Michiel van Otegem, IT Composer

Friday, September 30, 2005

Waarom IIS 6.0 veilig(er dan Apache) is

In Internet Information Server 6.0 zijn in de laatste ca. twee en een half jaar slechts 2 vulnerabilities gevonden, tegenover ruim 25 in Apache en 12 in Sun ONE/iPlanet 6.0. Ten opzichte van Apache is een veel gehoord argument dat dit komt omdat IIS 6.0 closed source is en Apache open source, zodat iedereen (in theorie) fouten zou kunnen vinden. Dat maakt echter heel weinig uit, omdat "vulnerability testing" niet op code niveau plaats vindt. Door de complexiteit van deze systemen heeft het weinig zin om op code niveau te kijken. Dat is goed te zien aan het aantal problemen met iPlanet 6.0, dat ook closed source is (en bovendien veel minder gebruikt wordt dan IIS).

Belangrijk voor de veiligheid is "threat modeling" en ontwerp, en na het implementeren TESTEN, TESTEN, TESTEN! En dat is iets dat Microsoft vandaag de dag heeeeel serieus neemt. IIS 6.0 is nadat het ontwikkelproces klaar was nog 18 maanden zeer rigoureus getest. In die 18 maanden is er dus alleen aan bug fixing gedaan op basis van de tests die gedaan werden, er zijn geen nieuwe features toegevoegd. Microsoft heeft een state-of-the-art lab, en de mensen om zich 18 maanden alleen met testen bezig te houden. Dat is wat IIS 6.0 dan ook zo veilig maakt, en is waarschijnlijk waar Apache een groot nadeel heeft. In vergelijking met de Apache Foundation is het budget van Microsoft haast ongelimiteerd. Microsoft kan daardoor een heel leger van mensen inzetten die zich dag in dag uit alleen met vulnerability testing bezig houden. Dat is misschien een beetje oneerlijk, maar wel de realiteit.

2 Comments:

  • mmm, dit vind ik een interessant bericht.

    Beetje laat, mijn commentaar post, maar kun je mischien een link plaatsen naar waar je die info vandaan hebt?

    Bij voorbaat dank...

    By Blogger rpbouman, at 22 May, 2006 19:32  

  • De aantallen vulnerabilities heb ik van secunia.com, maar er zijn meerdere sites die dit soort cijfers bijhouden en die laten grofweg dezelfde cijfers zien. De verschillen tussen de verschillende sites zitten met name in wat er wel/niet meegeteld wordt.

    De informatie betreft het testen van IIS 6.0 weet ik niet meer. Kan zijn van een webcast op channel9.msdn.com, maar ook van info die ik binnen krijg als ASP.NET MVP (IIS is onderdeel van hetzelfe team).

    Aardig om te weten is ook dat tot nog toe de "turn around time" van het team om issues te fixen gemiddeld minder dan 24 uur is. Daarmee zitten ze nog niet in Windows Update, maar zou je als partner de fix eventueel wel al kunnen krijgen. (Deze info komt van een etentje met Scott Guthrie.)

    By Blogger Michiel van Otegem, at 22 May, 2006 22:38  

Post a Comment

<< Home