wenn das microsoft passiert wäre...

wären hier binnen 5 minuten zigtausend troll-posts wie unfähig M$ ist und dass sowieso nur DAUs M$ produkte verwenden ...

das es aber Linux trifft, werden eher hunderte posts zu lesen sein wie harmlos der exploit doch ist, dass er in freier wildbahn ja ohnehin kaum auftreten wird und überhaupt und lächerlich und wie kann man nur und bla bla bla bla

wetten?

( Alternativ: kostenlos registrieren) schrieb:
-------------------------------------------------------
> wären hier binnen 5 minuten zigtausend troll-posts
> wie unfähig M$ ist und dass sowieso nur DAUs M$
> produkte verwenden ...
>
> das es aber Linux trifft, werden eher hunderte
> posts zu lesen sein wie harmlos der exploit doch
> ist, dass er in freier wildbahn ja ohnehin kaum
> auftreten wird und überhaupt und lächerlich und
> wie kann man nur und bla bla bla bla
>
> wetten?

Wette verloren. Linuxer können gerade leider nichts zu diesem Forum beitragen, der Exploit hat nämlich alle Linux-Rechner bereits lahmgelegt. :-P

oh man ;)

ist im endeffekt auch völlig egal, denn egal obs m$ oder linux ist, es würde bei m$ ganz schnell einen patch geben und für linux wird der sicher auch recht schnell bereit gestellt ;)

also, warum bashen? is voll sinnlos ;)


nichtsdestotrotz gab es in vergangenheit weit mehr sicherheitslücken, die gefährlich waren für windows, mag sein, dass es daran liegt, dass windows mehr benutzt wird, mag aber auch daran liegen, dass linux einfach von mehr leuten programmiert wird, da kann man sich jetzt wieder drüber streiten, was aber auch sinnlos ist, denn:

die lücken, die es GAB sind gefixt... bei beiden systemen...
also wayne ;)

Aber nur, weil auch in Redmond vor Kurzem noch der Erste des Monats war ;)

Da es nur die beiden Kernel betrifft, duerfte das Problem auch anwenderseitig zu beseitigen sein - nen neueren/älteren Kernel installieren und booten - fertig.

Das stimmt nicht. Nur rechnen Linuxler jeden Fehler eines Programmes als Windowsfehler, aber eigene Fehler sind nur solche, de im Kernel auftreten... So kann man Fehler schönrrechnen /mal im Mozilla securityforum gewesen? manche schweren Expl. werden nach 3 Jahren erstmals angefasst, die Thunderbird Entwicklermannschaft ist auf einen geschrumpft, nachdem sich andere beschwert hatten, dass es immer nur neue Features gebe, aber niemand zum bugfixen da wäre...(warum soll man auch eigenen Code bereinigen (vorsicht ironie))/

Wie du von Firefox auf die Kernel-Entwickler von Linux schließen kannst, erschließt sich mir nicht. Mal davon abgesehen, dass die Firefox-Entwickler durchaus für ihre "Entwicklungspolitik" weitreichend kritisiert werden.

Was Golem (im Gegensatz zu Heise) verschweigt: Der Bug ist nicht so einfach hopplahopp umzusetzen, es sind umfangreiche Vorarbeiten nötig, die Cracker wohl nur dann machen, wenn man gezielt im Angriffsfeld steht. Automatisierte Attacken übers Internet, die gefühlte 40% aller unerwünschten Netzwerkverkehrs ausmacht (währen 58% für Spam draufgeht, aber das nur nebenbei), werden mit diesem Exploit keine Chance haben.

Da fand ich den Bug, mit dem man mit einem modifizierten DHCP-Server fremde Rechner übernehmen kann, weitaus gefährlicher als diese Kernel-Lücke. Aber naja, wenn "Kernel" mit "Exploit" in Zusammenhang gebracht wird, können halt auch die ganzen Pseudo-Experten irgendwas zusammenreimen... Hört sich halt spektakulärer an...

"nichtsdestotrotz gab es in vergangenheit weit mehr sicherheitslücken, die gefährlich waren für windows"

Naja. Nach Secunia sind in Vista 103 Schwachstellen seit Erscheinen im Nov. 2006 gefunden worden. Davon wurden 34% als Highly Critical bewertet. Ubuntu 8.04, um mal eine Distri zu nehmen, die eine angemessene Zeit existent ist, heute noch viel im Einsatz sein dürfte und bei der nicht schon seit langer Zeit aufgehört wurde Statistiken zu führen, kommt auf satte 516 Schwachstellen wovon 32% als Highly Critical bewertet werden. Hinzu kommt, dass unter Windows "nur" 56% der Schwachstellen von Remote ausgenutzt werden konnten, wogegen es unter der genannten Ubuntu Distribution 80% sind. Wenn man also bedenkt, dass unter einem Linux in 19 Monate weniger 5 mal so viele Schwachstellen gefunden wurden, wovon 80% von Remote ausgenutzt werden konnten, halte ich die Aussage, dass Windows mehr gefährliche Sicherheitslücken aufzuweisen hat, als sehr gewagt!

Grüße,
hux

Ist dir schon mal der Gedanke gekommen, dass bei Secunia die Anzahl der Schwachstellen für die Linux Distributionen (in deinem Beispiel Ubuntu) ALLE Programme umfasst, die mit Ubuntu ausgeliefert werden?

Windows ist keine zusammenstellung von Programmen. Dort werden nur die Schwachstellen des Windows-BS gezählt. Deshalb ist ein Vergleich schwachsinn, da man erstmal eine Basis definieren müsste (kernel + Desktop-Oberfläche). Aber die Desktop-Oberflächen unter Linux haben auch wesentlich mehr Programme zu bieten als ein reines Windows. Da müsste man auch diesen Umfang definieren.

Bloß das diese Statistik, so wie Du sie interpretierst, einfach Müll ist. Vergleiche einfach mal was alles an Software bei Ubuntu mitgeliefert wird und dann was bei Windows. Fällt Dir was auf? Dazu kommt das bei Secunia bei Windows nur solche Schwachstellen listet die auch gefixt worden sind. Wie viele sind also ungefixt? Und wie sieht es mit Schwachstellen aus die MS einfach mal so klammheimlich gefixt hat? Richtig, die tauchen da auch nicht auf. Was auch fehlt, wie schnell wurden die Schwachstellen gefixt!

Also die Sicherheit eines OS nach solchen Statistiken zu bewerten halte ich für sehr gefährlich. Der Aussagegehalt von sowas ist gleich NULL. Wenn der Admin unfähig ist, ist jedes OS gefährlich.

Eine gewagte Statistik, was wurde denn verglichen? Ubuntu mit allen Programmen die beim Standarddesktop installiert werden? Gab es die Sicherheitslücken in Linux oder in Applikationen wie Apache? Warum wurde eigentlich Ubuntu 8.04 gewählt, seit dem Release der Distribution gab es schon 2 neue Ausgaben! Wie definieren sich die "Highly Critical" Schwachstellen? Absturz oder wird dadurch der gesamte Server übernommen? Interessanter ist in dem Zusammenhang eigentlich immer wie schnell es einen Bugfix für Schwachstellen gibt, und nicht wie viele es sind/waren.

Ich traue zumindest keiner Statistik, die ich nicht selber gefäls.....äh erstellt habe!

Gruß
BrainOn

Also erstens ist ein Linux nach der Grundinstallation dicht und man muss gezielt Dienste freischalten. Bei Windows ist das i.d.R. umgekehrt.

Zweitens ist bei Linux jeden Tag Patchday; kritische Sicherheitslücken werden i.d.R. innerhalb von wenigen Stunden behoben.

Drittens ist das Konzept von Updates bei Windows schlecht.
- ich muss bei jedem kleinen Update neu starten
- nach dem Neustart dauert es länger bis ich arbeiten kann
- ich sehe nicht, was gefixt wird (bei Ubuntu steht i.d.R. dabei "resolves a security vulnerability that allows ....")
- nutzt Microsoft die Updates, um einem Software, die man garnicht haben will, unterzujubeln
- Haben einige das Autoupdate aufgrund fehlender Lizenzen deaktiviert
- Habe ich es schon mehrfach gehabt, dass mich nach einem Update ein fröhlicher BSOD angelächelt hat, statt der Desktop

Diese ganzen Faktoren führen dazu, dass Windows Updates gar nicht oder nur spät eingespielt werden, was dazu führt, dass die Zeit, die ein Rechner angreifbar ist, wesentlich (weit über 5 mal) länger angreifbar ist.


Beispiel Ubuntu: Dezentes Popup, das über neue Updates informiert, diese spielt man im Hintergrund ein, i.d.R. ist, sofern nicht der Kernel aktualisiert wird, kein Neustart nötig. Nach dem Neustart ist keine extra Wartezeit einzuplanen.



Ausserdem werden über die Ubuntu Update Funktion auch andere Programme gepatched. Das ist bei Windows nicht der Fall.

Meine Aussage war natürlich schon recht provokativ, ich gebs zu ;-)

Es ist mir schon klar, dass da alle Programme mitgezählt werden, aber es geht ja so oft um die Out-Of-The-Box Situation. Und wenn Ubuntu nunmal ein deutlich größeres Paket an Software mitbringt und dadurch die Angriffsfläche vergrößert, ist das System am Ende auch "einfacher" zu kompromitieren. Ich glaube kaum, dass der durchschnitts Ubuntu-User erstmal hingeht und jedes Paket deinstalliert, dass er nicht benötigt. Unter Windows installierst du dagegen nur noch, was du eben auch brauchst. Besonders beim kommenden Windows 7 sind nochmal weniger Komponenten in der Standardkonfig. installiert. Vista ist bei diesem Hacking-Wettbewerb vor einen (?) Jahr auch nur deshalb gefallen, weil eine Lücke in Flash genutzt wurde. Trotzdem gilt Windows als gehackt. Wenn nun also eine Lücke in einem Standardubuntu-Programm gefunden wird, dass sich aufgrund der Distri auf so ziemlich jedem Ubuntu befindet, dann ist das umso kritischer und es ist fair diese Lücken zur Statistik zuzählen.

Auch das kann man so nicht sagen. Denn es werden ja alle Schwachstellen allen Programmen aufgelistet, die in den offiziellen Repos verfügbar sind. Und es hat ja nicht jeder alle Programme, die es bei einer Distribution gibt, auch Installiert.

Wenn du das so vergleichst, dann müsste man bei Windows auch die Schwachstellen aller Windows-Programme hinzufügen. Ganz egal ob sie Installiert sind oder nicht.

"kritische Sicherheitslücken werden i.d.R. innerhalb von wenigen Stunden behoben"

Was das über die Qualität der Prüfung des Patches sagt, kannst du dir selber beantworten.

Dass das Patchsystem besser laufen könnte stimmt. Aber so pauschal wie du da urteilst ist es auch nicht ganz richtig.

"ich muss bei jedem kleinen Update neu starten"

Hier hat sich in der letzten Zeit die Situation merklich gebessert, auch wenn ich dir recht gebe. Aber du darfst nicht vergessen, dass auch unter Linux die Schwachstelle erst gepacht ist, wenn ALLE Programme, die diese Lib benutzen neu gestartet wurden. Das ist aber nicht immer der Fall.

"nach dem Neustart dauert es länger bis ich arbeiten kann"

Ich denke, die 10 Sek. die Windows sich nach einem Neustart den Updates zuwendet sind verschmerzbar. Aber stimmt. Je weniger Zeit drauf geht, desto besser.

"ich sehe nicht, was gefixt wird (bei Ubuntu steht i.d.R. dabei "resolves a security vulnerability that allows ....""

Quatsch. Bei den Updates steht bereits eine Beschreibung dabei und wenn du es genau wissen willst, dann schau in den KB Artikel.

- nutzt Microsoft die Updates, um einem Software, die man garnicht haben will, unterzujubeln

Och bitte. Und Windows enthält natürlich auch ein Hintertürchen für die CIA..Is klar.

"Haben einige das Autoupdate aufgrund fehlender Lizenzen deaktiviert"

Das ist nun wirklich nicht das Problem des Betriebsystems, wenn die Leute die Updatefunktion deaktivieren. Kannst du bei einem Ubuntu auch machen.

"Habe ich es schon mehrfach gehabt, dass mich nach einem Update ein fröhlicher BSOD angelächelt hat, statt der Desktop"

Ich habe auch schon gehabt, dass unter Ubuntu nach den Updates der Kernel nur noch mit Panic antwortete. Also wohl nicht so ganz das Argument.

Windows weißt einen auch beim Setup darauf hin automatische Updates zu aktivieren. Dann wird ebenso im Hintergrund der Prozess durchlaufen. Dass häufiger Neustarts nötig sind, gebe ich zu, aber da es auch nur einen Patchday gibt, auf den man sich einstellen kann und nicht jeden Tag mit Updates überhäuft wird, kann man sich die 3min für einen Neustart im Monat ruhig nehmen. Kannste einen Kaffee trinken, nachdem du solange durchgehend an deinem Rechner gesessen hast und ihn natürlich auch nachts nicht ausschaltest, wenn du schlafen gehst.

wären viel mehr Leute betroffen als bei Linux.

Btw. Wie war das? M$ verschweigt kritische Sicherheitslücken im Internet Explorer über 1 Jahr obwohl diese ausgenutzt werden? :)

klar, ich meine MS Windows kostet erstens Geld, zweitens... microsoft ist proprietär und bsbw ist XP schon lange auf dem markt, und ist immer noch scheiße.. tstststs--- und ändert sich nicht,(okay es gibt SP's) wärend bei Linux solche bugs "nur" vorübergehend sind innerhalb von ein paar std. gefixed wird... ( wie schon erwähnt, nur bei 2 kernel versionen ) bzw, die bugs sind schon gefixed wenn die meldung drausen sind!!! (das mancht man so)
Die Entwicklung bei Linux ist offen!! code enthält fehler, das wissen wir alle, kommt aber auf die handlung an..... Updatet euren Kernel, wer das nicht tut, bzw der admin, dann ist der admin schuld und nicht Linux.... Bei Windows ist MS schuld und nicht der Admin, da der Admin daran nichts ändern kann.... Das ist die Wahrheit...

sry.. My German ain't perfekt... but you sure did understand me.. !! so dont bother to tell me how bad my German is... ;-) Prost!!!

Your english is also pretty poor

hux schrieb:
-------------------------------------------------------
> "ich sehe nicht, was gefixt wird (bei Ubuntu steht
> i.d.R. dabei "resolves a security vulnerability
> that allows ....""
>
> Quatsch. Bei den Updates steht bereits eine
> Beschreibung dabei und wenn du es genau wissen
> willst, dann schau in den KB Artikel.

Kein Quatsch. Hab grad in den Updateverlauf geschaut bei
ner Vista Kiste - schätzungsweise 50% der updates sind
nicht einfach identifizierbar weil es ein haufen
"sicherheitsupdate für vista" mit ner KB nummer hinten dran ist.

Den Updatebeschreibungen würde ich ohnehin nicht allzu weit
trauen. Hab schon bei mehreren Firmen erlebt, dass weit mehr
geändert wurde als in der Beschreibung steht da z.b. API
Probleme behoben werden oder gar neue API Funktionalität
mit eingespielt wird.

> - nutzt Microsoft die Updates, um einem Software,
> die man garnicht haben will, unterzujubeln
>
> Och bitte. Und Windows enthält natürlich auch ein
> Hintertürchen für die CIA..Is klar.

http://www.heise.de/security/Microsoft-installiert-Firefox-Add-On-ohne-Rueckfrage-Update--/news/meldung/139643

http://www.heise.de/security/Microsoft-spielt-heimlich-Updates-ein--/news/meldung/95970

Mit ipv6 lief es genauso vor ein paar Monaten, haben aber kaum
Leute bemerkt scheinbar.

( Alternativ: kostenlos registrieren) schrieb:
-------------------------------------------------------
> wären hier binnen 5 minuten zigtausend troll-posts
> wie unfähig M$ ist und dass sowieso nur DAUs M$
> produkte verwenden ...
>
> das es aber Linux trifft, werden eher hunderte
> posts zu lesen sein wie harmlos der exploit doch
> ist, dass er in freier wildbahn ja ohnehin kaum
> auftreten wird und überhaupt und lächerlich und
> wie kann man nur und bla bla bla bla
>
> wetten?


Code wird von Menschen geschrieben und Menschen sind nunmal eben nicht unfehlbar :-)
Natürlich spiele ich das nicht herunter, aber wird sowas in jedem System mal irgendwo irgendwann mal auftreten. Vielleicht sogar schlimmere Lücken. So ist das IT-Leben nunmal :-)

udn warum ist das so? Weil 95 % aller Desktopbetriebsysteme eben Windows sind. Falls Linux mal soviel Marktanteil hätte(Bewahre Gott), dann würde das auf Linux genauso aussehen. Dann wären nämlich die 90% DAUS auch auf Linux unterwegs und es würde sich lohnen Linuxviren zu schreiben.