Do-it-yourself security comparison via Secunia

tig

tig

blowfish
Hi!
Ich habe mal bisschen in Hubert Feyrers Blog gestöbert und den Eintrag "Do-it-yourself security comparison via Secunia" gefunden.

Ich habe mir das ganze Mal angeschaut und erstaunlicherweise festgestellt, dass OpenBSD unter den drei BSDs am meisten Security Advisories hat. Die weiteren Statistiken sind unter den BSDs ausgeglichen.

Nun, in meinen Augen (ich habe (noch ;)) nicht viel Ahnung von Security und BSDs) scheint OpenBSD dann im Vergleich zu NetBSD ziemlich unsicher, obwohl Sicherheit bei OpenBSD so groß geschrieben wird.
Ich habe dann bisschen gezweifelt und mich gefragt, was die Anzahl von Advisories wirklich über die Sicherheit eines Betriebssystems besagt. Feyrer hat in die Überschrift seines Blogeintrags "security comparison" geschrieben. Also, kann man das doch irgendwo als Sicherheitsvergleich nehmen und die Anzahl an Sicherheitslöchern im Base System scheint für mich doch irgendwie ausschlaggebend für die Sicherheit des Systems. Ja, ich weiß:"Ein System ist nur so sicher wie der Administrator es pflegt." Aber die "Fehler" der Entwickler sind da doch auch entscheidend.

So... wie seht ihr das? Kann man die Sicherheit eines Betriebssystems an der an der Anzahl von Advisories "messen"?

Danke für jede Antwort :).

tig
 
Zuletzt bearbeitet:
Ich will hoffen, dass OpenBSD die meisten Security-Reports hat. Das ist schließlich ihr primäres Ziel, das System sicher zu machen.

Es wäre nur dann seltsam, wenn zu viele kritische Fehler entstehen (aka "remote holes"). Und noch besser, wenn die Löcher so lange nicht gestoppft werden, dass die Schwarzhüte Exploits anbieten. Das wäre traurig.

Deswegen Full-Disclosure, keine Geheimnisse vor der Welt und schnelle Patches. Das ist alles was man braucht.

Natürlich sollte man es auf jeden Fall besser machen als Microsoft, die ewig die gleichen Lücken schließen. Die fummeln an einer Stelle und reißen an vielen anderen Stellen gleichzeitig zig Löcher auf. So etwas ist schlechte Software-Entwicklung. Ich glaube, dass das inzwischen auf keine Kuhhaut mehr geht, was sie für kaputte Technologien entwickelt haben.
 
tig schrieb:
Ich habe dann bisschen gezweifelt und mich gefragt, was die Anzahl von Advisories wirklich über die Sicherheit eines Betriebssystems besagt. Feyrer hat in die Überschrift seines Blogeintrags "security comparison" geschrieben. Also, kann man das doch irgendwo als Sicherheitsvergleich nehmen und die Anzahl an Sicherheitslöchern im Base System scheint für mich doch irgendwie ausschlaggebend für die Sicherheit des Systems.

So... wie seht ihr das? Kann man die Sicherheit eines Betriebssystems an der an der Anzahl von Advisories "messen"?
Zum Vergrößern anklicken....

Solch ein Vergleich ist für'n Arsch. Die Anzahl an Advisories sagt überhaupt nichts aus, man muß das Ganze vielmehr differenzierter betrachten:

Wie viele Bugs sind lokal ausnutzbar, wieviele remote?
Wie ist der "Schweregrad" des Bugs, erlangt man root-Rechte oder kann beliebigen Code ausführen, oder ist es "nur" das erlangen unpriviligerter Rechte oder ein DoS?
Wie schnell wurde auf den Bug reagiert?
Gibt es einen Workaround oder muß man patchen?

Das sind nur einige der Fragen, die man bei einer Beurteilung der Sicherheit stellen muß, aber es sind essentielle Fragen.

Gruß,

-doc.
 
Ich gebe meinen Vorrednern vollkommen Recht, daß dieser Vergleich komplett sinnfrei ist, füge aber noch eines hinzu: Auch der Umfang der entsprechenden Betriebsysteme müßte zusätzlich gewichtet werden, sowohl hinsichtlich Unterscheidung kernel - Treiber - userland als auch nach Umfang des jeweiligen codebestandes. Simpel gesagt: Hat OS A 3 mal soviele Treiber oder 3 Mal soviele Applikationen im userland steigt natürlich auch die Menge potentieller Lücken darin...

Solche Vergleiche sind genauso sinnlos und letztlich niemals aussagekräftig wie benchmarks, also Kategorie moderne Mythen und Halbwahrheiten.
 
Um mal dem Reigen der "stupid statistics" noch einen oben drauf zu setzen:
"Welches OS laesst sich am besten installieren?"

Darf jeder auf bsdforen.de in '*BSD - Installation" die jeweils offenen threads und
Zahl der postings nachzaehlen. ;-}}}}}
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben