sicherheit Update Mail Windows Server Webserver Eindruck

Seiten zum Thema Webserver und Sicherheit?

Von: , Frage gestellt am Fr, 1. Aug 2003

Hiho.

Da ein Kunde von uns neue Web-Security-Infrastuktur mit IIS5 und Win2k Server plant, hätte eine dringende Frage an die IT-Security Experten:

Ich suche Seiten zum Thema Sicherheit und Webserver. Mein objektiver Eindruck ist, dass der IIS5 auf Winnt potentiell unsicherer ist als z.B. Apache auf einem Linux-Server. Ich gehe hier von einem einwandfrei aufgesetztem System aus - Also von den jeweiligen Implementierungen.

Zusätzlich habe ich den Eindruck,

- dass Exploit-Informationen und entsprechende Security-Patches für Linux-Systeme generell schneller verfügbar sind, als unter Windows
- dass Windows häufiger Ziel von Script-Kiddies ist
- dass MS-Produkte allgemein ein begehrlicheres Ziel für Hacker sind

Läßt sich dieser Eindruck mit Beweisen belegen, oder liege ich dabei komplett falsch?

Auch nach längerer Suche finde ich kaum kompetente Meinungen zu dem Thema. Meist findet sich Propagande zu beiden Seiten - Unabhängige Drittmeinungen oder Statistiken finde ich einfach nicht.

Ich möchte auf keinen Fall einen Flame-War auslösen hier - Bitte nur belegbare Argumente und keine Aussagen wie "Produkt oder Firma blabla ist einfach Schrott" oder ähnlich.

vielen lieben Dank im Vorraus,

J.P.Jarolim

3 Antworten zu dieser Frage

1. Antwort von nach 4 Stunden 1 hilfreich

   Re: Seiten zum Thema Webserver und Sicherheit?

   Hallo, objektiver Eindruck ist, dass der IIS5 auf Winnt potentiell
   unsicherer ist als z.B. Apache auf einem Linux-Server. Ich
   gehe hier von einem einwandfrei aufgesetztem System aus - Also
   von den jeweiligen Implementierungen.
   
   Nein, würde ich so nicht sagen. NUR um ein Windows System "sicher" zu machen benötigt man eben etwas mehr. Linux bietet entsprechende "Tools" eben Serienmässig bzw. durch die geringen bis garkeinen Kosten für die Anschaffung ist es eben günstiger. Deshalb scheut man eben bei Windows die Anschaffungskosten für Software XY. - dass Exploit-Informationen und entsprechende
   Security-Patches für Linux-Systeme generell schneller
   verfügbar sind, als unter Windows
   - dass Windows häufiger Ziel von Script-Kiddies ist
   Klar. Standardmässig ist Scripting natürlich an. - dass MS-Produkte allgemein ein begehrlicheres Ziel für
   Hacker sind
   
   Ja. Auch nach längerer Suche finde ich kaum kompetente Meinungen
   zu dem Thema. Meist findet sich Propagande zu beiden Seiten -
   Unabhängige Drittmeinungen oder Statistiken finde ich einfach
   nicht.
   
   Es gab mal eine Studie über Ausfallzeiten und Administrationskosten, ROI (Return of Investment), etc. von Windows und Linux Backoffice Systemen. Weiss aber nicht mehr wo...
   
   
   
   Gruß
   h.
   
   P.S.: am Montag, den 4.8. ist hier ab 19Uhr ein Experten-Chat zu dem Thema Windows vs. Linux. Vielleicht kommen dabei einige interressante Argumente rüber.
   

   • Antwort von nach 9 Stunden 0 hilfreich

     Re^2: Seiten zum Thema Webserver und Sicherheit?

     Hallo, objektiver Eindruck ist,
     Was ist das? ;) dass der IIS5 auf Winnt potentiell
     unsicherer ist als z.B. Apache auf einem Linux-Server. Ich
     gehe hier von einem einwandfrei aufgesetztem System aus - Also
     von den jeweiligen Implementierungen.
     Nein, würde ich so nicht sagen. NUR um ein Windows System
     "sicher" zu machen benötigt man eben etwas mehr. Linux bietet
     entsprechende "Tools" eben Serienmässig bzw. durch die
     geringen bis garkeinen Kosten für die Anschaffung ist es eben
     günstiger. Deshalb scheut man eben bei Windows die
     Anschaffungskosten für Software XY.
     Das Problem bei Windows besteht aus mehreren Teilen:
     
     - Der Hersteller will Komfort. Windows soll für Vollidiioten bedienbar sein und gaukelt tatsächlich erfolgreich vor, daß jeder frontallobotomierter Mausschubser einen krass coolen Webserver hinbauen kann (genauso, wie man mit Word kanz krass kreative Geburtstagseinladungen machen kann: soo viele tolle Schriften und ein lustiger Asi-stent.). Automatisch wird alles angestellt, was lustig blinkt und wer etwas nicht braucht, muß sich mitunter recht energisch dagegen wehren.
     
     - Die immensen Preise für MS-Software scheinen zu begünstigen, daß sich mancheiner in Hamstermentalität einfach alles auf die Platte haut. "Lieber den Magen verrenkt als dem Wirt was geschenkt". - dass Windows häufiger Ziel von Script-Kiddies ist
     Windows wird vor allem von Leuten mit Script-Kiddy-Niveau benuzt. Siehe oben. - dass Exploit-Informationen und entsprechende
     Security-Patches für Linux-Systeme generell schneller
     verfügbar sind, als unter Windows
     Die Exploits dürften gleich schnell da sein, die Patches eben nicht. Und wenn welche existieren, sind sie oft von mieser Qualität: oft legen sie recht erfolgreich das System lahm. Unter Linux et al. kenne ich solche Mailaisen nicht.
     
     Was einzelne Updates von Windows genau machen, ist nicht gut dokumentiert (manche Fehler verschwinden "heimlich"), was sie am System verändern auch nicht. Deshalb kann man Fehlersuche vergessen und gleich das Backup einspielen... Klar. Standardmässig ist Scripting natürlich an.
     Siehe oben: Komfort ist, wenn der Admistridiot nicht erst alle Sicherheitslöcher händisch aktivieren muß. - dass MS-Produkte allgemein ein begehrlicheres Ziel für
     Hacker sind
     Ja.
     Schließlich sind sie "Anfänger-Level". Hint: es gibt freie Software mit offenliegendem Quellcode, bei denen der Autor eine belohnung für einen erfolgreichen Einbruchsversuch mit dem Programm ausgesetzt hat.
     
     Das ist sicher ein Anreiz, im Gegensatz zu den MS-Programmen sind die aber ofensichtlich sicher.... Auch nach längerer Suche finde ich kaum kompetente Meinungen
     zu dem Thema. Meist findet sich Propagande zu beiden Seiten -
     Unabhängige Drittmeinungen oder Statistiken finde ich einfach
     nicht.
     Statistiken sind auch nicht unbedingt 'objektiv'. Es gab mal eine Studie über Ausfallzeiten und
     Administrationskosten, ROI (Return of Investment), etc. von
     Windows und Linux Backoffice Systemen. Weiss aber nicht mehr
     wo...
     Interessant finde ich den Bericht von der Migration von Hotmail von Unix (BSD) auf Windows. Das war aus Prestigegründen nötig und wenngleich die Werbung etwas anderes behauptet [http://www.microsoft.com/windows2000/server/evaluati..., zeigen interne Berichte, was für ein Krampf selbst für den Windows-Hersteller die Umstellung auf das eigene Produkt bedeutete.
     
     [http://www.securityoffice.net/mssecrets/hotmail.html], [http://theregister.co.uk/content/4/28226.html], [http://www.theregister.co.uk/content/1/12290.html], [http://www.theregister.co.uk/content/28/23348.html], [http://www.betanews.com/print.php3?sid=992921150] P.S.: am Montag, den 4.8. ist hier ab 19Uhr ein Experten-Chat
     zu dem Thema Windows vs. Linux. Vielleicht kommen dabei einige
     interressante Argumente rüber.
     Brr. Kannst Du nicht einfach mal eine Zeit auswählen, wo ich nicht auf Arbeit bin? Mal sehen, Netz haben wir ja, vielleicht sind Montag keine Katastrophen im Anmarsch...
     
     Wie dem auch sei: meine persänliche Präferenz geht eindeutig in Richtung Open Source. Keine Ahnung, welche Features Du brauchst, aber einen sicheren HTTP-Server würde ich mit nichts anderem als freier Software realisieren. Das Lesen von einschlägigen Security-Mailinglisten bleibt Dir allerdings unter keinem System erspart..
     
     
     Gruß,
     
     
     Sebastian
     

     • Antwort von nach 10 Stunden 0 hilfreich

       URLs, Links, whatever...

       Mist. Der Parser mach Dinge anders, als ich sie kenne[tm].
       
       Hier die Links
       
       http://www.microsoft.com/windows2000/server/evaluati...
       http://www.securityoffice.net/mssecrets/hotmail.html
       http://theregister.co.uk/content/4/28226.html
       http://www.theregister.co.uk/content/1/12290.html
       http://www.theregister.co.uk/content/28/23348.html
       http://www.betanews.com/print.php3?sid=992921150
       

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!