posts - 4238, comments - 3946, trackbacks - 370

My Links

News



Subscribe Subscribe

image image image





This is my personal weblog. These postings are provided 'AS IS' with no warranties, and confer no rights. The views expressed on this weblog are mine alone and do not necessarily reflect the views of my employer.

Licenza Creative Commons

Tag Cloud

Archives

Post Categories

Sempre a proposito di sicurezza...

E sempre dal post precedente di Paperino (ringrazio ogni giorno Mighell per avermi mostrato il suo blog):

...Qualche sedicente esperto di sicurezza va ancora affermando che "SQL Server è il Database per il quale lo scorso anno sono state trovate il maggior numero di vulnerabilità":

He cited SQL Server as an example. "It had the most vulnerabilities last year of any commercial database, so scrutiny will do nothing but good for its security."(fonte).

nonostante Jeff Jones dimostri, secunia alla mano, che il numero di vulnerabilità trovate da sempre per SQL 2005 sia stato 0 (e nonostante sia stato rilasciato 2.5 anni fa) e che l'ultima vera vulnerabilità di SQL server sia datata 2004. Dov'è la differenza tra l'approccio MS e quello della concorrenza? Sia Jeff che Feliciano concordano: merito dell'SDL, di cui ho abbondantemente disquisito in passato. E sull'SDL a questo punto vale la pena citare questa storia di Michael Howard:

A few years ago I spoke to some senior technical people from a large financial organization about software security. After visiting Microsoft they were off to visit another operating system vendor. I won't name names. The financial company was very interested in our early results, and they were encouraged by what they saw because of the SDL. I asked the most senior guy in the room to ask the other company one very simple question, "What are they doing to improve the security of their product? And by that I mean, what are they doing to reduce the chance security vulnerabilities will creep into the product in the first place? And they cannot use the word ‘Microsoft' in the reply." Two weeks later, the guy phoned me and said his company would buy Microsoft products and nothing from the other company. I asked him why. He said because all they could do was make up excuses (see the list at the start for examples!) rather than admit to having numerous critical security vulnerabilities and no process to reduce their ingress.

Morale della favola: se non sono bastati 4 anni di ottima condotta per convincere gli "esperti", sicuramente non basterà l'eternità per convincere i detrattori più accaniti.

Fonte: In mia assenza

Print | posted on mercoledì 2 aprile 2008 11:48 |

Feedback

Gravatar

# re: Sempre a proposito di sicurezza...

Finalmene cominciano ad uscire fuori !!!!
Negl ultimi anni non so per quale ragione pare che la stampa vada sempre contro microsoft, io credo sia arrivato il momento di riprenderci tutto .

GRAZIE LORENZO!!!!
02/04/2008 13:01 | dovella
Gravatar

# re: Sempre a proposito di sicurezza...

Beh... allora teniamoci i Recordset connessi... :-D
02/04/2008 14:45 | Lorenzo Barbieri
Gravatar

# re: Sempre a proposito di sicurezza...

Il fatto che in 2 anni e mezzo non abbiano trovato alcun baco di sicurezza in SQL Server e che in un anno Oracle abbia rilasciato fix per decine di bachi di sicurezza per il suo DB significa solo una cosa: che Oracle e' un'azienda seria e si preoccupa per la sicurezza dei suoi prodotti e Microsoft no! :D

P.S. Nel caso non fosse chiaro la mia e' una battuta...
02/04/2008 16:17 | EnricoG
Gravatar

# re: Sempre a proposito di sicurezza...

Grazie a te per i post sempre interessanti, e scusa per averlo "copincollato" totalmente, ma questo post esprime appieno quello che penso in entrambe le parti.
Ciao! :-)
02/04/2008 21:48 | Lorenzo Barbieri
Comments have been closed on this topic.

Powered by:
Powered By Subtext Powered By ASP.NET