Microsoft IIS-ohjelmistosta löytyi uusi turva-aukko

Eipä jaksanut yllättää tämä uutinen. Microsoftin ohjelmista näyttää löytyvän, joka toinen viikko jokin vakava tietoturva-aukko (tyyliin Outlook). Heräisitte ihmiset ja ryhtyisitte käyttämään, vaikka Apachea tai mitä muuta tahansa webpalvelin ohjelmistoa, kunhan sillä ei ole mitään tekemistä Microsoftin kanssa! Ja tällä kommentilla en todellakaan halua käynnistää mitään Windows vs. Linux-sotaa, vaan sanon tämän, koska olen itse kyllästynyt Microsoftin bugisiin ohjelmiin (kuten varmaan monet muut) ja haluan ihmisten miettivän onko se Microsoftin IIS sittenkään paras vaihtoehto, vaikka se varmasti on helppokäyttöisempi, kuin esimerkiksi Apache, joka pyörii Unixin päällä.

Jos joku on joskus IIS:sää käyttänyt, niin tietää, että Indexing service ei mene itsekseen päälle serverin asennuksessa, vaan se pitää käynnistää erikseen käsin. Ts. tuo kyseinen bugi vaikuttaa vain murto-osaan IIS:ää ajavista koneista.

Karkeasti sanottuna 80%(90%) ISS-järjestelmiin kohdistuneista tietomurroista johtuu järjestelmän väärinkonfiguroinnista (+10%) huolimattomuudesta / välinpitämättömyydestä / ammattitaidottomuudesta(RTFM!) ja 10% ohjelman sisältämistä virheistä.

IIS ei ole äärettöman huono vaihtoehto valittaessa www-serverisoftaa. Henkilökohtaisesti valitsen apachen vain kustannussyistä, koska ei ole varaa lunastaa Microsoftin lisenssejä.

Ei se ole helppoa Sektorin toimituksellakaan. Jos uutisoidaan Linuxin uudesta aluevaltauksesta, niin joku itkee. Jos taas löytyy reikä IISistä ja se uutisoidaan, niin taas joku itkee. Tällä hetkellä tilanne vain on se, että Linux kiinnostaa ihmisiä, koska se on: a) ilmainen, b) vakaa c) suomalaisperäinen. Windowsit ovat jo levinneet niin laajalle, kuin ne voivat levitä. Se takia ei ole uutinen vaikka joku yritys ottaisikin 30 koneen Win2k-klusterin. Uutinen taas olisi se, jos klusteri olisi Linux-pohjainen, koska sellaisia ei Suomessa kovin paljoa ole. Windowsien/IISin ja Linuxien reijät on myös hyvä uutisoida, koska Sektoria lukevat paljon ihmiset, jotka ylläpitävät palvelimia.

Windowsia haukutaan ehkä turhaankin reikäiseksi, koska todellinen ongelmien aiheuttaja on IIS. Oletusarvot ovat niin onnettomat. Esimerkiksi Soneran Telsi-etäkoulutusjärjestelmän sivuja ja koodia pystyi kuka tahansa muokkaamaan Frontpagella, koska sitä ei oltu erikseen estetty. Työkaveri saa nyt kehua murtautuneensa Soneran palvelimelle, vaikka se sen vahingossa tekikin. :-) Ainakin WinNT 4.0 toimii melko luotettavasti, jos webbipalvelimena on esimerkiksi Domino. IIS taas on sellaista "amatöörien puuhastelua". Ominaisuuksia on, mutta niin on reikiäkin. Meillä on NT + Domino alustalla päästy lähes vuoden uptimeihin. Linuxeilla samaan vakauteen pääsee huomattavasti vähemmällä virittelyllä.

Ainakin tämä aiemmin löytynyt bugi oli krakkereiden tiedossa jo aiemmin kuin Microsoftin. Yksi meidän palvelimista oli murrettu neljän aikaan aamuyöstä, vaikka tiedote ja korjauspäivitys tuli vasta päivällä.

Microsoft on mainostanut Windowseja sillä, että "Halpa ostohinta ei tarkoita halpaa ylläpitoa" ja antanut tiedotteita, että "avoin koodi on riski yritykselle". Siltikin näyttää siltä, että kalliilla ostohinnalla saa mukanaan tukun reikiä ja huonosti testatun suljetun koodin. Lisäksi Windows-palvelinten vakaus ei todellakaan ole sitä, mitä esimerkiksi Linuxeissa ja Unixeissa.

Jospa tämä nyt kolmannella kerralla menisi läpi. Tuo GPRS ei ole mikään kaikista luotettavin keksintö. :-(

On muuten kivaa rahanmenoa firmoille jotka käyttävät iissää.. Muutaman viikon välein joutuu käymään asentamassa pätchiä siellä.. Ei mikään kauhean järkevä systeemi, varsinkaan jos ei halua käyttää mitään etähallintaa palvelimella tyyliin vnc.

Näissäkin asioissa pätee se, että hyvä/kokenut ylläpitäjä tekee työnsä oikein. En usko että Apache on sen turvallisempi kuin IISkään, ellei taustalla ole oikeasti henkilö joka tuntee veppiservon lisäksi myös alustan jolla tämä pyörii. Ei pelkkä esim Apache tee ratkaisusta turvallista.

Kaiken takana on alipalkattu admin :-)