Jeden z devíti IIS je děravý

Microsoft chtel vse lidem ulehcit a proto Windows s plne funkcnim IIS nainstaluje kazdy amater.
Pak to taky tak vypada a do jejich IISka se dostane i skolak ze zakladky.
V novych Win XP nebo .Win.NET serverech to pry ma byt presny opak - vse zakazane :)   

Takze od zdi ke zdi. Windows jsou jenom prekomplikovana spousta softwaru, nad kterym, podle mne, ztraci prehled i sam Micro$oft. Proste takova marketingova bublina - kazdou chvoli nova a "revolucni" verze, jen aby bylo co prodavat a lakat na to zakazniky. Nekdo v teto diskuzi ur rekl, ze *nix proste jenom funguje a neni temer o cem psat. Svata pravda - muzu srovnavat z vlastni zkusenosti Linux a snad vsechny wokna. Ostatne posledni Mac je unix a ve Win XP je pry taky trochu unixu. "Windows jsou dobry, nechte Micro... zit - z neceho musi zit".

Preco sa vsade pise len o chybach v produktoch MS? Preco sa nepise aj o dierach napr. v UNIX-systemoch?

Heh, ty snad znas nejakou remote exploit diru v Apachi od verze 1.2.5? (tato byla citliva na jeden DoS utok) Apache je uz drahnou dobu v defaultnim nastaveni bezpecny, tj. kdo si nainstaluje Linux a spusti defaultni Apache -> je v klidu. Kdo spusti IIS bez patricnych zaplat -> koleduje si o maler. Ostatne Windows je na Intetu nejhackovanejsi platforma a to presto, ze IIS ma pouze 25% trhu a Apache necelych 60%. Na server bych windouly nikdy nedal, nikdo netusi, co se pod tou libivou slupkou deje, co to muze udelat. To je jako spravovat auto u ktereho se neda otevrit motorova kapota. Navic spousta uzitecnych utilit z UNIXu ve windoulech vubec neexistuje, popr. se musi za tezke prachy dokupovat od tretich stran. Napr klasicky tcpdump, iptraf apod.

Chcel som len poukazat na jednostrannu pozornost venovanu MS (UNIX bol len prvy na rane - ako sa hovori). Mimochodom, skusili ste si vyhladat napr. v GOOGLE napr. "apache bug linux 2001" (tych 2001 - len pre tento rok)? Asi by ste si tak tou bezpecnostou uz nebol isty (beriem, ze kopec odkazov je duplicitnych alebo zavadzajucich) - ale to len tak na okraj (nemam chut vyvolavat kontraproduktivny flame).

Bug a remote exploit vyuzitelny pro hack jsou dve naprosto rozdilne veci. Apache samozrejme ma bugy, neoptimality apod.  ostatne ta spousta verzi od 1.2.5 je opravuje. Nejedna se vsak o chyby zneuzitelne z vnejsku. Tudiz uz drahnou dobu (od verze 1.2.5) plati co jsem psal vyse, pokud si nekdo naistaluje a spusti Linux s defaultnim Apachem, je v klidu, v pripade WIN + IIS muze ocekavat maler. Nerekl bych, ze se MS venuje jednostranna pozornost. UNIXy zkratka nudne funguji, neni o cem psat, zato u MS je zivo porad, Code Red apod. Neni mesic, aby Microsoftu neco neprasklo, naposledy napr MS Passport.

Asi ste ten google neskusili, ze? Myslim, ze mate o UNIXoch a  Linuxoch az prilis optimisticke predstavy. Ak by bola co i len z polovice pravda, ze tieto systemy su tak bezpecne, potom by sa asi len tazko mohlo stat, ze velke firmy a organizacie, kt. bezia na tychto OS, boli tolkokrat napadnute (ale iba malo z nich to aj verejne prizna - ved co by na to povedali akcionari, danovi poplatnici - nehodiace sa skrtnite - ?). Treba vziat do uvahy este dve drobnosti - UNIXy - teda aspon tie komercne - maju za sebou o dost dlhsiu dobu vyvoja nez serverove Win a aj utocnicke metody sa za tu dobu "trocha" rozvinuli a tiez aj to, ze ziskat komercny UNIX je pre potencialneho utocnika zlozitejsie, ako ziskat povedzme neake WIN a testovat si ich a hladat diery.  A co sa tyka patchov, v tomto smere su najrizikovejsim faktorom prave spravcovia systemov (bez ohladu na OS). Iba malo z nich totiz svoj system pravidelne patchuje a venuje dostatocnu pozornost vsetkym nastaveniam - cest vynimkam. Ostatne, aj spominane utoky to len potvrdzuju. Spoliehat sa na nejake default nastavenie taktiez nesvedci o prilisnej profesionalite.

Zhrniem to: dnes neexistuje realne bezpecny system. Minimalne potencialne je nebezpecny kazdy. Je len otazka, ake velke riziko sme ochotni prijat a kolko casu a prostriedkov sme ochotni investovat na znizenie rizika. Skutocne isti (a v pohode uz vobec nie) si ale nemozme byt nikdy.

HMM, a na cem pak asi bezi onen Google?? Pokud mne pamet neklame, a rekl bych ze ne, je to cluster linuxovych masin..

Spoliehat sa na nejake default nastavenie taktiez nesvedci o prilisnej profesionalite.
No pouzivam Debian a mohu Vam rici, ze tam se na default nastaveni plne spoleham. A klidne Vam take ale vyjmenuji co a jak je nastavene. Pokud je default nastaveni vice bezpecne a mene libive nerika to nic o spravci takoveho systemu, ale vypovida to dost o profesionalite jeho tvurcu.
Zhrniem to: dnes neexistuje realne bezpecny system. Minimalne potencialne je nebezpecny kazdy. Je len otazka, ake velke riziko sme ochotni prijat a kolko casu a prostriedkov sme ochotni investovat na znizenie rizika. Skutocne isti (a v pohode uz vobec nie) si ale nemozme byt nikdy.
Hmmm...