"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Vergleich Win 2k3 mit RH EL 3.0

smashIt 26.03.2005 - 20:15 506 5
Posts

smashIt

master of disaster
Avatar
Registered: Feb 2004
Location: OÖ
Posts: 5217
Letztens is ne ziemlich gute studie zum thema sicherheit in win 2k3 und rh el 3.0 publiziert worden.
nen bericht darüber gibts hier

und die studie selber samt details über die vorgehensweise hier. mitlerweile muß man sich anscheinend registriern um die 2 pdfs runterzuladen.

HP

Legend
Moneymaker
Registered: Mar 2000
Location: Wien
Posts: 21813

smashIt

master of disaster
Avatar
Registered: Feb 2004
Location: OÖ
Posts: 5217
Zitat von h4p3
Ohne Kommentar :)

ich würd dir trotzdem raten n bischen was über die studie zu lesen.
immerhin haben die beiden autorn von sich aus in der studie offengelegt das ms mitfinanziert hat. und afaik hat bsi jetzt noch keiner fehler in den verwendeten daten oder der analyse der selbigen gefunden.

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12071
Zitat
We are not questioning their results, our problem is with their methodology.

Their primary metric is "days since a vulnerability is disclosed to when a patch is released".

Microsoft doesn't officially disclose anything (aka "responsible disclosure") until all of their major customers have already been hit, and they have a fix ready.

Open-source software on the other hand has a tendency of being overly paranoid, and will release a security bulletin for every little thing as quickly as possible. This puts them at a natural disadvantage, using the above metric.

According to these "researchers", not letting your customers know that there's a vulnerability is preferred to letting them know as soon as possible. This sort of sounds like a good idea, until you factor in the fact that black hats will know pretty much immediately, word spreads quick.

Du bist vielleicht nicht so ein verf*ckter Fanboy wie meinereiner, aber mit deinem Masz an Ahnung solltest du dich trotzdem oefter nicht, als doch zu Wort melden, lieber smashIt.

Hier = mehr.

smashIt

master of disaster
Avatar
Registered: Feb 2004
Location: OÖ
Posts: 5217
Zitat von COLOSSUS
Du bist vielleicht nicht so ein verf*ckter Fanboy wie meinereiner, aber mit deinem Masz an Ahnung solltest du dich trotzdem oefter nicht, als doch zu Wort melden, lieber smashIt.

Hier = mehr.

der lacher des tages. auf /. in sachen objektive berichterstattung zu verlinken is ja wohl ärger erbärmlich

aber mal zu deinen quote:


Zitat
We are not questioning their results, our problem is with their methodology.

Their primary metric is "days since a vulnerability is disclosed to when a patch is released".

Microsoft doesn't officially disclose anything (aka "responsible disclosure") until all of their major customers have already been hit, and they have a fix ready.

seltsam...
wenn das stimmen würde hätte ms "days of risk" von 0,0 und nicht 31,3.
abgesehn davon gibt es genug andere sites auf denen bugs offengelegt werden.

Zitat
Open-source software on the other hand has a tendency of being overly paranoid, and will release a security bulletin for every little thing as quickly as possible. This puts them at a natural disadvantage, using the above metric.

das is der punkt über den in diversen foren am meisten gestritten wird.
nachdem aber keiner einen weg gefunden hat "days of risk" auf eine bessere art zu messen haben sich die autorn bei der auswahl der methode richtig entschieden.
rumjammern kann jeder, bei nem konstruktiven vorschlag schauts aber schon ziemlich mager aus.

Zitat
According to these "researchers", not letting your customers know that there's a vulnerability is preferred to letting them know as soon as possible. This sort of sounds like a good idea, until you factor in the fact that black hats will know pretty much immediately, word spreads quick.

das diese "black hats" relativ schnell über gefundene löcher bescheid wissen trifft aber sowohl auf win als auch auf linux zu. abgesehn davon würde ich gerne wissen wo die beiden forscher diese "aussage" getätigt haben.

HP

Legend
Moneymaker
Registered: Mar 2000
Location: Wien
Posts: 21813
Geht's schon wieder los? Reiß dich zam, lieber COLOSSUS.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz