt seriøst påstå at en Windows, på hvilken der ikke er installeret en tredieparts antivirus er lige så sikker som Linux?

"Så at holde fast i den kritik af Windows er FUD."

Undskyld mig, men det der fik mig op af stolen var udsagnet "MS: Vista har færre huller end Linux" og det blev så holdt op på en bananer-pærer sammenligning.
DET er FUD!

"bruger vi stadig det ord på dansk?"

Nej desværre ikke, så det var med fuldt oplæg at jeg brugte lige præcis det ord.

"Scenarie: Jeg har lige installeret Debian på en gammel bærbar pc. Det virker fint, men der er ikke installeret et Flash-plugin til webbrowseren. Så jeg googler efter en vejledning i at installere et plugin.

Hvad kan der så ske?

Jo, jeg finder en beskrivelse på et forum, en wiki eller en weblog, som vejleder mig i, hvordan jeg trin for trin kan installere Flash.

Det involverer tilføjelse af nogle linjers kode til en konfigurationsfil og afvikling af nogle kommandoer."

Se det er jo faktuelt forkert, for hvis vi taler om en Debian variant, så installerer du altså Flash plug-ins vha. apt-get, og så vil det du beskriver ikke ske.

"Der kan dog være scenarier, hvor man med en vis rimelighed kan sige, at Linux er mere sikkert alene i kraft af dets track record for angreb."

Linux er og bliver mere sikker pga. de skarpere skel mellem root (admin) og den almindelige bruger.

"Men lige nu - alene ud fra sårbarheder og angrebsformer - er både Windows og Linux kun så sikkert, som brugeren gør det til."

Til dels enig.

"Det vigtigste er - og det gælder både Mac, Linux og Windows - at brugeren ikke automatisk tror, at den hellige grav er velforvaret, bare fordi alle angrebene sker mod Windows XP.

Enig.

/Christian

"Undskyld mig, men det der fik mig op af stolen var udsagnet "MS: Vista har færre huller end Linux" og det blev så holdt op på en bananer-pærer sammenligning.
DET er FUD!"

Fuldstændig enig.

"Linux er og bliver mere sikker pga. de skarpere skel mellem root (admin) og den almindelige bruger."

Well, det er jeg for så vidt enig i, hvis det ikke var fordi, nyere distroer som Ubuntu gør det meget let at foretage root-handlinger (her ligner Ubuntu og Vista hinanden til forveksling). Til Ubuntus forsvar skal det så siges, at man væsentligt mere sjældent har brug for at godkende handlinger som root uden for de officielle værktøjer. Det er ikke som i Vista, hvor man stadig skal godkende diverse ActiveX-objekter i Internet Explorer (som slet ikke burde tillade den slags). Dem skulle Microsoft have smidt langt væk med Vista og i stedet kopieret apt-get-modellen til den slags.

I det hele taget ville det have klædt Microsoft at have åbnet Windows Update for eksempelvis opdateringer til tredjepartsprogrammer. Så ville brugerne hente dem gennem et forholdsvis sikkert system og få dem regelmæssigt.

Mit konkrete eksempel med installation af Flash kom, fordi jeg faldt over en vejledning, hvor jeg skulle tilføje en URL til non-free apt-get-indhold i konfigurationsfilen til apt-get. Nu ved jeg ikke, om apt-get indeholder et tjek af disse adresser, men det er i hvert fald noget, hvor brugere kunne komme i uføre, hvis de ukritisk følger sådanne anvisninger. Nu var det på en rå Debian. Nu har jeg bootet min Ubuntu og kan se, at de har lagt det ind i deres frontend.