Guide

Linux eller Windows serveren? (del 4)

Alvorlige sikkerhetshull

Sikkerhet: Alvorlighetsgrad av sikkerhetshull

Windows har gjennom tidene vært preget av en rekke sikkerhetshull av ulik alvorlighetsgrad. Dersom man tar en kikk på BugTraq kan man kanskje få inntrykk av at det finnes et enormt tall av sikkerhetshull i Linux - større enn tilfellet synes å være for Windows.

Sikkerhetshull er naturligvis ikke noe som bør feies under teppet, men viktige poeng er å se på alvorligheten av problemene og hvor raskt de blir fikset.

Her må man også ta utviklingsmodellen til Windows og Linux i betraktning. Microsoft utvikler etter en modell der Windows i utgangspunktet skal være et ferdig produkt når det lanseres, mens Linux på mange måter er under kontinuerlig utvikling.

Det vil være naturlig at det rapporteres om mange bugfikser i et produkt som stadig er under utvikling. Selv om det naturligvis slippes "stable"-versjoner av programvare for Linux er utviklingsmodellen basert på tilbakemeldinger fra "communities" og brukere.

Med store "communities" i ryggen har Linux fordelen av raske bugfikser og sikkerhetsoppdateringer, og det er en kjensgjerning at det vanligvis går svært mye raskere enn Windows. Det har blitt gjort flere undersøkelser på dette og flesteparten viser at andelen av alvorlige sikkerhetshull er relativt mye høyere i Windows.

Ifølge en artikkel hos The Register som ble publisert i fjor fant man at nærmere 40 prosent av sikkerhetshullene i Windows 2003 Server var kategorisert som "kritiske", mens bare 10 prosent hadde samme nivå på RHEL3.

Du kan lese hele artikkelen her: Security Report: Windows vs Linux

Microsoft har absolutt blitt bedre de siste årene med tanke på sikkerhetsoppdatering , etter at man tilsynelatende endret mye av filosofien med senere versjoner av Windows XP og senere Windows 2003 Server. Brukervennlig og automatisert sikkerhetsoppdatering fører til at hullene blir fikset, men man har allikevel en periode i mellomtiden der man er sårbar inntil Microsoft faktisk har fikset problemet.

I 2003/2004 gjorde Microsoft seg spesielt bemerket ved å gå i spissen for å ikke publisere sikkerhetshull o.l. på BugTraq før leverandøren hadde fikset disse. Selv om selskapet fikk gjennomslag for mange av sine meninger og kanskje får en liten "grace"-periode, hjelper det likevel ikke dersom "patchen" legges ut alt for sent.

Stadig økende press fra kunder og sammenlikning med raskt "patche"-tempo i Linux har ført til at Microsoft Windows i dag fremstår som et helt annet produkt enn det tilfellet var for en tid tilbake siden.

Linux stikker likevel av som vinneren i denne sammenlikningen fordi hullene ganske enkelt fikses raskere og alvorlighetsgraden er mindre.