O servidor concorrente do Apache 2.0 o IIS 6.0 é mais seguro que o seu concorrente de codigo aberto. É o que dizem as estatisticas. Sao 19 falhas de segurança contra APENAS 2(QUE NAO AFECTAM DIRECTAMENTE O SERVIDOR) do IIS 6.0 da Microsoft.
Parece que já nao existe semana em que nao sai um bug para esse produto. Se a teoria de que todo software da Microsoft ou proprietario é bugado fosse verdadeira, qual a teoria a atribuir ao software livre?
Alves da Rocha (O Critico da comunidade Linux)
quinta-feira, outubro 7
Assinar:
Postar comentários (Atom)
13 comentários:
realmente o apache tem mais erros, talvez se ele fosse reescrito como acontece com o iis 6 ele melhoraria, mas quanto ao nenhum do iis, bom dei uma pesquisada rapida no secunia e vj o que descobri
http://secunia.com/product/1438/
não sei se isto vale alguma coisa mais tai.
valeu
OBRIGADO PELA RETIFICAÇÃO.
Realmente, o total de falhas foi maior. Entretanto, fazendo uma análise qualitativa das falhas:
* O Apache tem uma não-resolvida, o IIS tem duas.
* A falha mais grave e não-resolvida do Apache tem severidade mínima, enquanto a do IIS é moderada.
* Partindo destas mesmas, a data de descoberta da falha do Apache foi em 2004-03-22 (~6 meses) e a do IIS foi em 2003-07-23 (~1 ano e 2 meses).
Considerando uma política de atualização de software que toda empresa/instituição que se preze deve ter (não sempre faz, mas deveria), quem perde aqui é o IIS, por ainda estar vulnerável a aquela mesma falha de um ano atrás.
A propósito, sobre o outro comentário: o Apache 2.0 teve grande parte do código reescrita, desde a versão 1.3. A parte de módulos, principalmente, se não me falha a memória. Reescrever software traz novos bugs, reaproveitar código já escrito é que minimiza. Isso é prática muito bem conhecida em engenharia de software, e por isso trabalhar com frameworks prontos facilita bastante a vida do programador (além dele não precisar escrever o software, claro).
Bem, por enquanto, é isso.
só uma coisa franja,
"* Partindo destas mesmas, a data de descoberta da falha do Apache foi em 2004-03-22 (~6 meses) e a do IIS foi em 2003-07-23 (~1 ano e 2 meses)."
em menos tempo de vida o apache apresentou mais erros que o IIS 6 da microshit. ok que já foram corrigidos boa parte mas de qq forma, foram 19 erros em 6 meses contra 2 erros em 1 ano.
sem flames nem ofenças(parcialmente) ok
valeu
Não vou repetir tudo o que já falei, mas você está fazendo uma análise quantitativa. Neste caso, esses números não são de se estranhar, pois o código do Apache é aberto.
E o que isso tem a ver? Provavelmente o IIS 6.0 possui outros bugs latentes que ainda não foram descobertos 'por acidente' ou por alguém analisando o binário do mesmo. É muito mais difícil encontrá-los desse jeito do que analisando o código.
Pelo fato do Apache 2.0.x estar em fase de estabilização ainda, é comum que se encontrem vulnerabilidades. No caso do IIS, elas vão ser encontradas da mesma maneira desde o começo até o fim da sua vida. O melhor exemplo seria a série anterior dos dois programas:
Apache 1.3 (http://secunia.com/product/72/) x IIS 5.x (http://secunia.com/product/39/).
Pode-se ver que o IIS 5.x possui uma falha extremamente crítica (risco máximo!) em aberto, e o Apache 1.3 não possui nenhuma. Isso serve para mostrar qual tende a ser mais seguro, com relação à linha do tempo.
Bem, é isso.
"A Apache lidera o mercado de servidores da Web com 60% de participação no mercado(o Microsoft IIS é o segundo com 25%)"
Acho dificil o IIS ser melhor do que o Apache levando em conta essas vulnerabilidades citadas. Os números acima dizem tudo. Ta ai o link do site para não dizer que eu inventei.
http://www.base64.com.br/article.php?recid=212
Um exemplo bom para se dectetar as falhas do IIS. Tenta scannear seu computador rodando IIS com o GFI LANguard e faz a mesma coisa com o Apache. Vai ser a diferença.
Sem contar as falhas gravissimas do Internet Explorer reportadas hoje, agora vem as falhas do IIS. Não vou ser como alguns caras aqui que xingam e falam bosta mas eu acho que esse site de critica não tem nada. A primeira noticias que os "criticos" acham colocam aqui no site sem parar para pensar. Agora olha o tamnho da falha no IIS.
http://www.i-consultores.com.br/modules.php?name=News&file=article&sid=1827
Agora para completar use Internet Explorer com as falhas reportadas hoje.
http://secunia.com/advisories/12806/
Eu nao gosto de falar com lammers, e eu fui bem claro.
1º dizer que por ser de codigo aberto o APACHE 2.0 é mais vulneravel é atentar contra a filosofia do software livre que afirma que por ser 'aberto' é mais seguro.
2º Ninguem falou do iis 5.0 aqui, eu estou falando do IIS6.0 que é menos vulneravel que o APACHE 2.0.
3º Executar GFI Languard? No apache? Você é tao idiota assim?
4ª Internet Explorer? Quem falou disso aqui?
"Eu nao gosto de falar com lammers, e eu fui bem claro."
Ok. Já percebi que você tem dificuldade para ler, entao vou clarear as coisas:
"1º dizer que por ser de codigo aberto o APACHE 2.0 é mais vulneravel é atentar contra a filosofia do software livre que afirma que por ser 'aberto' é mais seguro."
Não aberto, livre. Olha o post do tlang:
"""Apache 1.3 (http://secunia.com/product/72/) x IIS 5.x (http://secunia.com/product/39/).
Pode-se ver que o IIS 5.x possui uma falha extremamente crítica (risco máximo!) em aberto, e o Apache 1.3 não possui nenhuma. Isso serve para mostrar qual tende a ser mais seguro, com relação à linha do tempo."""
"2º Ninguem falou do iis 5.0 aqui, eu estou falando do IIS6.0 que é menos vulneravel que o APACHE 2.0."
Meu filho, os softwares devem melhorar com o tempo. Se o iis 5.0 é menos seguro que o iis 6.0 isso só prova como o software livre evolui mais. Ou seja, daqui a um ano ou dois, o apache 2 vai ser muito, muito mais seguro que o iis 6.0.
"3º Executar GFI Languard? No apache? Você é tao idiota assim?"
Não sei o que é isso. Não vou opinar. É algo parecido com o nessus??
"4ª Internet Explorer? Quem falou disso aqui?"
As pessoas não necessariamente devem repetir o conteúdo da sua notícia. As vezes elas podem colocar informações novas (ou velhas, no caso do IE).
Crítico, não falei que o Apache é mais vulnerável. Falei que é normal se encontrarem vulnerabilidades no início da sua vida útil. Como o Emílio salientou, elas logo vão diminuir em quantidade e em risco, conforme o produto vai ficando maduro. Vale lembrar que um software feito *pela comunidade* não possui uma equipe de testadores para averiguar se os programas possuem falhas e que a esta mesma comunidade é encarregada de testar as novas versões. Então, em vez de ficar apenas em relatórios internos, estes bugs acabam indo para 'securities advisories'. Essa é uma diferença importante.
Além disso, o Apache 2.0 não é mais vulnerável que o IIS 6.x - como você disse - , porque todas as suas falhas foram corrigidas (com exceção de uma). No caso do segundo programa, nenhuma foi. Você errou o título da notícia; devia ter escrito 'Apache 2.0 teve mais falhas descobertas que o IIS 6.0', porque o mais vulnerável, no momento, é o IIS.
Aliás, desde que começou esta discussão, saíram mais três vulnerabilidades para o Apache - que já foram corrigidas. E as duas do IIS continuam em aberto. E aí? Como os usuários de IIS fazem? Ligam para a Microsoft e reclamam do produto com defeito? Ou esperam o IIS 7.x?
Por fim: comparei a série atual dos dois programas com as séries antigas para você ter uma idéia de como irá ficar o gráfico das vulnerabilidades, quando os programas se tornarem estáveis. A pergunta é: se você fosse um webmaster que HOJE quisesse um produto estável e seguro rodando em seu servidor, qual escolheria?
Provavelmente a grande maioria responderia 'Apache 1.3'... mas não duvido que daqui a alguns meses a resposta venha a ser 'Apache 2.0'.
A propósito, não adianta nada se posicionar contra agressões pessoais aos outros e depois agredir da mesma maneira. Você errou na quantidade de falhas do IIS, errou no título e errou ao interpretar minha afirmação, mas mesmo assim não estou fazendo nenhum tipo de insulto a você. Então pense bem antes de sair por aí chamando os outros de lammers. Você está aqui para criticar o Linux ou "perder tempo" com comentários agressivos?
Bem, é isso.
Ok. Já percebi que você tem dificuldade para ler, entao vou clarear as coisas:- ??
Não aberto, livre. Olha o post do tlang:
"""Apache 1.3 (http://secunia.com/product/72/) x IIS 5.x (http://secunia.com/product/39/).- Nao aberto? Livre? hahauauaauauuauahha, meu deus como você consegue escrever tanta palhaçada assim? O que é livre nao é aberto? Meu deus.
Pode-se ver que o IIS 5.x possui uma falha extremamente crítica (risco máximo!) em aberto, e o Apache 1.3 não possui nenhuma. Isso serve para mostrar qual tende a ser mais seguro, com relação à linha do tempo."""- Isso mostra que vocês nao possuem argumentos nenhuns para rebater o que eu digo e já estao fugindo do assunto. Eu falei do IIS 6.0 nao do 5.0. O IIS 6.0 é mas seguro que o seu concorrente Apache 2.0
Meu filho- Nao sou gay
, os softwares devem melhorar com o tempo. Se o iis 5.0 é menos seguro que o iis 6.0 isso só prova como o software livre evolui mais.- Isso só prova como o software livre evolui para baixo. O IIS 6.0 ao contrario está detonando em termos de segurança.
Ou seja, daqui a um ano ou dois, o apache 2 vai ser muito, muito mais seguro que o iis 6.0.- VIDENTE!!!! HHAHAHAH
As pessoas não necessariamente devem repetir o conteúdo da sua notícia. As vezes elas podem colocar informações novas (ou velhas, no caso do IE).- A PARTIR DE HOJE TODOS OS POSTS QUE NAO TENHAM RELAÇÃO COM A NOTICIA EM QUESTAO SERÃO DELETADOS, NAO QUERO TRANSFORMAR ISSO AQUI EM MAIS UM REPOSITORIO DE FLAMES PORQUE DESTES A NOSSA COMUNIDADE ANDA CHEIA.
VIVA O ISS 6.0
Crítico, não falei que o Apache é mais vulnerável.- ELE É MAIS VULNERAVEL.
Falei que é normal se encontrarem vulnerabilidades no início da sua vida útil.- TANTO O IIS 6.0 COMO O APACHE 2.0 SAIRAM NO ANO PASSADO. QUE INICIO DE VIDA UTIL É ESSE?
Como o Emílio salientou, elas logo vão diminuir em quantidade e em risco, conforme o produto vai ficando maduro.- QUANDO A FRUTA FICA MADURA REBENTA.
Vale lembrar que um software feito *pela comunidade* não possui uma equipe de testadores para averiguar se os programas possuem falhas e que a esta mesma comunidade é encarregada de testar as novas versões.- MENTIROSO.
ão, em vez de ficar apenas em relatórios internos, estes bugs acabam indo para 'securities advisories'. Essa é uma diferença importante. - QUE NOVIDADE.
Além disso, o Apache 2.0 não é mais vulnerável que o IIS 6.x - como você disse - , porque todas as suas falhas foram corrigidas (com exceção de uma).- O APACHE 2.0 TEM MAIS VULNERABILIDADES QUE O ISS 6.0, E É ISSO QUE CONTA, AFINAL TEM MUITO ADMINISTRADOR PREGUIÇOSO QUE PREFERE UM PRODUTO MAIS SEGURO COMO O ISS 6.0 QUE UM PRODUTO INSEGURO COMO O APACHE 2.0
No caso do segundo programa, nenhuma foi. Você errou o título da notícia; devia ter escrito 'Apache 2.0 teve mais falhas descobertas que o IIS 6.0', porque o mais vulnerável, no momento, é o IIS.- IDIOTA. TODAS AS FALHAS FORAM CORRIGIDAS NO SERVICE PACK. DESCULPA, MAS NAO ACHA QUE ESTÁ SENDO MUITO IGNORANTE?
Aliás, desde que começou esta discussão, saíram mais três vulnerabilidades para o Apache - que já foram corrigidas. E as duas do IIS continuam em aberto. E aí? Como os usuários de IIS fazem? Ligam para a Microsoft e reclamam do produto com defeito? Ou esperam o IIS 7.x?- MAIS 3? HAHAHAHHA.
CONSULTE OS BOLETINS DE SEGURANÇA DO ISS LÁ TEM OS PACTHES.
INSTALA O SERVICE PACK, SAO APENAS ALGUNS CLIQUES.
COITADOS DOS ADMINISTRADORES DO 'SEGURISSIMO' APACHE.
HAHAHAHA.
Por fim: comparei a série atual dos dois programas com as séries antigas para você ter uma idéia de como irá ficar o gráfico das vulnerabilidades, quando os programas se tornarem estáveis. A pergunta é: se você fosse um webmaster que HOJE quisesse um produto estável e seguro rodando em seu servidor, qual escolheria? - ISS 6.0
Provavelmente a grande maioria responderia 'Apache 1.3'... mas não duvido que daqui a alguns meses a resposta venha a ser 'Apache 2.0'.- COM MAIS 3 BUGS? PERNAMBUCO NAO PENSOU ASSIM.
A propósito, não adianta nada se posicionar contra agressões pessoais aos outros e depois agredir da mesma maneira. Você errou na quantidade de falhas do IIS, errou no título e errou ao interpretar minha afirmação, mas mesmo assim não estou fazendo nenhum tipo de insulto a você.- EU ERREI? ESTÁ TUDO LÁ NA LISTA DA SECUNIA. SÓ UM PANACA DUVIDARIA E ARRANJARIA ARGUMENTOS BURROS PARA TENTAR JUSTIFICAR O CONTRARIO.
Então pense bem antes de sair por aí chamando os outros de lammers. Você está aqui para criticar o Linux ou "perder tempo" com comentários agressivos?- QUEM FALA BESTEIRA AQUI VAI SER TRATADO COM DUREZA. NAO QUERO LAMMERS E PIVETES COMENTANDO AQUI. TEM MUITO CANAL SOBRE LINUX PARA FALAR BESTEIRA, AQUI NÃO. ISSO É MINHA PROPRIEDADE E SOU EU QUEM DITA AS REGRAS.
Postar um comentário