- Scritto da: Uau (TM)
> - Scritto da: markoer
> > In realtà il "tizio" ha ragione... sei tu che
> > devi provare il contrario. Postare due link a
> > due vulnerabilità di Linux, quando Windows ne
> > ha centinaia se non migliaia, è come cercare
> > di nascondersi dietro un dito.

> Io a dire il vero mi riferivo a IIS e non
> "strettamente" a Windows. Considerando comunque
> un buon Windows Server aggiornato, come minimo
> 2003 R2 meglio ovviamente se 2008 R2 ti sfido a
> dimostrare il contrario: è più vulnerabile di un
> server con su RedHat? Hai delle fonti a tal
> proposito?

Bhe, visto che citi red hat: cos'a di simile windows server ad AppArmor ? che comunque e' inferiore al completo Selinux ?

> > Detto questo, non esistono, che io
> > sappia - ed io
> > lavoro nella sicurezza, dovrei saperlo -
> > statistiche veramente attendibili circa quali
> > sistemi vengano maggiormente bucati, per il
> > semplice motivo che nessuna azienda verrà mai a
> > dire in giro di essere stata bucata...

> Su questo non ci piove.
> Fatto sta che ad oggi esistono vulnerabilità note
> per Apache, per IIS no.
> Che poi sia difficile sfruttarle è un altro paio
> di maniche, ma direi che è una buona base di
> partenza.

Cioe' meglio meno falle facilmente sfruttabili ?


> > quello che
> > è certo è che Windows ha molte, molte più
> > vulnerabilità, ed il patch management è
> > molto più complicato e problematico che
> > su Linux,

> Vero.
>
> > quindi è
> > molto più facile incontrare sistemi Windows
> > vulnerabili che non Linux.

> Falso.
> E' estremamente più facile trovare sistemi linux
> non aggiornati; un paio di anni fa, ad esempio,
> ho avuto modo di collaborare con un'azienda che
> aveva web server su slackware non aggiornate da
> 4-5 anni (e ti assicuro che non era un'azienda
> piccola).
> Ricordo poi che all'Università il web server
> (debian) con su il sito dei rappresentanti è
> stato clamorosamente trapanato e la motivazione
> era semplice: 2 anni senza ALCUN
> update.
> Perchè mentre su Windows si è abituati ad
> attacchi e le precauzioni vengono sempre prese su
> linux non è altrettanto vero e spesso si viene
> beccati con le braghe
> calate.
> Ovviamente queste sono cose tipiche in Italia, un
> po' meno per fortuna
> all'estero.
>
> > Per quanto mi riguarda personalmente... Ieri ho
> > giusto fatto il reboot dei miei server Windows,
> > avendo dovuto installare 24 (VENTIQUATTRO)
> > patch... LOL.
>
> Erano TUTTE e 24 necessarie?
> Voglio dire, se quel sistema ha su SQL Server è
> buona norma che sia assolutamente isolato da
> internet! Quale di quelle 24 patch era DAVVERO
> necessaria? Con una buona infrastruttura
> probabilmente
> nessuna...
>
> > Per fortuna cambierò il software e
> > passeremo ad uno basato su Linux/Oracle invece
> di
> > Windows/SQL Server, così almeno non dovrò
> > riavviare il sistema per ogni
> > patch!
> >
>
> Io avrei preferito un bel cluster di macchine
> Windows, semplice semplice: risparmio e velocità
> di migrazione assicurati. Downtime comunque
> azzerati.
> Questione di scelte.