Journal Pourquoi Windows est moins sécurisé que Linux

Posté par  (site web personnel) .
Étiquettes : aucune
0
15
avr.
2006
Le micro-article explicatif :

http://blogs.zdnet.com/threatchaos/?p=311

Celui-ci propose deux schémas des appels systèmes ayant lieu quand un serveur web sert une simple page html avec une seule image.
Les appels systèmes d'Apache sous Linux :

http://blogs.zdnet.com/images/SysCallApache.jpg

Les appels systèmes d'IIS sous Windows :

http://blogs.zdnet.com/images/SysCallIIS.jpg

Selon le micro-article le fait que le schéma windowsien ressemble au célèbre flying spaghetti monster est l'indication que Windows est intrinsèquement plus fragile car plus complexe ( plus difficile à debugger et à auditer).
Donc lâchons nous, réjouissons nous et trollons comme des fous avant que PasBillPasGates ne vienne mettre le hola !

  • # Ah ?

    Posté par  (site web personnel) . Évalué à 6.

    Il paraît que plus la toile d'araignée a de fils, plus elle est solide... On m'aurait menti ?
    Personnellement, le trouve que le shéma de IIS est beaucoup plus joli.

    • [^] # Re: Ah ?

      Posté par  (site web personnel) . Évalué à 0.

      Et si je t'affirme qu'un bug se niche dans l'un des deux systèmes tu va choisir lequel pour essayer de comprendre et de debugger ? Moi ce serait Apache/Linux !
      Et si je suis un vilain pirate qui cherche une faille exploitable dans un recoin sombre du système je vais aller mettre mon nez ou ? Moi ce serait IIS/Windows !
      Maintenant c'est vrai qu'il y a des commetaires sur le blog qui affirmeent que c'est Windows qui est mieux foutu car ce serait en fait un design modulaire au lieu d'être, comme on le croirait, un immonde bordel.

      • [^] # Re: Ah ?

        Posté par  . Évalué à -8.

        Bah faut savoir, si IIS/Windows c'est si immonde, comment se fait-il alors que le nombre de bugs de securite trouves dans IIS6 est bien moindre que dans Apache ?

        Ah tiens, maintenant on va me resortir le truc que Apache est bien plus majoritaire que IIS.

        Mais bien sur, pour Windows/Linux subitement la methode ne tient plus.

        • [^] # Re: Ah ?

          Posté par  (site web personnel) . Évalué à 10.

          Bah faut savoir, si IIS/Windows c'est si immonde, comment se fait-il alors que le nombre de bugs de securite trouves dans IIS6 est bien moindre que dans Apache ?
          Parceque le code d'Apache est libre, et visible par tous ?
          Parceque l'ensemble des bugs rapportés sont rendus publics (qui peux dire qu'il n'existe pas des failles connues non corrigées par exemple) ?
          Parceque le code d'IIS évolue beaucoup moins vite que celui d'Apache ?

          • [^] # Re: Ah ?

            Posté par  . Évalué à -3.

            Parceque le code d'Apache est libre, et visible par tous ?

            Et ? Visible == lu et audite par tout le monde ? Non, donc rien a voir. Sans parler du fait que la majorite des bugs ne sont pas trouves par audit de code mais par fuzzing et autres techniques.

            Parceque l'ensemble des bugs rapportés sont rendus publics (qui peux dire qu'il n'existe pas des failles connues non corrigées par exemple) ?

            Parce que les gens externes a MS qui trouvent des failles les rendent publics apres un certain temps si on ne sort pas de patch(dans certains cas le temps apres nous l'avoir annonce est meme negatif...)

            Parceque le code d'IIS évolue beaucoup moins vite que celui d'Apache ?

            Pourtant IIS6 etait une refonte quasi-totale du code d'IIS5, et tres tres peu de bugs ont ete trouves dans IIS6.

            C'est dur de devoir regarder la realite en face.

            • [^] # Re: Ah ?

              Posté par  (site web personnel) . Évalué à 7.

              pBpG autant d'habitude jaime te voir moucher les intégristes adeptes de la théorie du complot, autant là tu ne prouves rien.


              Et ? Visible == lu et audite par tout le monde ? Non, donc rien a voir. Sans parler du fait que la majorite des bugs ne sont pas trouves par audit de code mais par fuzzing et autres techniques.

              Et alors ? Le problème n'est pas ici technique, il est politique : MS n'a pas intérêt à publier la liste des bugs et trou de sécurités pour parraître être en dessous de Apache niveau statistique. Ce n'est pas mon engagement auprès de la théorie du complot, c'est simplement la constattion d'un comportement normal pour une entreprise privée face à un concurent.

              Le modèle du libre est basé sur la transparence et la motivation de beaucoup à contribuer, tous les problèmes perçu (ou une grosse part) sont publiés sur des outils (bugzilla) au su de tous

              MS par contre a plus intérêt de recevoir des reports de bugs et autre trou de façon discrète (pour une partie d'entre eu au moins) et de les corriger discrètement dans un service pack.
              C'est un comportement parfaitement compréhensible de la part d'une entreprise privée : Elle n'est pas là pour satisfaire des préjugés moraux mais pour faire de l'argent.

              « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

              • [^] # Re: Ah ?

                Posté par  (site web personnel) . Évalué à 5.

                Ce raisonnement est aussi valable pour les logiciels commerciaux libres/open source. Tous n'ont pas un CVS publique sur lequel on peut voir chaque commit. Et même quand c'est le cas ça n'oblige pas à avoir un changelog exhaustif (mais ça aide).

                pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

              • [^] # Re: Ah ?

                Posté par  . Évalué à 5.

                MS par contre a plus intérêt de recevoir des reports de bugs et autre trou de façon discrète (pour une partie d'entre eu au moins) et de les corriger discrètement dans un service pack.
                C'est un comportement parfaitement compréhensible de la part d'une entreprise privée : Elle n'est pas là pour satisfaire des préjugés moraux mais pour faire de l'argent.

                Ce n'est pas la realite.

                La realite c'est que les gens qui trouvent des trous de securite veulent qqe chose en retour. Pour la plupart ils veulent simplement la reconaissance, donc ils veulent qu'on sorte un patch et qu'on reconaisse que xyz a trouve la faille. Si tu regardes les bulletins de securite qu'on sort, a chaque fois on remercie le gars qui a trouve la faille et l'a rapportee, c'est pas pour rien.
                Ces gens la, si on ne sort pas de patchs dans un temps qui leur est acceptable, ils publient la faille quand meme. Bref, garder les trous de securite secret c'est pas une option qu'on a car tout simplement on ne maitrise pas la faille totalement.

                Le modèle du libre est basé sur la transparence et la motivation de beaucoup à contribuer, tous les problèmes perçu (ou une grosse part) sont publiés sur des outils (bugzilla) au su de tous

                T'iras expliquer ca a Mozilla ou les failles de securite sont d'acces restreint jusqu'a ce que la faille soit corrigee, tout comme chez MS.

        • [^] # Re: Ah ?

          Posté par  (site web personnel) . Évalué à 2.

          >> Bah faut savoir, si IIS/Windows c'est si immonde, comment se fait-il alors que le nombre de bugs de securite trouves dans IIS6 est bien moindre que dans Apache ?

          Putain t'aura pas mis longtemps !
          Je m'étais imaginé que, comme c'est la période des déclarations d'impôts aux USA, tu devais être occupé avec Quicken et qu'on pourrait s'amuser entre linuxiens !
          Trêve de plaisanterie il me semble que ton argumentation est bien légère : Pas de contestation du schéma ? Donc il est licite de comparer ainsi la tables des appels système ? Alors ça fait vraiment peur de voir l'immonde parcours brownien sous Windows.

          Pour ce qui est des bugs de sécurité j'ai trouvé un très bon résumé de l'opinion majoritaire des utilisateurs d'apache dans un post de Michel Galle ici :
          http://standblog.org/blog/2004/07/01/93113570-securite-des-c(...)

          • [^] # Re: Ah ?

            Posté par  (site web personnel) . Évalué à 5.

            il me semble que ton argumentation est bien légère
            C'est clair que l'argumentation du monsieur sur ZDNet est autrement plus solide.

            pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

          • [^] # Re: Ah ?

            Posté par  . Évalué à 6.

            Je m'étais imaginé que, comme c'est la période des déclarations d'impôts aux USA, tu devais être occupé avec Quicken et qu'on pourrait s'amuser entre linuxiens !

            Pas de bol, j'ai mis tres exactement 20 minutes a faire ma declaration d'impots online :+)

            Trêve de plaisanterie il me semble que ton argumentation est bien légère : Pas de contestation du schéma ? Donc il est licite de comparer ainsi la tables des appels système ? Alors ça fait vraiment peur de voir l'immonde parcours brownien sous Windows.

            Le schema j'en sais rien, je ne sais pas ce qu'il represente, on voit plein de liens entre eux sur une image ou une loupe est necessaire, on a aucune idee de la signification des bulles, des arcs, ... alors je vais pas m'amuser a parler d'un truc qui est illisible et incomprehensible.


            Pour ce qui est des bugs de sécurité j'ai trouvé un très bon résumé de l'opinion majoritaire des utilisateurs d'apache dans un post de Michel Galle ici :
            http://standblog.org/blog/2004/07/01/93113570-securite-des-c(...)

            Moi je vois mal en quoi cette opinion est valide vu le tres faible nombre de bugs de securite dans IIS6(sorti il y a plus de 2 ans hein), et leur faible gravite.

  • # Va falloir que je m'achète des lunettes

    Posté par  (site web personnel) . Évalué à 4.

    J'arrive pas à lire les titre des bulles.
    C'est grave docteur ?

    (J'ai pourtant essayer de zoomer à 500% (comme dans les films) , mais ça reste tout flou)

    • [^] # Re: Va falloir que je m'achète des lunettes

      Posté par  (site web personnel) . Évalué à 0.

      mais ça reste tout flou

      C'est le dernier rempart derrière lequel les bugs microsoftiens peuvent se planquer, tu ne vas pas leur retirer ça tout de même ?

    • [^] # Re: Va falloir que je m'achète des lunettes

      Posté par  (site web personnel) . Évalué à 7.

      HAHAAA, parce que dans les films ils ont toujours le super programme intelligent qui refabrique l'image comme par magie à partir de presque rien.

      De la science-fiction ?

      NON ! Ca existe !
      C'est libre, et c'est sous GIMP !

      http://refocus-it.sourceforge.net/#exampl

      (il faut le voir pour le croire)

      • [^] # Re: Va falloir que je m'achète des lunettes

        Posté par  . Évalué à 3.

        Sauf que dans lexemple tu as toute l'information necessaire à la reconstitution, alors que dans les films tu commence par surechantilloner 42x avant de faire un zoom de 57000% dans un oeil pour voir un reflet dans une glace que tu va traiter toute la nuit pour voir la tête du méchant.

        Ce faisant tu as pongé dans un 10 000 000 è de pixel :p

    • [^] # Re: Va falloir que je m'achète des lunettes

      Posté par  (site web personnel) . Évalué à 7.

      Pas besoin de lire quoi que ce soit, tu vois bien qu'il y a plus de lignes dans le graphique sur lequel on a marqué "Windows" donc c'est forcément moins bien (et en plus c'est marqué "Windows" dessus).

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Commentaire supprimé

    Posté par  . Évalué à 10.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Plouf

      Posté par  (site web personnel) . Évalué à 3.

      D'autant plus que devs Linux != devs Apache...

    • [^] # Re: Plouf

      Posté par  . Évalué à 10.

      cher ami, voici deux indices pour toi, pour éviter de perdre du temps à l'avenir :

      "zdnet" et "blog"

  • # C'est beau, mais...

    Posté par  (site web personnel) . Évalué à 4.

    Pesro je trouve ca super beau et j'aimerai bien savoir faire des dessin comme ca.

    Bon ok en gros je vois que avec IIS ya plein de fil qui parte dans tout les sens mais techniquement ca veux dire quoi ? ya un point de départ un point d'arrivé ? a quoi coressponde les petit ronds (ovale) ?

    Merci d'avance !

    PS : ca aurait était intéréssant de voir ca avec apache sous windows
    PS2 : ca aurait était intéréssant de voir ca avec vista !

  • # comment ils ont fait pour avoir tout ça IIS...?

    Posté par  . Évalué à 3.

    Comment ils ont fait pour avoir tout ça IIS...?

    C'est legal...?

  • # Pffff, n'importe quoi!

    Posté par  (site web personnel) . Évalué à -3.

    Tout le monde sait que Windows est utilisé par 95% des utilisateurs, alors que Linux par 0.01%. Donc c'est normal que ceux qui écrivent des virus les écrivent pour Windows, vu que sous Linux ils ne toucheraient personnes.

    Aller, hop, dehors :).

    • [^] # Re: Pffff, n'importe quoi!

      Posté par  . Évalué à -1.

      vu que sous Linux ils ne toucheraient personnes.
      Tu oublie que 74% des serveurs web sont sous Linux... Donc, si un virus destructeur venais a apparaitre sous linux, il ferait bien plus de dégats que le virus sous windows qui "embete" les postes clients car il paraliserai 74% du traffic mondiale.

      • [^] # Re: Pffff, n'importe quoi!

        Posté par  . Évalué à 5.

        Tu oublie que 74% des serveurs web sont sous Linux...

        74% des serveurs web sont sous Apache, ca veut pas automatiquement dire Linux.

        Il y a pas mal de BSD, Solaris, et meme Windows avec Apache.

      • [^] # Re: Pffff, n'importe quoi!

        Posté par  (site web personnel) . Évalué à 5.

        Euh, mon message n'était pas sérieux hein!
        Biensûr que je ne crois pas que la sécurité de l'OS au manchot ne tienne qu'à ses parts de marchés faibles.

        Ensuite, 74% des serveurs ne signifie pas 74% du trafic. Vu le coût d'un IIS, je pense qu'on ne le trouve que pour des comptes pas trop petits. A partir de là, en proportion, on peut supposer qu'en terme de trafic apache soit un peu en dessous de 74%. Maintenant, on est d'accord, ça montre que les parts de marchés sont loin d'être les seuls à jouer. :)

  • # L'explication

    Posté par  . Évalué à 6.

    En faîte sous Windows, ils utilisent un appel système générique qui test via un thread et un algorithme de parcourt d'arbre en profondeur tous les appels systèmes de Windows pour trouver l'appel système correspondant. C'est pour, ça qui il y a pleins d'arcs par noeud. Et que Vista requiert un déca-processeur ... Une exclusivité Microsoft! Linux n'est pas à la hauteur en théorie des graphes!

    • [^] # Re: L'explication

      Posté par  . Évalué à 1.

      Hmm... J'y connais rien en appels systèmes, mais avec un peu de recul, ça me fait penser à deux maisons avec des architectures différentes :

      - une maison dont les briques sont posées horizontalement, bien collées les unes aux autres, de manière totalement structurée ; quand on veut rajouter une brique, on la pose à l'endroit adéquat, au-dessus de la constuction, et on la fixe bien aux autres.

      - une autre maison dont les 5 premières briques ont été posées vite-fait-mal-fait, un peu bancales, pas toutes de la même taille... ce qui pose des problèmes quand on veut en rajouter une autre : on doit la rajouter bancale, ou alors la bidouiller pour qu'elle s'incruste à peu près entre deux autres mal installées...

      Où les briques seraient des éléments logiciels que l'on rajoute au système d'exploitation. Linux semble concu solidement, avec un parcours bien tracé et prévu, qui ne déroge pas. Au contraire Windows, à force de rajouter des briques les unes aux autres sans fondement fort, on aboutit à un trajet plutôt imprévisible. Cela renvoit à ce qui est dit dans le post ZDnet : In its long evolution, Windows has grown so complicated that it is harder to secure. Et c'est d'autant plus ennuyeux qu'à chaque brique ajoutée, on complique encore la chose...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.