Biztonságosabb webszerver építhető Windowsra mint Linuxra
[News.com] A vállalatok számára nagyobb kockázatot jelent, ha weboldalukat Windows helyett Linuxon futtatják -- derül ki egy felmérésből, amelyet a Microsoft megbízásából készítettek.
"Nem kellene elhinni a népi bölcsességeket"
A Security Innovations tanulmánya szerint tavaly a Windows Server 2003-ra épülő webszervereken kevesebb biztonsági rést kellett befoltozni, mint a Red Hat Enterprise Linux ES 3-ra épülő konfigurációkon. Emellett a Windows kevesebb ideig is volt veszélyben, vagyis az ismert hibákra hamarabb megjöttek a javítások.
A két operációs rendszer biztonságával kapcsolatban rendszeresen fellángolnak a viták, az általánosan elterjedt vélekedés szerint a Linux biztonságosabb a Windowsnál. "Az embereknek nem kellene elhinniük a népi bölcsességeket a platformok biztonságáról" -- mondta Herbert Thompson, a tanulmány egyik szerzője. A Red Hat szerint azonban a Security Innovations pontatlan munkát végzett.
Mark Cox, a Red Hat biztonsági szakértője a tanulmány eredményeivel kapcsolatban elmondta, a készítők nem tettek különbséget a biztonsági fenyegetések súlyossága között, amennyiben a kritikus réseket vizsgálják, a Red Hat számára kedvező eredmény születik. A legnagyobb Linux-disztribútor egyebekben nem kommentálta a Security Innovations által kiadott anyagot.
Linux-Windows: 174-52
A készítők megszámolták, hogy a két webszerver-konfigurációval kapcsolatban a tavalyi év során összesen hány biztonsági hiányosságot fedeztek fel, illetve javítottak ki. Emellett azt is megnézték, hogy összesen mekkora idő telt el a biztonsági rések publikálása és a javítás megérkezése között. A Red Hat Enterprise Linux ES 3 összesen több mint 12 ezer napig volt különféle veszélyeknek kitéve, míg a Microsoft-konfiguráció csak 1600 napig -- áll a jelentésben.
Az Apache webszervert, MySQL adatbázist és a PHP-t futtató Red Hat konfigurációhoz tavaly összesen 174 biztonsági hibajavítás jött ki, míg a Windows Server 2003-hoz, az Internet Information Server 6-hoz, a Microsoft SQL Server 2000-hez és az ASP.Net-hez csupán 52. Mark Cox szerint azonban a kritikus hibák száma a Red Hat esetén csupán 8 volt, amelyeket átlagosan 8 napon belül ki is javítottak. A tanulmány nem különböztetett meg kritikus hibákat, csupán alacsony, közepes és magas besorolást alkalmazott. Legutóbbi csoportba tartoztak a kritikus hibák, amelyek lehetővé tették például azt, hogy rosszindulatú felhasználók átvegyék a gépek irányítását.
A tanulmányt a Microsoft a "Get the Facts" (Ismerd meg a tényeket) kampány keretén belül készíttette el. A kampány célja a Microsoft termékeinek összehasonlítása a nyílt forrású szoftverekkel, főképp a Linuxszal. "Meglátásunk szerint egy ilyen elemzés hasznos lehet az ügyfeleink számára, ezért döntöttünk a támogatása mellett" -- áll a cég által kiadott közleményben. "Arra bátorítjuk a vevőket, hogy saját számítógépes környezetükre próbálják értelmezni ezeket az adatokat."
Sok múlik a rendszergazdán
Az operációs rendszerek biztonságáról szóló tanulmány készítői nem csak az eredményeket, hanem a kutatási módszertant is elérhetővé tették, így azokról mindenki eldöntheti, mennyire valósak -- mondta Thompson. "Nem csak a süteményt akartuk odaadni az embereknek, hanem a receptet is." Thompson szerint olyan adatokat próbáltak keresni, amelyek fontosak lehetnek a rendszerek üzemeltetői számára, azonban beismerte, hogy a biztonság nagyban függ az adminisztrátorok tapasztalatától is.
"Szerintem egy jól képzett Jedi adminsztrátor kezében mindkét operációs rendszer végtelenül biztonságos. Ha van egy Linux-gurum, akkor linuxos webszervert kérek tőle, de ha a Windowshoz jobban ért, akkor Windowst használnék" -- mondta Thompson.