WindowsはLinuxより安全? 64
ストーリー by Oliver
統計マジック? 部門より
統計マジック? 部門より
tyamagch 曰く、 "アメリカのWinInfoに掲載された記事から。
米SecurityFocusがまとめたOS別のバグ発見件数の統計で昨年1月から8月までのLinuxでのバグ発見件数がWindowsでのそれを上回った、だからWindowsはLinuxより安全、というのがこの記事の趣旨のようだが。
残念ながらこれらのバグのうち、どれだけが実際の被害に繋がったかとか、DebianやRedHat、Calderaとパッケージ別に加算されたLinuxのバグのうち、同内容のものが重複している割合が不明なので何ともいえないのだが、本当にこの結果を見て「Windowsの方がLinuxよりsecure!」と言えるのだろうか?ところで、「OSと不可分」であるはずのIE(含Outlook Express)のバグは当然Windowsバグの件数に含まれているんでしょうね"
SecurityFocusの注意書き (スコア:4, 参考になる)
- 2001年8月以降は記録していない
- Windowsと他のOSの数え方は異なっている
- 脆弱性の数は単純に合算しただけ
で、この結果を何かの比較に使うのは適切ではない。としているようです。
参考:セキュリティホールmemo ML[memo:2858] Re: Windows More Secure Than Linux [ryukoku.ac.jp]
Re:SecurityFocusの注意書き (スコア:3, 参考になる)
なので、元タレコミのという質問に対する答えは(タブン)NOです。
Re:SecurityFocusの注意書き (スコア:1)
それって情報としてもはや意味を持たないような。
Re:SecurityFocusの注意書き (スコア:2, おもしろおかしい)
Re:SecurityFocusの注意書き (スコア:2, すばらしい洞察)
SecurityFocus Vulns Stats [securityfocus.com]はその名の通り脆弱性の統計ですからCodeRed以前と以後で結果に大きな変化があるとは考えにくいのですが。
追跡調査求 (スコア:4, すばらしい洞察)
バグがないものは作れないし
バグの対応は難しい
さらにパッチの適用はもっと難しい
これらを含めてどう対処「できたか」が勝負でしょ?
職業としてのプログラマ
そりゃあ (スコア:3, すばらしい洞察)
Re:そりゃあ (スコア:1)
Re:linuxに仕様って有るの?(Re:そりゃあ) (スコア:1)
# よくあるやつですよ。
えーと、まあ、そういうわけで。
安全とは? (スコア:2, おもしろおかしい)
Windowsを安心して使っている自分は、アホということなので
しょうか?(いやそうではないと思う)
危険とは? (スコア:1)
- 落とし穴が見えていない。
- 落とし穴と知りつつ落ちる。
普通は前者でしょう。ただ後者は思いっきり笑われること請け合い。Re:安全とは? (スコア:1)
OSがなんであれキチンとメンテナンスされてなければ同じですよね。
ま、どっちがメンテナンスしやすいかと言われればってのはありますが。
Re:安全とは? (スコア:1)
きちんとメンテナンスしているということが
前提じゃないと、この話は論外でしょう。
とはいっても、パッチが公表されるときにその
脆弱性を知るということが殆どですけど。
「バグ」って一括りに言われてもねぇ (スコア:2, 興味深い)
バグの数で比較するってどうなの?確実に再現できる致命的なバグから,再現性も無くてめったに遭遇しない超マイナーなバグまであるし,「システムへのダメージは無いけど,今までは100%のパフォーマンスが発揮されてませんでした」的なバグだってあるわけじゃない?
俺の印象では,MSのバグはほぼ確実にクリティカルヒットをかましてくれる,っていうイメージなんだけど,それを数だけで比較するっていうのは意味あるのかなぁ.
Re:「バグ」って一括りに言われてもねぇ (スコア:1)
それはクリティカルでないものは仕様扱いされてしまっているからでしょう。(笑)
>それを数だけで比較するっていうのは意味あるのかなぁ.
「第三者がバグレポートの中身を同一基準で精査した結果」
だったら意味があるかもしれないですが
それぞれの基準で公表された数字をまとめただけでは
自分もたいした意味はないと思います。
んじゃー (スコア:2, 興味深い)
Re:んじゃー (スコア:1)
>またWindows用アンチウイルスソフトが動作せず,Lindows上でOutlookを立ち上げた時にはOutlookを狙うウイルスも動作することが報告されている。
だそうです。嫌スギル…。(涙)
Re:んじゃー (スコア:1)
言える訳がない (スコア:1)
それにクリティカルなものが Windows2000 にはよく見られるから、
・この数字のうち、管理者権限取れちゃうものの数
とかも出してもらわないと、判断をするためのデータとしては役不足だろうね。
[単に出してみただけなんであんまり信用するなよー]って書いてあるし、 OS バグとして含めてないものもある、みたいな注意書きもあるっぽいし、あんまりシリアスに考えちゃいけないっぽい。
ぼけーっと眺めてるだけなら面白いけど。 RedHat と Mandrake おおいねえ....
Re:言える訳がない (スコア:3, 興味深い)
そしたら、どうやらこのバージョンはそろそろ枯れてきたらしいとか、想像がつくじゃないですか。
#バグ曲線が素直になるようテストスケジュールを調整されたりして。
Re:言える訳がない (スコア:0)
Re:言える訳がない (スコア:1)
発見数はともかく (スコア:1)
単にユーザー数が少ないから見つかってないだけ
って穴もたくさんありそうなので
むしろ潰されずに放置されてる期間のほうに興味あるかも、、、
# なぜそういう観点がないのだろう、、、>元ネタのサイト
uxi
Re:発見数はともかく (スコア:2, 興味深い)
MacOSXServer1.x ですよね?
コレなんかはじめからメーカ側にサポートされてるとは思えないです
(無保証もココまで行くと大問題ですね、お金払って買ってるのに)。
ユーザランドはほとんどFreeBSD3.x のまま放置(ぉぃ。
…ってことは栄えあるバグ最多OS &放置期間最長OS はコレで決まりでしょう。
こういった体質は本来非難されるべきですが利用者が少ないおかげ(笑)
と、スキで使ってる人のおかげ(自爆)
でM$ のそれと比べると非難を浴びないで済んでますよね(笑)。
# それとも、Apple な人って、セキュリティの概念が無いのか??
# いまだにMacOSXServer1.x をグローバルIP に晒してる人は勇者です。
何のために? (スコア:1)
例えば、
Slackware 10
Solaris 33
Windows NT/2k 42
RedHat 54
この順位から何が分かるのでしょう?
統計というか、単なるデータですねこれは。
Re:何のために? (スコア:1)
数が多い方が逆に「セキュリティ情報に常に目を光らせて対策しているので安心できる」という見方もできますね.
それより気になるのは Slackware と RedHat の数の違い. 単にディストロに含まれるパッケージの数によるのか,どうなのか.
Re:何のために? (スコア:1)
Re:何のために? (スコア:0)
一番安全なのはMacOS X Serverということでよいですか?:p
Re:何のために? (スコア:3, 興味深い)
もしかして、セキュリティレベルが他を超越しているとか!?
実際の話、マイノリティというセキュリティ(?)は結構強いですよね。
超漢字なんかもいいのかもしれない。
AMIGA4000T(60/50)使い
Re:何のために? (スコア:1)
これを読んだとき、たまたま近くにあった、別スレッド(?)の、
(yosshyさん)
>積極的に情報公開すれば数は増えるわな。
が、まさに返事として機能しているなあ、とか思ってしまった…
つまりサーバーとして元気に活動すればするほど
そのマイナー環境はマイナーでなくなりセキュリティが低下するという(笑)
Re:何のために? (スコア:1)
>> 一番安全なのはMacOS X Serverということでよいですか?:p
よし!
(まぁ導き出される結論はこんな風になるデータってことで)
Re:何のために? (スコア:1)
>一番安全なのはMacOS X Serverということでよいですか?:p
それをいうなら Connectiva なんか 5年連続ゼロです。
って、それはそれで問題だろう > Connectiva (笑)
記事を読んだ (スコア:1)
Linux については、kernel だけでなく、ftpd や httpd なども含んだ数だとは思うけど、Windows に IIS や IE、OE が含まれているかどうかは読み取れない。
で、それぞれの解消率はどれくらいなんだろう?
こういう時は単純に考えよう (スコア:1)
もしWindowsの方がbugが少ないなら、なぜわざわざbug出し期間を1ヶ月も設ける [srad.jp]必要があるんでしょうか?
Re:こういう時は単純に考えよう (スコア:1)
・ OS以外のコードも対象にしているから
・ BugTraq に投げられていないけども内部で発見されているバグが結構あるから
・潰すの大変そうなバグばっかりだと分かっているから
・綺麗に潰す為に時間をかけようと思っているから
・念のため
なんてね。
件のバグ統計が示すことといえば (スコア:1)
「できる限りMS製ソフトウェアの数を絞ったNT/2000」の方が安全だ、
ってことだろう。
そりゃあそうだと思うよ。
ただ、WinInfo のような記事の書き方で、
そのように解釈してくれる読者がどれくらいいるかは知らんがね。
# mishimaは本田透先生を熱烈に応援しています
それじゃあ・・・ (スコア:1)
神奈川より大阪の方がハイタク交通交通事故件数が少ない(2000年)から
大阪の方が安全なんだ。
そういう問題じゃなかろうに・・・。
上の事故でいうなら事故に対する死者数や様々なサンプルを以って
判断すべきもんじゃろ。
OS比較も重要度ってあるでしょうに。
スペルミスのバグ修正とか:)
チョウチンは勘弁ですね。
比較の対象にはなる程度には同じ程度。 (スコア:1)
どちらがどの程度に安全かを,
これらの結果は示していないかも知れませんが,
それぞれを(できるできないは別にして)妥当な一つの基準で比較したとすれば,
多少の優劣はあれ,決定的な差異はないかもしれないことを,
示しているのかもしれないなあ,と思いました。
例えば,機能というものだけを要素にした場合,のような,
一件簡単に見える基準に基づいてでさえ,
実は誰にも比較ができていない,
ということなのかもしれないですね。
-- LightSpeed-J
規模がちがうんだから・・・ (スコア:1)
たとえば4KBのDLLに1個バグが見つかったら、0.25KB-1みたいな・・・
どちらにせよ、オーダーもほとんど変わらないし、どっちもどっちって気もしますけど。1と1000とかなら、断然安全って言えますけどね・・・
うーむ (スコア:1, 興味深い)
他力本願。
Re:うーむ (スコア:1)
んー、でも「ヘボいユーザ」と「バリバリなユーザ」というのを 比較すると、Linux (というか Unix 全般) の方は どちらかと言う と それなりの知識というか意識を持って使っている人多いから ヘボいユーザみたいな人は少ないと言える。 それに対して Windows の方は、単に「パソコン使わなきゃ」みたいな 目的の場合があって、ヘボいユーザに相当するユーザなんていうのは 測定すれば数十パーセントぐらい出るんじゃないかなぁ。
まぁそもそも、このネタに出されている数値っつーか それ は 「既知のセキュリティホールをどれだけ直したか」 という数値であり、それなりに意識しているユーザなら それなりにパッチ当てているんだろうけど、 先程の表現で言うところの ヘボいユーザは それほどパッチ を意識していないでパッチ適用していないと思うんだ。 ユーザの状況に合せたセキュリティ対策が行なわれているか どうかということを考えると、Windows のセキュリティホールの 数が少なかったからといって、Windows ユーザにとって安全な ソフトウェアであるとは言いがたい。
「どれだけのセキュリティホールが存在したか」 というより 「どれだけの危険からどれだけの労力で回避できたか」 ということを議論した方が有益だと思うが。
Re:うーむ (スコア:1, すばらしい洞察)
> いうのは最近あちこちにたくさんいるようですけど、
> これがWinのバグよりもずっと危険な存在らしいです。
全く持ってその通りです。
また、NT/2000/XP Server を Win95/98/Me 程度の感覚で
運用してくれる、これまた困った「にわか管理者」も山の
ようにいますです。
まー、全ユーザに admin 権限あげたり、意味もなくアプリ
入れまくったり(サーバになぜ Office を入れようとする!!)
後始末する方のみにもなってほしいですな。
ま、「管理」ってなーに? ってとこわかったなけりゃ、どんな
いい道具使ってもダメなものはダメですわ。
またぞろ (スコア:0)
せめてbug fixが揃うまでの平均時間を考慮して欲しい。
誤解があったら指摘して (スコア:2, すばらしい洞察)
・不良が見つかりやすい(みんなでソースコードレベルで検証できるから)
・不良の内容がわかりやすいため、対策が立て易い
・不良対応が早い
・変な言い訳をされない
であって、「不良が少ないわけではない」です。
WindowsというかM$が批判されるのは、不良が見つかってもなかなか認めない、不良内容や原因をなかなか公表しない、不良に対してユーザー側または開発者側で対応できないので結果として対策が遅れる、だと思うんですが。
違ってるんなら、指摘ください。
Unixの特殊事情 (スコア:2, 興味深い)
一応OSの比較なので、OSに特化した話も...
OSの中でもUnix(派生含む)は、その背後にある程度検証された理論を持っています。おそらくUnixほどに理論的な裏付けを試された実働のOSは存在しないでしょう。したがって、documentationがしっかりしていれば、あるいは勉強した人なら自分の頭で考えて、Unixを良くすることができます。
Windowsが不利な点として、それが理論的な考察が必ずしも得意でない人達によってscratchから書き起こされたことが考えられます。そうでなかったら、少なくともSunと同程度にはOS(特にkernelの技術)の論文を書いていてもおかしくないのですが。
Re:実際にLinuxはバグが多い (スコア:2, 興味深い)
Q1:あなたはウインドウヅを利用する為に、予め特別の勉強や作法を学びましたか?
ans2.ユーザ教育の難易度および教育期間
Q2:窓渦をクライアント利用しているユーザ(または友人)に対して、特別の勉強や作法を要求していますか?
# Linux(他多くのUNIX クローン)のユーザになるに際して
# 覚えてもらう事(やってよい事・悪い事)はたくさんありますが
# 特殊な用途を除いて、私を含めた周辺では
# 窓渦の操作マニュアルを読んだ事のある人が居ないです;)。
Re:実際にLinuxはバグが多い (スコア:1)
>Q1:あなたはウインドウヅを利用する為に、予め特別の勉強や作法を学びましたか?
そう、たしかに、クライアントとしてはWinのほうが「とっつきやすい」というのは
事実でしょうね。
作法としてはCTRL+ALT+DELくらいか(笑)
>ans2.ユーザ教育の難易度および教育期間
>Q2:窓渦をクライアント利用しているユーザ(または友人)に対して、特別の勉強や作法を要求していますか?
「HTMLメールを送信するな」とか(笑)
それぞれのOSの得意分野ってあるでしょう (スコア:1, 参考になる)
(少なくとも現時点では)linuxより上なのは確かでしょう。
逆に中小規模のサーバではlinuxやFreeBSDの方が得意
でしょう。
それをごっちゃにしちゃったら不毛な議論になるだけでしょう。
それぞれの長所/短所を見極めて適材適所に配置するのが優秀な
エンジニアってものです。
# ちなみに、私はlinux推進派です。
# Windowzは嫌いな人です。
Re:実際にLinuxはバグが多い (スコア:1)
それはどっちかってーと、「すぐれている点」というより
単に「まさっている点」と言ったほうが適切じゃないでしょうか?
>OS品質のデフレスパイラル
みんなこぞって低下してるんですか?(^^;;;;
Re:数字が逆だったら (スコア:2, すばらしい洞察)
わざわざ/.Jに投稿しません。
WinInfoがどんなサイトか良く知らないけど、ここで皆さんも
指摘されているように、あやふやな数字を声高に言い立てる
ことで、誤った認識を世間に広めるのはまずいことだと思う。
(バグ発見件数が少ない=安全なOSとか)
ちなみに私自身はWindowsよりLinuxの方がセキュアだなんて
思ってない(っていうか「セキュアなOS」を旗印にしている
OpenBSDを使っても、古いwu-Ftpdを使えば危険、あまりOSが
セキュアかどうか議論しても仕方ない)。
Outlook ExpressよりもSylpheedの方がウイルスに煩わされな
くて気が楽、とは思っているけど、これはセキュアかどう
かとは関係ないし(笑)。
Don't ask me why!