Hoeveel gaten heeft een vergiet?

Vraag dat aan Linus Torvald. Die heeft zoveel gaten in zijn OS dat je mazen niet eens meer kan vinden omdat er niets is dat dat wat tegen zou kunnen houden.

Inderdaad, check de CVE statistieken maar eens na. MS daalt al jaren en Linux/Android stijgen al jaren op de hitlijst. Nog een paar jaar, dan staan ze bovenaan (dat gaat langzaam omdat het cumulatieve cijfers zijn, Windows telt al mee sinds 1995. Eigenijk zou men eens de tellers moeten resetten, dat geeft een eerlijker beeld. De wannabe-securitypuberonderzoekers-cum-reageerders kunnen dan ook eens van dat fake nieuws afraken.

Dit is al zo vaak hier genoemd maar het komt blijkbaar niet aan: hoe meer fouten er worden gevonden hoe beter! Dat geeft aan dat de fabrikant erbovenop zit en dat fouten worden gevonden én opgelost voordat er 'in the wild' misbruik van kan worden gemaakt.

Dat dit werkt blijkt uit het aantal daadwerkelijke besmettingen met malware en virussen onder Windows, in vergelijking met Android, Linux, macOS. In die vergelijking gaat Windows nat, heel erg nat!

1e. Linus Torvalds is niet de geestelijk vader van Linux.

2e. lees artikel: registersteutel niet meer verplicht voor windows 10-updates.

Derde partijen zorgen voor ellende.

Daarop heeft Linus zelf al geantwoord: The true fathers of Linux are Santa Claus and the Tooth Fairy. Santa is from Finland, after all, so he thought of Linus, who has strong teeth and was thus acceptable to the TF also.

https://tweakers.net/nieuws/32486/torvalds-reageert-op-onderzoek-adti.html

Dat is correct, maar zegt ook iets over de kwaliteit van de code en de controle op de code. Als er dus veel fouten gevonden worden.

Nee dat betekend dat er fouten gevonden zijn en dat deze gemeld zijn en dat de leverancier hier actief mee bezig is om de gemelde fouten op te lossen.

Dat is niet hetzelfde. Als er fouten opgelost zijn, wil dat niet zeggen dat ze opgelost zijn voordat ze misbruikt worden. Dat wil niet zeggen dat de gebruikers ook de updates al geïnstalleerd heeft voordat ze misbruikt worden. En niet alle gevonden fouten worden gemeld, maar wel misbruikt.

Mooie conclusie.... Ongeveer de zelfde kwaliteit van: De zon schijnt dus het is warm.

Maar het zou er misschien ook mee te maken kunnen hebben, dat Windows het meest gebruikt wordt door gewone gebruikers, die eigenlijk niets snappen van wat ze mogelijk fout doen?
Eigenlijk een beetje hetzelfde als.... De meeste webservers draaien Apache of nginx op Linux... En laat daar daarop nu net eens de meest gehackte website op gehost worden. Ondanks dat er zoveel updates uit komen vanuit de leveranciers en die komen heeeeeeeel vaak uit. Ondanks zijn er nog steeds heel veel problemen met de software.

Dat jij daar een natte droom van krijgt, is iets waar jij last van hebt.
Windows heeft zeker hier zo zijn problemen. Alleen vanuit een heel ander perspectief.

De meeste fouten in closed source software gaan gewoon de doofpot in. De belangrijkste reden voor bepaalde fabrikanten om hun source closed te houden.


Een goede fabrikant vindt ook zelf fouten in haar eigen producten.


De feiten m.b.t. het aantal Windows computers die ten prooi vallen aan malware spreken voor zich.


Het absurde aantal daadwerkelijke besmettingen van Windows is een feit, geen conclusie.


Nee.


Sites worden meestal gehackt omdat ze op PHP stacks draaien heb ik hier gelezen. Dat heeft niets met Apache, Nginx of Linux te maken. De knulligheid van die PHP bouwwerkjes is goed te vergelijken met die van Windows. Ze hangen beide van het amateurisme aan elkaar.


Jaaaaa? Vertel...

Ik neem aan dat voor je beide conclusies ook een bron van hebt om dit te ondersteunen?
Sommige mogen zeker wel sneller reageren op de gevonden fouten, dat is zeker het geval.

Correct. Maar lang niet alle fouten worden zo gevonden. De meest grote van de afgelopen jaren zijn allemaal gevonden door externe bedrijven.

Het zelfde geld voor veel opensource producten, waar de updates ook vaak niet geïnstalleerd worden. Duidelijk te zien dat men de updates gewoon na jaren nog steeds niet geïnstalleerd heeft.

En dat er inderdaad veel Windows machines te prooi vallen, zegt juist iets hoe complex het is om updates voor zoveel computers te installeren. Bij veel bedrijven zitten vaak hele test trajecten voor een uitrol. En thuis gebruikers hebben gelukkig hier vaak geen last van, maar updates installeren is en blijft een lastige voor hun. Zeker als er geen goede update product in het product verwerkt zitten.


Zelfde geld voor veel van de grote datalekken, die komen bijna ook allemaal van niet Windows machines af. Kan ik dan ook daar een de zelfde conclusie trekken? Je moet niet selectief je feiten gebruiken voor je conclusie.

Goede onderbouwing. Je hebt duidelijk ervaring met de gewone gebruiker.

Maar het valt wel onder jou constatering. Er komen vaak updates, iedereen kan de code zien er wordt actief in ontwikkeld, en regelmatig updates en wordt zeer veel gebruikt.
Maar als het PHP is geld je conclusie dus niet?

Menige grote site draait op PHP. Het kan dus wel gewoon goed. Daarnaast Windows kan ook gewoon goed beveiligd worden.
Maar alles staat en valt met de gebruikers (of beheerders van een omgeving).

Hier ga ik maar niet verder op in. Anders gaan we wel erg offtopic.

Ingewikkeld hè, die updates? Nou ja, ingewikkeld gemaakt in Windows, gemakkelijk in Linux.

Windows (minuten tot uren):


Linux (seconden tot minuten):


Bij mijn ouders doe ik dat op afstand via een eenvoudige, rechttoe-rechtaan SSH-login.

Daar gaan we weer...elkaar proberen wijs te maken dat de ene OS beter is dan de andere, maar niet verder denken.

Welke OS je ook gebruikt, het is maar een onderdeel van het totaal plaatje en niet alleen de veroorzaker van beveiligingsproblemen.

Het is een combinatie van een allerlei factoren en samen zorgen ze voor problemen.

- Elke OS ia afhankelijk van software van derden...bv Java...zo lek als een mandje en toch heb je het nodig.

- Alle Freeware en apps die men gebruikt...zijn die te vertrouwen.

- Welke hardware gebruikt men en hoe is deze geconfigureerd.

- Wat is de kennis van de gebruiker.

- Welke hardware maakt je provider van, hoe is deze geconfigureerd en weet men wat er op de achtergrond draaid.

- Alle providers op de particuliere markt kijken alleen maar welke router/modem fabrikant de goedkoopste, zolang het maar werkt en de rest zal ze een zorg zijn.

- Goedkope meuk met een beroerde lekke firmware en heeft de klant problemen met de verbinding, constateerd de helpdesk altijd dat het aan de router ligt. Dus monteur komt langs en router wordt gratis vervangen, want die kosten toch niets.

- Jarenlang kwamen hardware/software fabrikanten en providers ermee weg om de particuliere markt te overspoelen met goedkope en slechte rotzooi, die niet aan de specs voldeden die men 'ons' wijsmaakte.

- Maar nu krijgen ze de rekening gepresenteerd, door de hoeveelheid en complexe beveiligingsproblemen die zich voordoen en steeds hardnekkiger worden.

- Met man en macht proberen ze nu alles te herstellen en dicht te timmeren, maar ze zijn veel te laat en lopen zwaar achter de feiten aan.

- Alleen en samen komen ze er niet meer uit en worden allerlei organistaties opgericht, die zich puur bezig houden met cybersecurity en met dezelfde middelen mogen terug slaan en uitschakelen. Dat stond vandaag in het nieuws.

- Neem bv KPN...die hebben niet voor niets de Cybersecurity Gigant dearBytes overgenomen, om de beveiliging van het KPN netwerk op zich neemt.

https://www.dearbytes.com/agenda/kpn-guest-hacker-program-maart/

Ik kan nog wel even doorgaan, waar het allemaal nog meer aan zou kunnen liggen, maar daar dat laat ik aan jullie over.

Hopelijk is het nu iets duidelijker en stopt men eens met dat OS gezeur.

Ieder zijn voorkeur...

(a) Java is geen OS (besturingssysteem);
(b) Java is niet 'zo lek als een mandje'.

Goed lezen...

(a) Nergens zeg ik dat Java een OS is...

(b) Zoek op Security.nl even op 'java' en zie datum 17-1-2018 en 18-1-2018...

Succes...

Daarin moet ik je bij nader inzien gelijk geven. Heb ik te haastig gelezen.


Dat is normaal onderhoud en gaat over veel meer Oracle software dan alleen Java (Oracle komt elk kwartaal met beveiligingsupdates, aangeduid als de "Critical Patch Update".) Je hebt dus nog steeds niet geloofwaardig aangetoond dat Java 'zo lek als een mandje' zou zijn.

Maakt niet uit...we maken allemaal wel eens een foutje.

Wat java betreft, heb ik als Microsoft Developer meegeschreven aan de eerste versie van Edge.
Deze was speciaal zo geschreven, dat Edge geen Java nodig heeft, gezien de hoeveelheid lekken in Java.

Maar helaas is Edge nog niet echt aangeslagen en de eerste versie was ook een totaal nieuwe interface waar de gewone gebruiker niet aan kon en wilde wennen.

We waren er al bang voor, want bij de particuliere gebruiker gaat het alleen maar of het werkt, gebruiksvriendelijk is en doordat ze het al jaren gebruiken, ze vast geroest zitten.
Ik geef ze geen ongelijk...het heeft ook met de kennis van de gebruiker te maken.

Daarom bood Microsoft naast Edge ook nog IE aan, om ze toch een keuze te geven.

Maar met de tijd...zeker bij het uitrollen van W10, werd er steeds meer Edge gebruikt, omdat door druk van gebruikers Edge een optie kreeg om Java te ondersteunen.
Dus werd het toegevoegd en is Edge weer een gewone browser, terwijl dat niet de bedoeling was.

De consument is er nog niet klaar voor en dat heeft vooral te maken dat elke fabrikant en site nog steeds Java gebruikt.
Alles zou moeten herschreven worden en dat is onbegonnen werk en daar heeft Microsoft zich op verkeken.

De Microsoft Edge browser ondersteunt geen plug-ins, dus ook niet de Java browserplug-in. Dat is niet veranderd dus ik weet eerlijk gezegd niet waar je vandaan haalt dat Edge Java applets zou ondersteunen.

Interessant! Dat is precies het soort werk wat ik ook wel zou willen doen! Welke programmeertaal wordt er nou voor zoiets gebruikt? En welke technieken, frameworks en libraries zou ik moeten beheersen om voor zoiets in aanmerking te komen?

Zal het even duidelijker uitleggen...W10 ondersteund Java vanaf versie 8, daardoor heeft EDGE geen plugi-in nodig en wordt Java gewoon ondersteund. Helaas.

Je wilt ook Microsoft Developer worden blijkbaar...dan neem contact op met Microsoft Redmond USA en vraag of je voldoet om in aanmerking te komen om een interne opleiding bij hun te mogen doen...Succes...