Wo sind die Schreihälse...

... die immer behaupten, Linux (und alles was Nerds in ihren Kellern dafür an Code schreiben) wäre soooo 100.000%ig sicher??

*duckundweg*

wer hat denn behauptet dass Linux etc 100.000% sicher seien?
was man allerdings behaupten kann ist, dass Sicherheitslücken extrem schnell geschlossen werden.
und das nicht wie bei win, wenn man glück hat, zum nächsten patchday.

sie sind überall .. gleich hamm sie Dich!!

dontfeedthetrolls schrieb:
--------------------------------------------------------------------------------
> wer hat denn behauptet dass Linux etc 100.000% sicher seien?
> was man allerdings behaupten kann ist, dass Sicherheitslücken extrem
> schnell geschlossen werden.

Genau, da sprechen wir von Sicherheitslücken die zwischen 5 und 10 Jahren alt sind. Wirklich extrem schnell.

> und das nicht wie bei win, wenn man glück hat, zum nächsten patchday.

Wenn Lücken viele Jahre alt sind (und das sind praktisch fast alle). Dann wird es auf ein paar Tage mehr auch nicht mehr ankommen.

da du dich so gut auskennst, kannst du sicher auch einen ungefähren überblick über die bereits seit jahren offenen sicherheitslücken in windows/win-servern geben.
und wenn diese dann endlich mal öffentlich werden, schließt man diese bei ms natürlich auch immer sofort.
jaja...

win<->lin ist und bleibt kein vergleich.

Komisch, wusste gar nicht, das Samba zu Linux gehört...

Du schreibst es ja selbst;
win<->lin ist und bleibt kein vergleich.

Ob open-source oder net, es hat eigentlich nie einen direkten Zusammenhang damit, wie schnell eine Lücke geschlossen wird.

Es ist ein Unterschied, ob eine Lücke vielleicht alt, aber unbekannt oder alt und bekannt ist.

Unter Linux werden _bekannte_ Lücken üblicherweise innerhalb weniger Tage geschlossen und auch sofort eingespielt.

Microsoft kennt etliche Lücken seit Jahren, reagiert aber meistens erst, wenn diese ausgenutzt werden. Und selbst dann dauert es Tage oder Wochen, bis sie am nächsten Patchday eingespielt werden.

Wer solche Lügenmärchen wie den Vergleichstest in der CHIP glaubt, der glaubt auch an den Weihachtsmann

http://forum.ubuntuusers.de/topic/die-liebe-chip-und-das-kubuntu-bashing/

Das fehlende "n" schenk ich euch noch

Ritter von NI schrieb:
--------------------------------------------------------------------------------
> Das fehlende "n" schenk ich euch noch


Da freut sich der Nikolaus.

Vor allem ist gerade die erste Lücke gar nicht mal so tragisch: Der angebliche "Zugriff auf das gesamte Dateisystem" relativiert sich nämlich durch den Zusatz "Die Zugriffsrechte beschränken sich allerdings auf die des angemeldeten Benutzers." (beide Zitate aus dem Artikel). Wenn die den Samba-Usern entsprechenden Betriebssystem-User nämlich auch nur dort Zugriff haben, wo sie per Samba zugreifen können sollen, dann fällt dieser Bug nämlich gar nicht auf, da es dann keinen Unterschied macht. Das von mir beschriebene Setup ist eigentlich auch die übliche Vorgehensweise, wenn man einen Samba-Server aufsetzt. Das ist wahrscheinlich auch der Grund, warum der Fehler solange unentdeckt blieb: Er ist wahrscheinlich nicht im laufenden Betrieb eines Samba-Servers aufgefallen, sondern weil sich mal wieder jemand das entsprechende Stück Code angesehen hat, weil er da eventuell etwas erweitern wollte. Das heißt, so ein Fehler hat in einem Closed-Source-System eine gute Chance, nie gefunden zu werden.
Die anderen beiden Lücken sind da schon kritischer, aber eigentlich auch nur theoretisch, da ich eigentlich keine von einem öffentlichen Netz aus erreichbare Samba-Installation kenne, der Angriff müsste da schon von innerhalb eines Netzes oder eines VPNs kommen. Da müssen dann schon ein paar andere Scheunentore offen sein, bevor man da überhaupt hinkommt.

Bis die Tage,

KK

----------------------------------------------------------
Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
(Epikur, griech. Phil., 341-270 v.Chr.)



1 mal bearbeitet, zuletzt am 05.10.09 15:23 durch Kein Kostverächter.

Samba != Linux

Samba = Implementation der Windows-Freigabe fuer Unix-Systeme.

Dort, wo es auf Sicherheit ankommt, installiert man unter Linux ganz sicher keine Windows-Freigabe-Implementierung. Soviel Intelligenz muss schon sein.

Der Kommunist schrieb:

> Dort, wo es auf Sicherheit ankommt, installiert man unter Linux ganz sicher
> keine Windows-Freigabe-Implementierung. Soviel Intelligenz muss schon sein.


Eben. Dort verzichtet man auch lieber ganz auf Linux und setzt lieber BSD oder Solaris ein. Skaliert eh besser.

Wenn man eine Mischumgebung hat, wird man nicht um eine Installation von Samba herum kommen. Da in den allermeisten Fällen der Client-PC ein Windows System ist.

Allerdings muss man dazu auch sagen das solche Server in der Regel Storage Systeme sind und nur im Hausnetz erreichbar sind und nicht vom INet aus.
Nicht vergessen darf man hier auch, das man bei Samba normalerweise nicht die ganze Festplatte freigibt. Anders als bei Windows wo die Festplatten standardmäßig komplett freigegeben sind und damit vom Netz aus erreichbar sind.
Was hier also als Sicherheitsloch gesehen wird, ist bei Windows voreingestellt ^^

Ritter von NI schrieb:
--------------------------------------------------------------------------------
> Es ist ein Unterschied, ob eine Lücke vielleicht alt, aber unbekannt oder
> alt und bekannt ist.
>
> Unter Linux werden _bekannte_ Lücken üblicherweise innerhalb weniger Tage
> geschlossen und auch sofort eingespielt.

Letzteres ist ein Gerücht.
Gerade bei Linux -- und vielen Embedded-Systemen, die auf einem Linux aufsetzen -- bleiben sehr viele Systeme ungepatched. Zeig mir ein NAS-System, bei dem in den nächsten Tagen ein Patch herauskommt, und dem Benutzer zur Verfügung gestellt wird.
Und viele alte Systeme laufen einfach weiter, sie sind quasi vergessen und rödeln vor sich hin und keiner kümmert sich um die Kisten und patched regelmäßig. Wir hatten z.B. einen CVS-Server, der seit 2003 bis 2008 ungepatched auf dem alten Systemstand lief. Niemand wollte dran, und versuchen das Ding zu patchen. Wer weiß was passiert....
Irgendwann ist das RAID abgeraucht und das Thema war durch.

> Microsoft kennt etliche Lücken seit Jahren, reagiert aber meistens erst,
> wenn diese ausgenutzt werden. Und selbst dann dauert es Tage oder Wochen,
> bis sie am nächsten Patchday eingespielt werden.

Dann aber meist automatisch.
Ich bin kein MS-Fanboy, aber es gibt einen Vorteil: Eine zentrale Anlaufstelle, in der diese Bugs verzeichnet und die Fixes angeboten werden. Man kann es einem nicht allen ernstes zumuten, 4 Newsletter, 18 Foren und die Bugtraq-Liste ständig parat und gelesen zu haben. Und was ist, wenn ich mal Urlaub habe?
Bei Linux muß ich da immer up-to-date bleiben.
Und komm mir nicht mir Auto-Updates. Deren Zuverlässigkeit und Aktualität stelle ich mal deutlichst in Frage.

Ich mag Linux als System - aber in vielen Teilen knarzt es doch deutlich im Gebälk.

> Wer solche Lügenmärchen wie den Vergleichstest in der CHIP glaubt, der
> glaubt auch an den Weihachtsmann

Naja, und du glaubst offenbar auch nur, was dir kommod erscheint.

Pukys schrieb:
--------------------------------------------------------------------------------
> Letzteres ist ein Gerücht.
> Gerade bei Linux -- und vielen Embedded-Systemen, die auf einem Linux
> aufsetzen -- bleiben sehr viele Systeme ungepatched. Zeig mir ein
> NAS-System, bei dem in den nächsten Tagen ein Patch herauskommt, und dem
> Benutzer zur Verfügung gestellt wird.
> Und viele alte Systeme laufen einfach weiter, sie sind quasi vergessen und
> rödeln vor sich hin und keiner kümmert sich um die Kisten und patched
> regelmäßig. Wir hatten z.B. einen CVS-Server, der seit 2003 bis 2008
> ungepatched auf dem alten Systemstand lief. Niemand wollte dran, und
> versuchen das Ding zu patchen. Wer weiß was passiert....
> Irgendwann ist das RAID abgeraucht und das Thema war durch.

Du wirfst hier zwei verschiedene Dinge in einen Topf. Es ist eine Sache, wie schnell der Code im Projekt gepatcht wird, das geschieht in der Regel schnell. Die nächste Stufe ist, wie schnell diese Korrektur in die Distributionen einfließt, auch das geschieht in der Regel zeitnah. Der letzte Schritt ist die Aktualisierung der in Betrieb befindlichen Systeme und da hängt es vom Administrator ab, ob und wann die Sicherheitspatches eingespielt werden.

Bei einigen Firmen die NAS, Router und dergleichen anbieten, sieht man das mit den Sicherheitspatches offensichtlich nicht so genau, da dauert es leider mitunter recht lange bis das Loch gestopft wird, falls es überhaupt geschieht.

> Dann aber meist automatisch.

Wie die Updates eingespielt werden ist nicht systemabhängig, das kann auch bei unixoiden System automatisiert erfolgen, genau wie es bei Windows manuell gemacht werden kann.

> Ich bin kein MS-Fanboy, aber es gibt einen Vorteil: Eine zentrale
> Anlaufstelle, in der diese Bugs verzeichnet und die Fixes angeboten werden.

Das gibt es bei jeder Distribution auch. Das einzige Problem sind Hardwareanbieter die ihr eigenes Distributionssüppchen kochen und es auf dem Herd vergessen.

> Man kann es einem nicht allen ernstes zumuten, 4 Newsletter, 18 Foren und
> die Bugtraq-Liste ständig parat und gelesen zu haben. Und was ist, wenn ich
> mal Urlaub habe?
> Bei Linux muß ich da immer up-to-date bleiben.

Das musst du als Admin sowieso. Wer meint das nicht zu müssen, weil er ja "nur" Windows-Server beaufsichtigt, dessen Kompetenz stelle in Frage.

> Und komm mir nicht mir Auto-Updates. Deren Zuverlässigkeit und Aktualität
> stelle ich mal deutlichst in Frage.

Kannst du uns auch eine Begründung statt einer Frage liefern?

> Ich mag Linux als System - aber in vielen Teilen knarzt es doch deutlich im
> Gebälk.

Gerade im Serverbetrieb sehe ich das anders (wobei mir der Kernel herzlich egal ist, die GNU-/Systemprogramme machen für mich das eigentliche System aus).

cde schrieb:
--------------------------------------------------------------------------------
>
> Eben. Dort verzichtet man auch lieber ganz auf Linux und setzt lieber BSD
> oder Solaris ein. Skaliert eh besser.


BSD?

Pukys schrieb:

> Letzteres ist ein Gerücht.
> Gerade bei Linux -- und vielen Embedded-Systemen, die auf einem Linux
> aufsetzen -- bleiben sehr viele Systeme ungepatched. Zeig mir ein
> NAS-System, bei dem in den nächsten Tagen ein Patch herauskommt, und dem
> Benutzer zur Verfügung gestellt wird.
> Und viele alte Systeme laufen einfach weiter, sie sind quasi vergessen und
> rödeln vor sich hin und keiner kümmert sich um die Kisten und patched
> regelmäßig.
Ist das ein grundsätzliches Problem von Linux oder liegt das vielleicht eher an den Entwicklern diverser embedded System, die sich großzügig beim kostenlos erhältlichen Linux bedienen, sich dann dafür großzügig bezahlen lassen, aber beim Support die Großzügigkeit vergessen?

> Und komm mir nicht mir Auto-Updates. Deren Zuverlässigkeit und Aktualität
> stelle ich mal deutlichst in Frage.
Hatte bisher noch keine Probleme (ausgenommen ich spiele mal wieder mit einer Alpha Version. Da kommt das regelmäßig vor)

> Naja, und du glaubst offenbar auch nur, was dir kommod erscheint.
Nö. Aber allein schon die Tatsache, dass eine Alpha Version einer Distribution verwendet wird spricht schon Bände. Und dann noch ausgerechnet KDE4, welches ich selbst auch noch als Alpha betrachte, was Stabilität angeht. Und dann ausgerechnet Kubuntu.

Und Behauptungen wie "Es gibt keine automatischen Updates" oder "Eine Installation ist 10GB groß" sind einfach nur lachhaft

Jo genau, und am besten installiert man auch keine Netzwerkkarte.
Total sicher das System. Und Samba ist ja eh kein Open Source und am SMB ist ja sowieso M$ Schuld. Wenn das nicht mal irgendeine M$ Hinterhaltsaktion war zusammen mit dem NSA auf bombensichere Linuxsysteme einzubrechen!

Sturheit ist schon lustig anzusehen.

mööp schrieb:
--------------------------------------------------------------------------------

> ...Und Samba ist ja eh kein Open Source...

Natürlich ist Samba Open Source