Hallo,
objektiver Eindruck ist,
Was ist das? 
dass der IIS5 auf Winnt potentiell
unsicherer ist als z.B. Apache auf einem Linux-Server. Ich
gehe hier von einem einwandfrei aufgesetztem System aus - Also
von den jeweiligen Implementierungen.
Nein, würde ich so nicht sagen. NUR um ein Windows System
„sicher“ zu machen benötigt man eben etwas mehr. Linux bietet
entsprechende „Tools“ eben Serienmässig bzw. durch die
geringen bis garkeinen Kosten für die Anschaffung ist es eben
günstiger. Deshalb scheut man eben bei Windows die
Anschaffungskosten für Software XY.
Das Problem bei Windows besteht aus mehreren Teilen:
-
Der Hersteller will Komfort. Windows soll für Vollidiioten bedienbar sein und gaukelt tatsächlich erfolgreich vor, daß jeder frontallobotomierter Mausschubser einen krass coolen Webserver hinbauen kann (genauso, wie man mit Word kanz krass kreative Geburtstagseinladungen machen kann: soo viele tolle Schriften und ein lustiger Asi-stent.). Automatisch wird alles angestellt, was lustig blinkt und wer etwas nicht braucht, muß sich mitunter recht energisch dagegen wehren.
-
Die immensen Preise für MS-Software scheinen zu begünstigen, daß sich mancheiner in Hamstermentalität einfach alles auf die Platte haut. „Lieber den Magen verrenkt als dem Wirt was geschenkt“.
- dass Windows häufiger Ziel von Script-Kiddies ist
Windows wird vor allem von Leuten mit Script-Kiddy-Niveau benuzt. Siehe oben.
- dass Exploit-Informationen und entsprechende
Security-Patches für Linux-Systeme generell schneller
verfügbar sind, als unter Windows
Die Exploits dürften gleich schnell da sein, die Patches eben nicht. Und wenn welche existieren, sind sie oft von mieser Qualität: oft legen sie recht erfolgreich das System lahm. Unter Linux et al. kenne ich solche Mailaisen nicht.
Was einzelne Updates von Windows genau machen, ist nicht gut dokumentiert (manche Fehler verschwinden „heimlich“), was sie am System verändern auch nicht. Deshalb kann man Fehlersuche vergessen und gleich das Backup einspielen…
Klar. Standardmässig ist Scripting natürlich an.
Siehe oben: Komfort ist, wenn der Admistridiot nicht erst alle Sicherheitslöcher händisch aktivieren muß.
- dass MS-Produkte allgemein ein begehrlicheres Ziel für
Hacker sind
Ja.
Schließlich sind sie „Anfänger-Level“. Hint: es gibt freie Software mit offenliegendem Quellcode, bei denen der Autor eine belohnung für einen erfolgreichen Einbruchsversuch mit dem Programm ausgesetzt hat.
Das ist sicher ein Anreiz, im Gegensatz zu den MS-Programmen sind die aber ofensichtlich sicher…
Auch nach längerer Suche finde ich kaum kompetente Meinungen
zu dem Thema. Meist findet sich Propagande zu beiden Seiten -
Unabhängige Drittmeinungen oder Statistiken finde ich einfach
nicht.
Statistiken sind auch nicht unbedingt ‚objektiv‘.
Es gab mal eine Studie über Ausfallzeiten und
Administrationskosten, ROI (Return of Investment), etc. von
Windows und Linux Backoffice Systemen. Weiss aber nicht mehr
wo…
Interessant finde ich den Bericht von der Migration von Hotmail von Unix (BSD) auf Windows. Das war aus Prestigegründen nötig und wenngleich die Werbung etwas anderes behauptet [http://www.microsoft.com/windows2000/server/evaluati…], zeigen interne Berichte, was für ein Krampf selbst für den Windows-Hersteller die Umstellung auf das eigene Produkt bedeutete.
[http://www.securityoffice.net/mssecrets/hotmail.html], [http://theregister.co.uk/content/4/28226.html], [http://www.theregister.co.uk/content/1/12290.html], [http://www.theregister.co.uk/content/28/23348.html], [http://www.betanews.com/print.php3?sid=992921150]
P.S.: am Montag, den 4.8. ist hier ab 19Uhr ein Experten-Chat
zu dem Thema Windows vs. Linux. Vielleicht kommen dabei einige
interressante Argumente rüber.
Brr. Kannst Du nicht einfach mal eine Zeit auswählen, wo ich nicht auf Arbeit bin? Mal sehen, Netz haben wir ja, vielleicht sind Montag keine Katastrophen im Anmarsch…
Wie dem auch sei: meine persänliche Präferenz geht eindeutig in Richtung Open Source. Keine Ahnung, welche Features Du brauchst, aber einen sicheren HTTP-Server würde ich mit nichts anderem als freier Software realisieren. Das Lesen von einschlägigen Security-Mailinglisten bleibt Dir allerdings unter keinem System erspart…
Gruß,
Sebastian