Home > Articulos & Tutoriales, SQL Server > Comparado con Oracle, Microsoft SQL Server es más seguro

Comparado con Oracle, Microsoft SQL Server es más seguro


Gracias a Ana Catalina quien es miembro de la comunidad UNALDOTNET por encontrar esta info acerca de la comparacion entre Oracle y SQL Server, en este articulo y los links adjuntos podemos ver varias de las diferencias y similitudes entre estos dos grandes de la tecnologia en lo que refiere a las bases de datos.

 Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro

 ——————————————————————–

David Litchfield, reputado investigador de seguridad (especializado
en bases de datos) demuestra, aportando su extensa experiencia,
que la base de datos Microsoft SQL Server es mucho más segura que
Oracle. Ha publicado un informe que según él, no deja lugar a dudas.

El documento estudia la seguridad de Microsoft SQL Server y Oracle
basándose en fallos (sólo en su cantidad, no en su gravedad) reportados
por investigadores externos y solucionados por el fabricante. Sólo se
han incluido problemas que afectan a la propia base de datos. Por
ejemplo no se han incluido vulnerabilidades de Application Server o
Intelligent Agent de Oracle ni MDAC (que se considera parte de Windows,
no del servidor) de Microsoft.

El documento ofrece unas gráficas muy claras, que comparan los productos
bandera de Oracle (Database 8, 9 y 10) contra Microsoft SQL Server 7,
2000 y 2005 durante los últimos años. Si bien la versión 7 de Microsoft
sufrió numerosos problemas de seguridad, desde entonces han disminuido
drásticamente hasta la versión 2005, que no sufre ninguno. Mientras, los
problemas de seguridad en Oracle han crecido de forma desproporcionada.

Litchfield achaca estos resultados de forma determinante al “Security
Development Lifecycle” que desarrolla Microsoft para su producto, de
forma que “aprende de sus errores” mientras que Oracle parece no tener
nada de esto, tropezando una y otra vez en la misma piedra, y lo que es
peor, ni siquiera parecen entender los problemas que están intentando
resolver.

El autor, consciente de que a pesar de lo objetivo de los números las
pruebas pueden levantar suspicacias, se adelanta a las posibles
controversias que surgirán a partir de su informe y responde por
adelantado algunas cuestiones.

* No, Oracle no “parece tan malo” por ser multiplataforma. Esto no
distorsiona los datos. Casi todos sus problemas de seguridad afectan
a todas las plataformas.

* Sí, hay varios investigadores intentando encontrar fallos en el
servidor SQL 2005 de Microsoft. Y su código es más seguro. Es tan simple
como que no los encuentran.

Litchfield además, muestra en las gráficas sólo fallos públicos y
solucionados, y adelanta que a Oracle todavía le quedan al menos 49 por
corregir y no están incluidos en las estadísticas del informe. Como
experto y descubridor de la mayoría de los fallos de Oracle que se
muestran, se siente con la autoridad suficiente como para que sus
resultados no sean refutados. Para él, si se busca seguridad, la
elección está clara.

En Microsoft, obviamente, ya notaron su ventaja con respecto a la
seguridad y realizaron su propio estudio. En una entrada en un blog
oficial titulado “1 Year And Not Yet Counting…”, comparan las
vulnerabilidades listadas en CVE (Common vulnerabilities and Exposures)
de Oracle, MySql e IBM Database contra SQL Server 2005. Sus resultados
son también esclarecedores. Oracle, seguido de MySql e IBM, sufren todos
más vulnerabilidades que el producto de Microsoft (versión 2005). De
hecho, todavía no se le ha encontrado ninguna desde que fue lanzado hace
más de un año.

Se agradecen este tipo de informes que abordan la seguridad desde un
punto de vista fuera de misticismos y prejuicios. Litchfield no tiene
relación con Microsoft, de hecho ha encontrado muchas vulnerabilidades
en casi todos sus productos (aunque bastantes más en Oracle, donde se
siente especialmente “cómodo”). Por tanto, no es sólo una típica
comparación sobre quién es “menos inseguro” en una discusión basada en
opiniones y gustos, sino que avala la robustez en un producto bien
conseguido (además de una importante deficiencia en Oracle ya apuntada
en otros boletines) que bien merece ser mencionada.

Más información:

Which database is more secure? Oracle vs. Microsoft
http://www.databasesecurity.com/dbsec/comparison.pdf

SQL Server 2005 – 1 Year And Not Yet Counting…
http://blogs.technet.com/security/archive/2006/11/07/sql-server-2005-1-year-and-not-yet-counting.aspx

  1. coco
    August 3, 2007 at 11:36 pm

    Mira que tengo que leer estupideces todos los dias… pero esta es muy estupida.

    Amigo, Oracle es inseguro y MSSQL tambien lo es… pero lamentablemente para MS, SQLServer sigue siendo un productito de juguete…

    Desde una perspectiva de cliente consumidor de DB en negocios banca y seguros, opino que SQLServer no sirve para nada…

    Saludos.

    PD: Estoy en una implantacion de una compañia de seguros en la que el modulo basado en SQLServer es muy pobre, mientras que en Oracle es una roca sólida, veloz, y potente…

  2. Gerardo
    August 4, 2007 at 9:54 am

    Hola que tal:

    Tu opinion es 100% valida, tienes razon todos los sistemas son inseguros pero puedo ver que no has podio utilizar MSSQL en todo su potencial, posiblemente Oracle sea superior a MSSQL Server en algunos apectos pero te puedo asegurar que SQL Server no es de juguete, como alguna vez lei “el potencial esta en las personas no en las herramientas”.

    Exitos!!!

    Gerardo Ramos – Microsoft Student Partner

  3. Alejandro Moreno
    August 7, 2007 at 1:56 pm

    Hola,
    definitivamente la persona que diga que MSSQL Server es un juguete no es mas que uno de esos muchos “religiosos” que ven en MS al diablo mismo, por lo general uno tiene que leer estupiedeces como esta en donde se hacen calificaciones subjetivas y no se tienen en cuenta los argumentos presentados, no se tiene en cuenta que sea como sea se trata de tecnología, es eso tecnología, no se trata de que me gusta y que no me gusta o de si odio o no a Bill Gates, se trata de que me convine usar y que no; que me puede dar mejores resultados, yo invitaria a todos esos “religiosos” a que aprendan a ser profesionales objetivos e inparciales, se sorprenderían de las cosas con las que se pueden encontrar.
    Repito, argumentemos.
    Gerardo tines toda la razón el poder de una herramienta no está en la herramienta misma sino en como las personas podemos explotarlas.

    Saludos.

  4. Norman Ydrogo
    October 23, 2007 at 10:36 am

    Llevo utilizando mas de 5 años productos Microsoft, entre ellos SQL Server 7.5 y 2000. La verdad es que es un buen producto que satisface ampliamente las necesidades de mi negocio con una inversion relativamente aceptable. Siempre he leido cada cosa de los productos Microsoft, pero muchos de ellos de verdad que no son ciertos. Un detalle importante, hay n productos para cada necesidad.

    Saludos !

  5. Eubir Robinson Saviñon Estrella
    January 9, 2008 at 12:10 pm

    hola
    soy del politacnico oscus san valero , y creo que el comentario de nustro compallero :Alejandro moreno .

    soy estudiante de informatica i asta ahora tengo entendido que serves noes un jugete
    sino un sevidor para la base de datos

  6. thauroos
    March 20, 2009 at 6:41 pm

    No creao que sea buena idea discutir sobre las fortalezas y debilidades de dos productos cuando al hacerlo solamente se conoce a uno de ellos (A nivel de poder emitir opinión).

    Algunas comparaciones pueden caer en la figura de comparar limones y naranjas (sin importar el tamaño, son frutas parientes pero diferentes.

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: