Vergleich Win 2k3 mit RH EL 3.0
smashIt 26.03.2005 - 20:15 507 5
smashIt
master of disaster
|
Letztens is ne ziemlich gute studie zum thema sicherheit in win 2k3 und rh el 3.0 publiziert worden. nen bericht darüber gibts hierund die studie selber samt details über die vorgehensweise hier. mitlerweile muß man sich anscheinend registriern um die 2 pdfs runterzuladen.
|
HP
Legend Moneymaker
|
|
smashIt
master of disaster
|
Ohne Kommentar ich würd dir trotzdem raten n bischen was über die studie zu lesen. immerhin haben die beiden autorn von sich aus in der studie offengelegt das ms mitfinanziert hat. und afaik hat bsi jetzt noch keiner fehler in den verwendeten daten oder der analyse der selbigen gefunden.
|
COLOSSUS
AdministratorGNUltra
|
We are not questioning their results, our problem is with their methodology.
Their primary metric is "days since a vulnerability is disclosed to when a patch is released".
Microsoft doesn't officially disclose anything (aka "responsible disclosure") until all of their major customers have already been hit, and they have a fix ready.
Open-source software on the other hand has a tendency of being overly paranoid, and will release a security bulletin for every little thing as quickly as possible. This puts them at a natural disadvantage, using the above metric.
According to these "researchers", not letting your customers know that there's a vulnerability is preferred to letting them know as soon as possible. This sort of sounds like a good idea, until you factor in the fact that black hats will know pretty much immediately, word spreads quick. Du bist vielleicht nicht so ein verf*ckter Fanboy wie meinereiner, aber mit deinem Masz an Ahnung solltest du dich trotzdem oefter nicht, als doch zu Wort melden, lieber smashIt. Hier = mehr.
|
smashIt
master of disaster
|
Du bist vielleicht nicht so ein verf*ckter Fanboy wie meinereiner, aber mit deinem Masz an Ahnung solltest du dich trotzdem oefter nicht, als doch zu Wort melden, lieber smashIt.
Hier = mehr. der lacher des tages. auf /. in sachen objektive berichterstattung zu verlinken is ja wohl ärger erbärmlich aber mal zu deinen quote: We are not questioning their results, our problem is with their methodology.
Their primary metric is "days since a vulnerability is disclosed to when a patch is released".
Microsoft doesn't officially disclose anything (aka "responsible disclosure") until all of their major customers have already been hit, and they have a fix ready. seltsam... wenn das stimmen würde hätte ms "days of risk" von 0,0 und nicht 31,3. abgesehn davon gibt es genug andere sites auf denen bugs offengelegt werden. Open-source software on the other hand has a tendency of being overly paranoid, and will release a security bulletin for every little thing as quickly as possible. This puts them at a natural disadvantage, using the above metric. das is der punkt über den in diversen foren am meisten gestritten wird. nachdem aber keiner einen weg gefunden hat "days of risk" auf eine bessere art zu messen haben sich die autorn bei der auswahl der methode richtig entschieden. rumjammern kann jeder, bei nem konstruktiven vorschlag schauts aber schon ziemlich mager aus. According to these "researchers", not letting your customers know that there's a vulnerability is preferred to letting them know as soon as possible. This sort of sounds like a good idea, until you factor in the fact that black hats will know pretty much immediately, word spreads quick. das diese "black hats" relativ schnell über gefundene löcher bescheid wissen trifft aber sowohl auf win als auch auf linux zu. abgesehn davon würde ich gerne wissen wo die beiden forscher diese "aussage" getätigt haben.
|
HP
Legend Moneymaker
|
Geht's schon wieder los? Reiß dich zam, lieber COLOSSUS.
|