quinta-feira, outubro 7

Apache 2.0 mais vulneravel que IIS 6.0

O servidor concorrente do Apache 2.0 o IIS 6.0 é mais seguro que o seu concorrente de codigo aberto. É o que dizem as estatisticas. Sao 19 falhas de segurança contra APENAS 2(QUE NAO AFECTAM DIRECTAMENTE O SERVIDOR) do IIS 6.0 da Microsoft.
Parece que já nao existe semana em que nao sai um bug para esse produto. Se a teoria de que todo software da Microsoft ou proprietario é bugado fosse verdadeira, qual a teoria a atribuir ao software livre?
Alves da Rocha (O Critico da comunidade Linux)

13 comentários:

Anônimo disse...

realmente o apache tem mais erros, talvez se ele fosse reescrito como acontece com o iis 6 ele melhoraria, mas quanto ao nenhum do iis, bom dei uma pesquisada rapida no secunia e vj o que descobri

http://secunia.com/product/1438/

não sei se isto vale alguma coisa mais tai.

valeu

Critico disse...

OBRIGADO PELA RETIFICAÇÃO.

Leonardo L. disse...

Realmente, o total de falhas foi maior. Entretanto, fazendo uma análise qualitativa das falhas:

* O Apache tem uma não-resolvida, o IIS tem duas.

* A falha mais grave e não-resolvida do Apache tem severidade mínima, enquanto a do IIS é moderada.

* Partindo destas mesmas, a data de descoberta da falha do Apache foi em 2004-03-22 (~6 meses) e a do IIS foi em 2003-07-23 (~1 ano e 2 meses).

Considerando uma política de atualização de software que toda empresa/instituição que se preze deve ter (não sempre faz, mas deveria), quem perde aqui é o IIS, por ainda estar vulnerável a aquela mesma falha de um ano atrás.

A propósito, sobre o outro comentário: o Apache 2.0 teve grande parte do código reescrita, desde a versão 1.3. A parte de módulos, principalmente, se não me falha a memória. Reescrever software traz novos bugs, reaproveitar código já escrito é que minimiza. Isso é prática muito bem conhecida em engenharia de software, e por isso trabalhar com frameworks prontos facilita bastante a vida do programador (além dele não precisar escrever o software, claro).

Bem, por enquanto, é isso.

Anônimo disse...

só uma coisa franja,

"* Partindo destas mesmas, a data de descoberta da falha do Apache foi em 2004-03-22 (~6 meses) e a do IIS foi em 2003-07-23 (~1 ano e 2 meses)."

em menos tempo de vida o apache apresentou mais erros que o IIS 6 da microshit. ok que já foram corrigidos boa parte mas de qq forma, foram 19 erros em 6 meses contra 2 erros em 1 ano.

sem flames nem ofenças(parcialmente) ok

valeu

Leonardo L. disse...

Não vou repetir tudo o que já falei, mas você está fazendo uma análise quantitativa. Neste caso, esses números não são de se estranhar, pois o código do Apache é aberto.

E o que isso tem a ver? Provavelmente o IIS 6.0 possui outros bugs latentes que ainda não foram descobertos 'por acidente' ou por alguém analisando o binário do mesmo. É muito mais difícil encontrá-los desse jeito do que analisando o código.

Pelo fato do Apache 2.0.x estar em fase de estabilização ainda, é comum que se encontrem vulnerabilidades. No caso do IIS, elas vão ser encontradas da mesma maneira desde o começo até o fim da sua vida. O melhor exemplo seria a série anterior dos dois programas:

Apache 1.3 (http://secunia.com/product/72/) x IIS 5.x (http://secunia.com/product/39/).

Pode-se ver que o IIS 5.x possui uma falha extremamente crítica (risco máximo!) em aberto, e o Apache 1.3 não possui nenhuma. Isso serve para mostrar qual tende a ser mais seguro, com relação à linha do tempo.

Bem, é isso.

Anônimo disse...

"A Apache lidera o mercado de servidores da Web com 60% de participação no mercado(o Microsoft IIS é o segundo com 25%)"

Acho dificil o IIS ser melhor do que o Apache levando em conta essas vulnerabilidades citadas. Os números acima dizem tudo. Ta ai o link do site para não dizer que eu inventei.
http://www.base64.com.br/article.php?recid=212

Um exemplo bom para se dectetar as falhas do IIS. Tenta scannear seu computador rodando IIS com o GFI LANguard e faz a mesma coisa com o Apache. Vai ser a diferença.

Anônimo disse...

Sem contar as falhas gravissimas do Internet Explorer reportadas hoje, agora vem as falhas do IIS. Não vou ser como alguns caras aqui que xingam e falam bosta mas eu acho que esse site de critica não tem nada. A primeira noticias que os "criticos" acham colocam aqui no site sem parar para pensar. Agora olha o tamnho da falha no IIS.

http://www.i-consultores.com.br/modules.php?name=News&file=article&sid=1827

Agora para completar use Internet Explorer com as falhas reportadas hoje.

http://secunia.com/advisories/12806/

Critico disse...

Eu nao gosto de falar com lammers, e eu fui bem claro.

1º dizer que por ser de codigo aberto o APACHE 2.0 é mais vulneravel é atentar contra a filosofia do software livre que afirma que por ser 'aberto' é mais seguro.

2º Ninguem falou do iis 5.0 aqui, eu estou falando do IIS6.0 que é menos vulneravel que o APACHE 2.0.

3º Executar GFI Languard? No apache? Você é tao idiota assim?

4ª Internet Explorer? Quem falou disso aqui?

Emilio Wuerges disse...

"Eu nao gosto de falar com lammers, e eu fui bem claro."

Ok. Já percebi que você tem dificuldade para ler, entao vou clarear as coisas:

"1º dizer que por ser de codigo aberto o APACHE 2.0 é mais vulneravel é atentar contra a filosofia do software livre que afirma que por ser 'aberto' é mais seguro."

Não aberto, livre. Olha o post do tlang:
"""Apache 1.3 (http://secunia.com/product/72/) x IIS 5.x (http://secunia.com/product/39/).

Pode-se ver que o IIS 5.x possui uma falha extremamente crítica (risco máximo!) em aberto, e o Apache 1.3 não possui nenhuma. Isso serve para mostrar qual tende a ser mais seguro, com relação à linha do tempo."""

"2º Ninguem falou do iis 5.0 aqui, eu estou falando do IIS6.0 que é menos vulneravel que o APACHE 2.0."

Meu filho, os softwares devem melhorar com o tempo. Se o iis 5.0 é menos seguro que o iis 6.0 isso só prova como o software livre evolui mais. Ou seja, daqui a um ano ou dois, o apache 2 vai ser muito, muito mais seguro que o iis 6.0.


"3º Executar GFI Languard? No apache? Você é tao idiota assim?"

Não sei o que é isso. Não vou opinar. É algo parecido com o nessus??

"4ª Internet Explorer? Quem falou disso aqui?"

As pessoas não necessariamente devem repetir o conteúdo da sua notícia. As vezes elas podem colocar informações novas (ou velhas, no caso do IE).

Leonardo L. disse...

Crítico, não falei que o Apache é mais vulnerável. Falei que é normal se encontrarem vulnerabilidades no início da sua vida útil. Como o Emílio salientou, elas logo vão diminuir em quantidade e em risco, conforme o produto vai ficando maduro. Vale lembrar que um software feito *pela comunidade* não possui uma equipe de testadores para averiguar se os programas possuem falhas e que a esta mesma comunidade é encarregada de testar as novas versões. Então, em vez de ficar apenas em relatórios internos, estes bugs acabam indo para 'securities advisories'. Essa é uma diferença importante.

Além disso, o Apache 2.0 não é mais vulnerável que o IIS 6.x - como você disse - , porque todas as suas falhas foram corrigidas (com exceção de uma). No caso do segundo programa, nenhuma foi. Você errou o título da notícia; devia ter escrito 'Apache 2.0 teve mais falhas descobertas que o IIS 6.0', porque o mais vulnerável, no momento, é o IIS.

Aliás, desde que começou esta discussão, saíram mais três vulnerabilidades para o Apache - que já foram corrigidas. E as duas do IIS continuam em aberto. E aí? Como os usuários de IIS fazem? Ligam para a Microsoft e reclamam do produto com defeito? Ou esperam o IIS 7.x?

Por fim: comparei a série atual dos dois programas com as séries antigas para você ter uma idéia de como irá ficar o gráfico das vulnerabilidades, quando os programas se tornarem estáveis. A pergunta é: se você fosse um webmaster que HOJE quisesse um produto estável e seguro rodando em seu servidor, qual escolheria?

Provavelmente a grande maioria responderia 'Apache 1.3'... mas não duvido que daqui a alguns meses a resposta venha a ser 'Apache 2.0'.

A propósito, não adianta nada se posicionar contra agressões pessoais aos outros e depois agredir da mesma maneira. Você errou na quantidade de falhas do IIS, errou no título e errou ao interpretar minha afirmação, mas mesmo assim não estou fazendo nenhum tipo de insulto a você. Então pense bem antes de sair por aí chamando os outros de lammers. Você está aqui para criticar o Linux ou "perder tempo" com comentários agressivos?

Bem, é isso.

Critico disse...

Ok. Já percebi que você tem dificuldade para ler, entao vou clarear as coisas:- ??

Não aberto, livre. Olha o post do tlang:
"""Apache 1.3 (http://secunia.com/product/72/) x IIS 5.x (http://secunia.com/product/39/).
- Nao aberto? Livre? hahauauaauauuauahha, meu deus como você consegue escrever tanta palhaçada assim? O que é livre nao é aberto? Meu deus.

Pode-se ver que o IIS 5.x possui uma falha extremamente crítica (risco máximo!) em aberto, e o Apache 1.3 não possui nenhuma. Isso serve para mostrar qual tende a ser mais seguro, com relação à linha do tempo."""- Isso mostra que vocês nao possuem argumentos nenhuns para rebater o que eu digo e já estao fugindo do assunto. Eu falei do IIS 6.0 nao do 5.0. O IIS 6.0 é mas seguro que o seu concorrente Apache 2.0


Meu filho- Nao sou gay

, os softwares devem melhorar com o tempo. Se o iis 5.0 é menos seguro que o iis 6.0 isso só prova como o software livre evolui mais.- Isso só prova como o software livre evolui para baixo. O IIS 6.0 ao contrario está detonando em termos de segurança.

Ou seja, daqui a um ano ou dois, o apache 2 vai ser muito, muito mais seguro que o iis 6.0.- VIDENTE!!!! HHAHAHAH


As pessoas não necessariamente devem repetir o conteúdo da sua notícia. As vezes elas podem colocar informações novas (ou velhas, no caso do IE).- A PARTIR DE HOJE TODOS OS POSTS QUE NAO TENHAM RELAÇÃO COM A NOTICIA EM QUESTAO SERÃO DELETADOS, NAO QUERO TRANSFORMAR ISSO AQUI EM MAIS UM REPOSITORIO DE FLAMES PORQUE DESTES A NOSSA COMUNIDADE ANDA CHEIA.

VIVA O ISS 6.0

Anônimo disse...
Este comentário foi removido por um administrador do blog.
Critico disse...

Crítico, não falei que o Apache é mais vulnerável.- ELE É MAIS VULNERAVEL.


Falei que é normal se encontrarem vulnerabilidades no início da sua vida útil.- TANTO O IIS 6.0 COMO O APACHE 2.0 SAIRAM NO ANO PASSADO. QUE INICIO DE VIDA UTIL É ESSE?

Como o Emílio salientou, elas logo vão diminuir em quantidade e em risco, conforme o produto vai ficando maduro.- QUANDO A FRUTA FICA MADURA REBENTA.


Vale lembrar que um software feito *pela comunidade* não possui uma equipe de testadores para averiguar se os programas possuem falhas e que a esta mesma comunidade é encarregada de testar as novas versões.- MENTIROSO.


ão, em vez de ficar apenas em relatórios internos, estes bugs acabam indo para 'securities advisories'. Essa é uma diferença importante. - QUE NOVIDADE.

Além disso, o Apache 2.0 não é mais vulnerável que o IIS 6.x - como você disse - , porque todas as suas falhas foram corrigidas (com exceção de uma).- O APACHE 2.0 TEM MAIS VULNERABILIDADES QUE O ISS 6.0, E É ISSO QUE CONTA, AFINAL TEM MUITO ADMINISTRADOR PREGUIÇOSO QUE PREFERE UM PRODUTO MAIS SEGURO COMO O ISS 6.0 QUE UM PRODUTO INSEGURO COMO O APACHE 2.0

No caso do segundo programa, nenhuma foi. Você errou o título da notícia; devia ter escrito 'Apache 2.0 teve mais falhas descobertas que o IIS 6.0', porque o mais vulnerável, no momento, é o IIS.- IDIOTA. TODAS AS FALHAS FORAM CORRIGIDAS NO SERVICE PACK. DESCULPA, MAS NAO ACHA QUE ESTÁ SENDO MUITO IGNORANTE?

Aliás, desde que começou esta discussão, saíram mais três vulnerabilidades para o Apache - que já foram corrigidas. E as duas do IIS continuam em aberto. E aí? Como os usuários de IIS fazem? Ligam para a Microsoft e reclamam do produto com defeito? Ou esperam o IIS 7.x?- MAIS 3? HAHAHAHHA.
CONSULTE OS BOLETINS DE SEGURANÇA DO ISS LÁ TEM OS PACTHES.
INSTALA O SERVICE PACK, SAO APENAS ALGUNS CLIQUES.

COITADOS DOS ADMINISTRADORES DO 'SEGURISSIMO' APACHE.
HAHAHAHA.

Por fim: comparei a série atual dos dois programas com as séries antigas para você ter uma idéia de como irá ficar o gráfico das vulnerabilidades, quando os programas se tornarem estáveis. A pergunta é: se você fosse um webmaster que HOJE quisesse um produto estável e seguro rodando em seu servidor, qual escolheria? - ISS 6.0

Provavelmente a grande maioria responderia 'Apache 1.3'... mas não duvido que daqui a alguns meses a resposta venha a ser 'Apache 2.0'.- COM MAIS 3 BUGS? PERNAMBUCO NAO PENSOU ASSIM.


A propósito, não adianta nada se posicionar contra agressões pessoais aos outros e depois agredir da mesma maneira. Você errou na quantidade de falhas do IIS, errou no título e errou ao interpretar minha afirmação, mas mesmo assim não estou fazendo nenhum tipo de insulto a você.- EU ERREI? ESTÁ TUDO LÁ NA LISTA DA SECUNIA. SÓ UM PANACA DUVIDARIA E ARRANJARIA ARGUMENTOS BURROS PARA TENTAR JUSTIFICAR O CONTRARIO.

Então pense bem antes de sair por aí chamando os outros de lammers. Você está aqui para criticar o Linux ou "perder tempo" com comentários agressivos?- QUEM FALA BESTEIRA AQUI VAI SER TRATADO COM DUREZA. NAO QUERO LAMMERS E PIVETES COMENTANDO AQUI. TEM MUITO CANAL SOBRE LINUX PARA FALAR BESTEIRA, AQUI NÃO. ISSO É MINHA PROPRIEDADE E SOU EU QUEM DITA AS REGRAS.