Hi,

Wenn einer den Bug kennt und ihn nicht ausnutzt, ist das ziemlich egal. Sobald er (oder jemand anders) mit dem Bug/Sicherheitsloch größeren Schaden verursacht, kommt der Bug ans Licht und kann dann auch (hoffentlich schnell) behoben werden.

Der Weg mit dem ein Rootkit o.ae. Zugang findet ist praktisch nicht nachvollziehbar, daher ist der Schadensfall nicht zur Identifikation einer speziellen Sicherheitsluecke nutzbar.
Zudem muss auch kein unmittelbarer Schaden entstehen.

Aha, deshalb wird der Apache oefter angegriffen als der IIS?

Ich kenne die betreffenden Statistiken nicht. Apache und ISS scheinen mir aber relativ sicher zu sein.

Betrachtet man die Defaulteinstellungen der beiden wuerde ich "relativ" deutlicher unterstreichen wollen.
Und bevor sich jemand beschwert: ja, man kann den ISS ausreichend absichern. Das ist aber sehr aufwendig und daher auch sehr kostspielig, es sollte daher schon ein _sehr_ guter Grund vorhanden sein, den ISS als oeffentlichen Webserver zu nutzen.

(Jedenfalls, wenn diese ähnlich viele oder mehr Sicherheitslöcher hat, als weniger verbreitete Software.)

Das kannst Du aber nur vergleichen, wenn Du das weist.

Stimmt. Normalerweise kann man das aber grob einschätzen.

Nein, noch nicht einmal das. Du weisst es einfach nicht.

Ein ungepatchter IE5 mit aktiviertem ActiveX hat wohl deutlich mehr Sicherheitslücken als ein aktueller voll gepatchter Firefox (oder von mir aus auch Opera).

Ich habe keine Ahnng und Du auch nicht, oder hast Du ueberall Quelleinsicht?
Der IE haengt tief in den Windowseingeweiden drin waehrend der Firefox nur zwei externe Libs wirklich benoetigt (Eine fuer's Fensterln und eine LibC). Es kann also bei entsprechender Konfiguration durchaus umgekehrt sein, das weiss man eben nicht.
Was man aber weiss: ein Patch schliesst im Idealfall eine Sicherheitsluecke ohne eine oder mehrere weitere zu eroeffnen. Ein existenter Patch ist also mit einer gefundenen Sicherheitsluecke gleichzusetzen. Somit hat ein Programm, dem nicht alle sicherheitsrelevanten idealen Patches eingespielt wurden mehr _bekannte_ Sicherheitsluecken als eines, dem alle eingespielt wurden. Wieviele das aber insgesamt sind, bekannte und unbekannte, steht in den Sternen. Bzw im Quellcode.

Also, die Heimlichtuerei ist mir nocht nicht so aufgefallen. Solltest du aber recht haben, würde ich dir da zustimmen. Bis jetzt habe ich aber den Eindruck, dass die wichtigsten Bugs innerhalb weniger Tage relativ anständig gepatched wurden.

Ein Problem bei der Heimlichtuerei ist: das kannst Du nicht wissen!
Es kann den Entwicklern benebst dem einem oder anderem Schwarzhut ein ganz fieser Bug schon seit langem bekannt sein, nur Dir nicht. Du triffst in deren Bugtracker des oefteren mal auf gesperrte Eintraege. Was verbirgt sich dahinter?

Diese Posting wurde uebrigens auf einem Opera-8.5-x386-linux-QT-static erstellt.
Ja, und auch damit abgeschickt! ;-)

Interessant. ;)

Warum?

Hab die Ironie-Tags vergessen und dachte, der Smilie würde ausreichen.

Ohne haette ich gar nicht erst gefragt.

Es ist mir eigentlich ziemlich egal, was für einen Browser du benutzt.  Von mir aus könntest du auch w3m, IE4, Safari oder Konqueror

Was passt hier nicht in die Reihe? ;-)

benutzen. Hauptsache, du bist mit dem zufrieden, was du benutzt.

Mein Vater hatte den Spitznamen "Niezufrieden" und ich befuerchte ich komme nicht so ganz nach der Mutter ;-)

Ich bin jedenfalls mit meinem Firefox zufrieden.

Das wird die Entwickler freuen.

so short

Christoph Zurnieden