Ubuntu中文论坛

xport 写了：万恶之源就是IE和Windows高度整合且还支持ActiveX ！

watercloud 写了：

lonestone 写了：我认为主要还是linux继承了unix的优秀的权限机制。

关键的一点是 执行文件执行需要权限

我不认为是win用的多，病毒所以多，linux用的少，病毒少，用linux做服务器的多了去了，难道黑客不感兴趣？

Unix权限机制的确是对Windows的先天优势，但NT4的内核是VMS起来的，也是Unix的一个分支，安全机制真正用起来也不弱。
关键还是它定位为主要是单用户使用，定位不同。

其实大家都搞错了一个问题，开源软件安全漏洞就少么？
不是。开源软件更方便安全分析人员找漏洞，而且找到的漏洞并不会都公开，不一定都修复。好处是漏洞数量收敛很快。
Windows闭源，但有更全面的专业测试。但由于闭源，漏洞数量收敛很慢。

很多时候我们说哪个系统安全，都把应用软件也算进去了，比如windows我们把Office/IE/Outlook啥都算了，
这样算来Linux问题也很多，firefox安全问题比IE少？不见得。 OpenOffice漏洞就少了，也不见得，我朋友1天就给他找了20多个安全问题。KDE漏洞就少了？
关键还是用的人多了，发现漏洞的概率就大；而且用的人多了，攻击者的目标群体就大了，里面含有的商业机会就大了，给它找漏洞的人就多了，所以漏洞，木马也就多了。比如攻击Windows偷网上交易密码的木马就发展很快，它会利用一切可利用的漏洞。相对Linux攻击获取的利益就少多了。
真正直接获取利益就是攻击大量的个人用户和攻击商用大机获取数据，前者比较容易实施，后者你看金融都用IBM AIX/HP-UX ...，都放在内网，想当难攻击。攻击在公网的WEB服务器，邮件服务器很难，因为他们只开放了1个对外服务，这时候攻击的是这个服务，如apache，难度很大，而且管理员不会在上面装什么软件，攻击途径也少多了，所以现在的攻击都转向了攻击客户端，而客户端自然要大面积撒网，所以攻击对象就转向了windows用户群了。

看看这两年oracle用的多了，漏洞也就多了，以前很少；最以前Unix漏洞很多，后来Unix系统少了，而Windows起来了，所以可以看到Unix漏洞现在很少了，大家不关心了，而windows的漏洞则增长很快。
我本人给HP-UX/AIX/Solaris/Linux 找过很多漏洞(一部分在bugtraq上可以查到)，深刻的感受到了用户量对漏洞数目的影响趋势，现在找安全漏洞的人都去win平台了

lisir 写了：Unix至少设立了三层内部边界来防范恶意用户或有缺陷的程序。一层是内存管理：Unix用硬件自身的内在管理单元（MMU）来保证各自的进程不会侵入到其它进程的内在地址窨。第二层是为多用户设置的真正权限组──普通用户（非root用户）的进程未经允许，就不能更改或者读取其他用户的文件。第三层是把涉及关键安全性的功能限制在尽可能小的可信代码块上。在Unix中，即使是Shell也不是什么特权程序。


而Windows中大多数程序都不能用脚本调用。程序间依赖复杂脆弱的远程过程调用（RPC）来，这是滋生BUG的温床。
Unix的系统配置和用户配置数据分散存放在众多的dotfiles（名字以“.”开头的文件）和系统数据文件中，而NT则集中存放在注册表中。
注册表使得整个系统完全不具备正交性。应用程序的单点故障就会损毁注册表，经常使得整个操作系统无法使用、必须重装。
注册表蠕变（registry creep）现象：随着注册表的膨胀，越来越大的存取开销拖慢了所有程序的运行。
互联网上的NT系统因易受各种蠕虫、病毒、损毁程序以及破解（crack）的攻击而臭名昭著。原因很多，但有一些是根本性的，最根本的就是：NT的内部边界漏洞太多。
NT有访问控制列表，可用于实现用户权限组管理，但许多遗留代码对此视而不见，而操作系统为了不破坏向后兼容性又允许这种现象的存在。在各个GUI客户端之间的消息通讯机制也没有安全控制，如果加上的话，也会破坏向后兼容性。
虽然NT将要使用MMU，出于性能方面的考虑，NT3.5后的版本将系统GUI和俦内核一起塞进了同一个地址窨。为了获得和Unix相近的速度，最新版本的NT甚至将Web用品也塞进了内核空间。
由于这些内部边界漏洞的协合疚，要在NT上达到真正的安全实际上是不可能的。如果入侵者随便作为什么用户把一段代码运行起来（例如，通过Outlook email宏功能），这段代码就可以通过窗口系统向其它任何运行的应用程序发送虚假信息。只要利用缓存或GUI及Web服务器的缺口就可以整个系统。

这是《Unix编程艺术》中的一部分，我看不太懂，给明白人看看吧。