FreeBSD Skrevet 6. august 2003 Del Skrevet 6. august 2003 Jeg leser i OSNews i dag at Linux har fått en CC-utmerkelse for sikkerhet, akkurat som Windows fikk i fjor høst. Windows fikk en rating fra "middels sikkerhet til høy sikkerhet" og Linux "fra middels til dårlig sikkerhet". Hvis dette viser seg å være sant - er det illevarslende. Dette er en så og si "brennfersk nyhet". Blir spennende å se når den dukker opp i ITAvisen og hvilke feiltolkninger de som vanlig gjør. Skal vi gjette på 2 uker? Microsoft kan gni seg i hendene i dag - men ingen BSD er testet enda. Det er gjerne de som kommer best ut på sikkerhet. Vi får se. Lenke til kommentar
FreeBSD Skrevet 6. august 2003 Forfatter Del Skrevet 6. august 2003 Her følger en liten utvikling i saken, som nylig ble postet av samme informant på OSNews. CNN har i ettermiddag hevdet at rapporten var bygget over visse kriterier satt av den amerikanske regjeringen. Derfor er det ikke umulig at disse linjene er satt etter et mønster til gode for Microsoft. Det er ikke ukjent at USA har en særdeles konservativ regjering, hvis motto er å beskytte slike storselskaper. Det heter jo at, "What's good for General Electric is good for America". Og dette tydelig bokstavlig i dette tilfellet. Derfor er det god grunn til å tro at rapporten sikkerhetsmessig sett er svekket, og mindre troverdig. Linux-folket kan foreløpig puste lettet ut, inntill Microsoft bringer ny informasjon til torgs. Lenke til kommentar
Langbein Skrevet 6. august 2003 Del Skrevet 6. august 2003 Er egentlig ikke særlig imponert over slike rapporter - de er jo alt annet enn vitenskapelige. Det lukter storkapital lang vei. Står jo også at det koster MASSE penger å få slik sertifisering. Linux hadde ikke vært med i det hele tatt hvis det ikke hadde vært for IBM. Hva da med OS som OpenBSD/FreeBSD og andre som ikke har rike onkler? Ingen kan få meg til å tro at Windows2000 er sikrere enn f.eks OpenBSD. Det går vel knapt en uke uten nye og ofte alvorlige sikkerhetsfeil i Windows, IIS, MSIE osv. Etter hva jeg leste sto det vel også at det var SuSE som var testet - det var altså ikke snakk om Linux som helhet. Sikkerheten kan jo som kjent variere veldig fra distro til distro. Norske Trustix har bla. satset veldig på sikkerhet. Mange av de mer desktop-orienterte distroene kan ha ofret sikkerhet til fordel for brukervennlighet. Skal man sette opp en server med maskimal sikkerhet bør man derfor velge andre distroer. Lenke til kommentar
[0x] Skrevet 6. august 2003 Del Skrevet 6. august 2003 Jeg må bare le av disse såkalte sikkerhets testene. Et operativsystem er så sikert som du selv setter det opp (til en hvis grad). En godt satt opp windows 2k server kan faktisk (tro det eller ei) være sikrere enn en default install av en red-hat 7.3 box. Fordelene med *nix generelt er at det er mange flere muligheter til og konfigurere systemet.70% av alle de gode sikkerhets verktøyene er laget for *nix (det er ganske stress og kjøre nessus klienten under cywin). Det er også et veldig kjent fenomen at Microsoft ikke tar sikkerhet alvorlig. Jeg tror nok at de følte seg passe *tatt på fersken* etter at det ble funnet en buffer overflow i dcom rpc. Microsoft skulle ha publisert kernell32 koden sin så kunne man sammenlignet den med koden til linux kjernen. Det vil de selvsagt aldri gjøre, for da vil de bli tatt for å ha en dårlig sikkerhet og vil miste lisensen. Disse hullene kommer til å bli oppdaget før eller senere (jeg er medlem av Full-Disclosure mailing listen så jeg ser dem daglig) Lenke til kommentar
FreeBSD Skrevet 6. august 2003 Forfatter Del Skrevet 6. august 2003 Langbein: Nettopp! Det er helt klart at mesteparten av raporten av denne typen er kjøpt og betalt av den som har mest penger og mest lyst til å "pynte på omdømmet" og samtidig sverte andres. OpenBSD har rikitgnok ikke en enorm brukergruppe, men det er allikvel å feste seg ved at det ikke er oppdaget et alvorlig brudd på sikkerhet i det systemet siden 1999. Vi hører ukentlig om feil i en av Microsofts motorer, enten det er IIS eller IE. Er denne rapporten myntet spesielt på Microosft har de tabbet seg mer ut enn om de hadde latt være - desverre er det enda mange som vil ta innholdet som god fisk og kjøpe produktene i den tro at de er svært sikre, ja, testvinner. Det kalles manipulasjon og er svært utbredt, desverre. Lenke til kommentar
drall Skrevet 6. august 2003 Del Skrevet 6. august 2003 Slik jeg fostod det var ikke linux testet for middels til høy sikkerhet, bare for middels til lav. I tillegg har jeg lest kommentarer som hevder at testingen er noe spesiell da den ikke tester for ting som sikkerhetshull, men ser på ting som at du må trykke ctrl+alt+delete for å logge inn. Dette er også ikke en test av linux-kernelen, men en test av et oppsett av SuSE 8.2. Jeg tror mange av tingene har lite med linux-kernelen i seg selv å gjøre, men med oppsettet. Lenke til kommentar
iDude Skrevet 7. august 2003 Del Skrevet 7. august 2003 Langbein: Nettopp! Det er helt klart at mesteparten av raporten av denne typen er kjøpt og betalt av den som har mest penger og mest lyst til å "pynte på omdømmet" og samtidig sverte andres. Prislappen på $400.000 for en EAL2 sertifisering burde tyde på det ja.... Men det går ikke bare ut på sikkerhet, også organisert support er med. Derfor er det "server editions" til Redhat og Suse som blir testet, med IBM/Oracle i ryggen. Personlig velger jeg linux fremfor win2000... Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå