Gedanken und News im Bereich Sicherheit
Die Microsoft Trustworthy Computing initiative soll neu für Bereiche Sicherheit und Privacy im Internet erweitert werden. An der RSA Konferenz von letzter Woche, hat Microsoft ihre entsprechende Vision und die IT-Industrie Call-to-action namens "End-to-end Trust" bekanntgegeben. Um mehr darüber zu erfahren lesen Sie das Whitepaper "Establishing End to End Trust", von Scott Charney, Microsoft Corporate Vice President, Trustworthy Computing. Sie können auch am Microsoft's End to End Trust Forum mitwirken und Ihre Meinung dazu kund tun.
Die TWC Initiative war und bleibt eine wichtige Basis damit sich Microsoft Technologien im business kritischen Einsatz bewähren können. So hat TWC und das "neue" Sicherheitsbewusstsein auch beigetragen, dass u.a. SQL-Server auffallend WENIGE Produkte Schwachstellen (product vulnerabilities) aufweist. Interessanterweise ist die allgemeine Meinung bezüglich diesem Fakt im Vergleich zu anderen Herstellern aber noch ganz anders: Haben Sie aber gewusst, dass SQL Server seit 2004 keinen (NULL...) Product Vulnerability aufweist versus Mitbewerber Oracle, welcher in der gleichen Zeit hunderter solcher Schwachstellen aufweist? Es geht mir hier nicht darum andere Hersteller zu diskreditieren (im Gegenteil!), sondern nur um aufzuzeigen wie weit sich Microsoft diesbezüglich verändert und markant verbessert hat. Persönlich habe ich es aber einfach satt, wenn ich undifferenzierte, alte "Sicherheits"-Vorwürfe erhalte, die von Marketing-Sprüchen anderer Hersteller kommen (geht es Ihnen hier gleich? -- ich verweise hier darum gerne auf Fakten:
- eWeek:
https://www.eweek.com/c/a/Security/Oracle-Warns-of-Critical-DB-Server-Vulnerabilities/
“Two of these vulnerabilities may be remotely exploited without authentication, i.e., may be exploited over a network without the need for a username and password," the company warned.”- Unbreakable?:
https://blogs.technet.com/dataplatforminsider/archive/2008/04/14/unbreakable.aspx- SQL Server - Fact Checking Recent Vulnerability History:
https://blogs.technet.com/security/archive/2008/03/05/sql-server-fact-checking-recent-vulnerability-history.aspx- Vergleich:
https://www.databasesecurity.com/dbsec/comparison.pdf
Ist doch durchaus interessant, oder? Natürlich soll man sich NIE in falscher Sicherheit wiegen - auch Microsoft nicht! Ich bitte Sie einfach, hierzu ganz genau die Fakten (aller Hersteller) anzusehen und miteinander zu vergleichen, was aus Sicherheits-Sicht getan wird. Für den Bereich SQL und Security wird mit SQL-Server 2008 u.a. eine weitere spannende Sicherheits Funktionalität der transparenten DB-Verschlüsselung auf den Markt kommen (d.h. ohne dass die Applikationen verändert/angepasst werden, die Daten verschlüsselt werden -- mehr dazu in folgenden Blog-Einträgen bzw. TechNet Events zu SQL Server 2008). Hier verweise ich vorläufig auf die beiden SQL-Server Seiten und weitergehenden Security Infos:
Und wenn wir schon so schön über Security sprechen, wie schaut denn die allgemeine Lage im PC-Client Bereich aus? Der Windows Vista One Year Vulnerability Report analysiert die Aufdeckung von Schwachstellen sowie den entsprechenden Security Updates für das erste Jahr von Windows Vista im Kontext mit dem Vorgänger Windows XP und vergleicht dies weiter auch mit anderen Workstation Betriebssystemen wie Red Hat, Ubuntu und Apple. Hier gibt es ergänzend noch ein Vergleichs Chart