Ist der IIS 6.0 sicherer als Apache 2.0?

Dieser Frage geht Richard Monson-Haefel in seinem Weblog nach. Er vergleicht beide Webserver in Bezug auf die bekannt gewordenen Sicherheitslücken und ihren Marktanteil. Während etwa Secunia für den IIS 2004 nur zwei Sicherheitslücken erfasst hat, waren es beim Apache zwölf. Zu berücksichtigen ist dabei aber auch der größere Marktanteil des Open-Source-Webservers.

Irgendwie erinnert mich das stark an die Diskussion um den Internet Explorer. Aufgrund seines hohen Marktanteils war er natürlich das Hauptangriffsziel für allerlei Bösewichte. Jetzt, da Mozilla mit Firefox einen Browser mit nennenswerten Verbreitungsgrad im Programm hat, geht es den Open-Source-Programmierern nicht besser als Microsoft. Sie müssen einen Flicken nach dem anderen nachreichen.

Richard Monson-Haefel: Is Microsoft IIS 6.0 more secure than Apache HTTP Server 2.0?

2 Kommentare

  1. Kommentar von eckes am 8.05.05 00:32:

    Hallo,

    und dann kommt noch dazu, dass das Sicherheitsmodell des IIS stark in Windows integriet ist. Das hat zwar nicht nur Vorteile, aber es erlaubt die Abarbeitung jedes Requests im Context des Users (ohne komosche suexec Verränkungen). Grade bei Intranet Servern ist das wichtig. Man kann das daran erkennen, dass Apache noch kein WebDAV Modul zu bieten hat, das einigermassen vernünftig mit Filesystem ACLs und File Ownern zurecht kommt.

    Gruss
    Bernd

  2. Kommentar von Michael Pietroforte am 8.05.05 13:47:

    Ich glaube, ich höre zum ersten Mal, dass die für Microsoft typische Verquickung von hauseigenen Anwendungen mit Windows die Sicherheit erhöht. Man versucht damit im Allgemeinen, mehr Features zu bieten als die Konkurrenz. Wie dieses Beispiel zeigt, kann es sich dabei auch um Features handeln, die die Sicherheit erhöhen.