Apache mit mehr Sicherheitslöchern als IIS

Stefan Demetz hat sich die Mühe gemacht, die in den letzten elf Monaten auf SecurityFocus erfassten Sicherheitslücken für den IIS (Version 6) und für den Apache zu zählen.

Dabei glänzte der Open-Source-Webserver mit 30 Sicherheitslücken, während für den IIS nur 11 bekannt wurden. Nachgezählt habe ich das nicht. Wer es nachprüfen will, sollte in die Feedbacks gucken.

Eine Erklärung, warum der einst so löchrige IIS auf einmal besser dasteht als der Apache, könnte dieser Beitrag auf SecurityFocus liefern.

6 Kommentare

  1. Kommentar von Tobias Mueller am 1.04.04 09:45:

    Welche Aussagekraft steckt da jetzt dahinter?

    Tobias Müller hat sich die Mühe gemacht, die seit dem 01.06.1999 im SecurityFocus erfassten Sicherheitslücken für den IIS und für den Apache zählen zu lassen.

    Dabei glänzte der IIS mit 115 Sicherheitslücken, während für Apache nur 108 bekannt wurden.

    Wer sucht sich den Software nach solchen Kriterien aus?

  2. Kommentar von Martin am 1.04.04 17:54:

    Michael, du legst es wirklich drauf an, oder?
    Nein, ich werf keinen hering – noch nicht!!!

    Naja, dein weiterführender Link ist dann ja auch sehr aufschlussreich. Dabei wird ganz nach dem Motto gearbeitet: „Wenn der PC aus ist, dann kann er keine Probleme machen“ =o)

  3. Kommentar von Michael Pietroforte am 1.04.04 20:15:

    @Tobias Die unterschiedlichen Ergebnisse der Zählungen von Stefan Demetz und Tobias Müller zeigen doch, dass sich da jüngst, nämlich seit dem Erscheinen der Version 6 des IIS, etwas Grundlegendes geändert hat. Es ist noch gar nicht so lange her, da sind sehr viele IIS-Anwender aus Sicherheitsgründen auf Apache umgestiegen. Zu Recht, wie ich meine. Dieser Trend könnte sich jetzt wieder umkehren. Die Apache-Entwickler täten gut daran, solche Zahlen ernst zu nehmen, sonst muss demnächst wieder ein Gericht einschreiten und eine Windows-Version ohne IIS fordern.

  4. Kommentar von Tobias Müller am 2.04.04 08:44:

    @Michael Es kommt doch darauf an, was ich mit einem Webserver machen will. Soll er statische Webseiten anbieten die einmal im Jahr akualisiert werden?

    Inter-/Intra-/Extranet? Welche Zugriffszahlen werden erwartet? Welche Backendsysteme sollen wie eingebunden werden? Wenn die Kriterien feststehen und bewertet sind, wird ein System ausgesucht. Solche Gerichtsurteile/Klagen sind eigentlich ein Armutszeugnis für die Konkurrenz.

    Schönes Wochenende.

  5. Kommentar von Michael Pietroforte am 4.04.04 18:35:

    Tobias, Du hast da natürlich Recht, Sicherheit ist immer nur ein Kriterium von vielen. Wenn allerdings die Sicherheitslücken so eklatant sind, wie das vor kurzem noch beim IIS der Fall war, ist es schon ein ziemlich gewichtiges Kriterium.

  6. Kommentar von stefand am 6.10.04 00:19:

    http://dotnetjunkies.com/WebLog/stefandemetz/archive/2004/10/05/27720.aspx