staging.inyokaproject.org

aasche schrieb:

stfischr schrieb:

Wo ist das Problem, die Änderung notfalls zurück zu nehmen?

Keine Ahnung... allerdings warte ich (immer noch) auf konkrete Vorschläge, in welchem (bestehenden) Wiki-Artikel der betreffende Abschnitt denn am besten aufgehoben wäre (so dass er von interessierten Lesern moeglichst schnell gefunden werden kann).

Praedestiniert waere IMHO der Artikel Unity. Andere Vorschläge?

+1 … passt da besser als im derzeitigen Artikel.

a) → es betrifft ja nur den Unity Desktop und nicht die anderen
b) → Ubuntu 12.10 und keine Version davor verfügt über diese Amazon-Linse

deshalb wäre der bessere Ort/Artikel → Unity

noisefloor schrieb:

Hallo,

Wegen einer Warnung zu einer Lense jetzt nen extra Artikel erstellen halte ich nicht für Sinnvoll.

Ich auch nicht. Aber wir haben _keine_ Artikel zu Lenses, unabhängig davon, was diese tun. Das meinte ich.

Ein extra Artikel wegen dieser "Spyware-Linse" wäre zu viel des guten, aber vorläufig diese "Spyware-Info" im Artikel Unity platzieren bis ein Artikel für Linsen als Anwendungen geschrieben ist wäre besser.

Abschnitt zur Amazon-Suche nach Unity (Abschnitt „Problembehebung“) verschoben und einen Link dorthin gesetzt.

redknight schrieb:

Entweder du willst zur Diskussion HIER beitragen, dann müssen auch deine Argumente hier stehen, oder du willst es nicht.

Ok, wiederholen wir die Diskussion halt hier.

Richtig. Sicherheit ist ein Konzept, dass ich an meinen Bedürfnissen ausrichten muss. Dazu zählt Information.

Nur kann man eben Informationen deutlich preis geben oder aber auch bewusst verschleiern. Das ist schon auch noch mal einen Unterschied. Nur weil ich irgendwo irgendwas hinschreibe, heißt das noch nicht, dass ich den Nutzer wirklich in dessen Sinne aufklären will.

Bisher wird - und eben gerade auch im hiesigen Artikel - behauptet, dass es unter Ubuntu keine Programme gäbe die den Nutzer ausspionieren würden. Als Beispiel wird zuvor die Übertragung von Tintenfüllständen, als ein solches Ausspionieren kategorisiert.

Die Shopping-Lens überträgt Suchanfragen, die ich in die Dash eingebe an an Canonical und dann irgendwie aufbereitet an Amazon. Das ist qualitativ sogar noch schlimmer, als die Übertragung von Tintenfüllständen.

Diese Aufklärung muss dem Produkt selbst schon beiliegen und nicht irgendwo wahrnehmbar sei, wobei ja der unbedarfte Nutzer - der sich Ubuntu z.B. nach Abflauen der Diskussion installiert - erst mal wissen muss, wo diese andere Stelle ist, an der er das nachlesen kann.

Wer einfach so Sachen installiert, ohne sich darüber im klaren zu sein, dem ist nicht zu helfen.

Ich installiere mir die Lens aber nicht bewusst einfach so, sondern die wird mit Ubuntu vorinstalliert, dass das so ist muss ich erst mal wissen. Woher?

Und das vor dem Hintergrund, dass man in der Vergangenheit immer erzählt bekommen hat, dass es bei Ubuntu keine Einstellungen gäbe, die ich erst rückgängig machen muss, damit meine Daten sicher sind.

Also warum muss ich nun ausgerechnet mit 12.10 auf ein mal damit rechnen, dass sich das nun geändert hat?

In 12.04 gibt es auch Unity, auch die Dash und da wird nichts übertragen.

Und was mich sowieso bei Deiner ganze Argumentationskette wundert:

Wenn das alles jetzt schon so klar für den Nutzer hervortritt, so dass Du ihm unterstellst, dass er selber schuld sei, wenn er das mit der Shoppinglense nicht mitbekommt, warum behauptest Du dann auf der anderen Seite, dass das ganz noch besser publik gemacht werden könnte?

Wenn Ubuntu an einer Aufklärung der Nutzer wirklich interessiert wäre:

• Warum hat dann Mark Shuttleworth auf die ersten Kritiken bezüglich der Lens behauptet, dass es sich bei den Einblendungen von Amazon gar nicht um Werbung handele.

• Warum gibt es dann kein Abfrage-Popup der Zustimmung zur Datenübertragung.

• Warum heißt der Link in der Dash - den man auch leicht übersehen kann - "legal note" und nicht wenigstens "privacy note" oder noch besser "privacy warning"

• Warum behält sich Canonical in der legal note vor, die legal note zu ändern und behauptet dabei, dass sie über diese Änderung den Nutzer nicht direkt informieren könnten und es dem Nutzer oblige, sich von "Zeit zu Zeit" über Änderungen von sich aus zu informieren?

• Warum geht aus der legal note nicht klar hervor, unter welche Umständen was an wen übertraten wird?

Gruß, Martin

Newubunti schrieb:

Richtig. Sicherheit ist ein Konzept, dass ich an meinen Bedürfnissen ausrichten muss. Dazu zählt Information.

Nur kann man eben Informationen deutlich preis geben oder aber auch bewusst verschleiern. Das ist schon auch noch mal einen Unterschied. Nur weil ich irgendwo irgendwas hinschreibe, heißt das noch nicht, dass ich den Nutzer wirklich in dessen Sinne aufklären will.

Richtig. Ich habe auch vorher bereits geäussert, dass ich mir das klare Hinweise wünschen würde, sowie die Möglichkeit die Lens bereits bei der Installation abzuwählen.

Bisher wird - und eben gerade auch im hiesigen Artikel - behauptet, dass es unter Ubuntu keine Programme gäbe die den Nutzer ausspionieren würden. Als Beispiel wird zuvor die Übertragung von Tintenfüllständen, als ein solches Ausspionieren kategorisiert.

Der Artikel hier hat nichts mit Canonical zu tun. Und ein Paket, das nun mal, wir müssen uns mit der Situation abfinden, zum Installationsumfang gehört, muss anders behandelt werden als die Gefahren, denen man sich durch unbedachtes Fehlbedienen aussetzen kann. Es soll ja auch durchaus Menschen geben, die eine derartige Funktion für sinnvoll erachten. Man sollte also _emotionslos_ Vor- und Nachteile darlegen und dem user so die Möglichkeit geben, selbst zu entscheiden. Das passierte bei den ersten Einträgen nicht. Darauf wollte ich hinaus.

Die Shopping-Lens überträgt Suchanfragen, die ich in die Dash eingebe an an Canonical und dann irgendwie aufbereitet an Amazon. Das ist qualitativ sogar noch schlimmer, als die Übertragung von Tintenfüllständen.

Aha, das ist ein Punkt. Vom Standpunkt der Datensicherheit ist es aber qualitativ weniger schlimm. Denn durch die Kommunikation des besagten Treibers mit dem Hersteller direkt ist es möglich, dass der Hersteller die exakte Zeit meines Ausdrucks mit meiner IP-Adresse und damit meiner Person in Verbindung bringt und damit Verbrauchsprofile für exakt meine Person erstellt. Amazon kann durch die (angekündigte) Anonymisierung der Daten und der Proxy-Funktion von Canonical kein Profil von mir erstellen und die Daten auch nicht speziell meinem Account zuordnen. Wenn Du jetzt sagst, du vertraust auch Canonical nicht, ist dir die Meinung gestattet, allerdings darfst Du dann konsequent auch keine Software von Canonical nutzen.

Nochmals: Ich bin weder mit der automatischen Installation noch der Information seitens Canonical zufrieden, aber es ist auch nicht der Angriff, als der es gern dargestellt wird. Das herauszustellen, fehlt mir bisher, in jeder Art Edit die hier vorgeschlagen wurde.

Diese Aufklärung muss dem Produkt selbst schon beiliegen und nicht irgendwo wahrnehmbar sei, wobei ja der unbedarfte Nutzer - der sich Ubuntu z.B. nach Abflauen der Diskussion installiert - erst mal wissen muss, wo diese andere Stelle ist, an der er das nachlesen kann.

Wer einfach so Sachen installiert, ohne sich darüber im klaren zu sein, dem ist nicht zu helfen.

Ich installiere mir die Lens aber nicht bewusst einfach so, sondern die wird mit Ubuntu vorinstalliert, dass das so ist muss ich erst mal wissen. Woher?

Zumindest hast Du das Upgrade auf 12.10 bzw die Installation des selben bewusst gemacht. Ich weiß, dass das spitzfindig klingt, aber die nötige Interaktion beim Update soll eben auch davor schützen, dass Du etwas installierst über dessen Folgen Du dir nicht bewusst bist und was Du nicht geprüft hast. Ich weiderhole jetzt nicht nochmal, was mein Standpunkt zur Information als solche ist. Aber verfügbar war sie.

Und das vor dem Hintergrund, dass man in der Vergangenheit immer erzählt bekommen hat, dass es bei Ubuntu keine Einstellungen gäbe, die ich erst rückgängig machen muss, damit meine Daten sicher sind.

Also warum muss ich nun ausgerechnet mit 12.10 auf ein mal damit rechnen, dass sich das nun geändert hat?

Weil du dich vor der Installation einer Software über sie informierst. Auch wurde hier nie "Deine Daten sind sicher" gesagt, meines Wissens nach. Zumindest in Supportthreads weisen wir im Gegenteil immer darauf hin, dass Sicherheit nie absolut und ein ständiger Prozess ist.

Wenn das alles jetzt schon so klar für den Nutzer hervortritt, so dass Du ihm unterstellst, dass er selber schuld sei, wenn er das mit der Shoppinglense nicht mitbekommt, warum behauptest Du dann auf der anderen Seite, dass das ganz noch besser publik gemacht werden könnte?

Ich sage nicht, dass es klar hervortritt, aber dass man es wissen kann.

Wenn Ubuntu an einer Aufklärung der Nutzer wirklich interessiert wäre:

Diese Fragen sind sehr gut und sollten in die endgültige Information einfließen.

aasche schrieb:

Praedestiniert waere IMHO der Artikel Unity. Andere Vorschläge?

.. zusätzlich zu Unity noch Installation ?

realzippy schrieb:

aasche schrieb:

Praedestiniert waere IMHO der Artikel Unity. Andere Vorschläge?

.. zusätzlich zu Unity noch Installation ?

Bei Unity sollte es genügen, zumindest bei es einen Artikel mit bzw für Lense → Unity gibt. Denn bei Installation würde das schon wieder einen wichtigen Zusatz gebe müssen der klar stellt das dies nicht bei allen Ubuntu Versionen der Fall ist, sondern nur bei 12.10 mit Unity.

redknight

Also warum muss ich nun ausgerechnet mit 12.10 auf ein mal damit rechnen, dass sich das nun geändert hat?

Weil du dich vor der Installation einer Software über sie informierst. Auch wurde hier nie "Deine Daten sind sicher" gesagt, meines Wissens nach. Zumindest in S Supportthreads weisen wir im Gegenteil immer darauf hin, dass Sicherheit nie absolut und ein ständiger Prozess ist.

Und, weil der normale Anwender die Release Notes liest und damit Informiert ist was auf ihn/sie zukommt. 😉

realzippy schrieb:

Praedestiniert waere IMHO der Artikel Unity. Andere Vorschläge?

.. zusätzlich zu Unity noch Installation ?

hmmh... am Ende ist ein Abschnitt "Sonstiges" enthalten, wo es reinpassen koennte... Aber meiner ganz persoenlichen Meinung nach gehoert das Thema zum Komplex "Unity", da es sich (bisher) nicht um ein allgemeines Ubuntu-Problem handelt. Ich ziehe da einen Vergleich mit der kuerzlich geaeusserten Anfrage, eine Warnbox vor Windows8-kompatibler Hardware ins Wiki einzupflegen (basierend auf extrem negativen Erfahrungen mit zwei globalen IT-Konzernen...).

Irgendwo muss IMHO mal eine Grenze gezogen werden. Die Nutzung von Ubuntu ist freiwillig, niemand wird gezwungen, sich das Gespann Ubuntu/Unity oder Ubuntu ueberhaupt zu installieren. Und wenn Probleme jeglicher Art auftauchen, steht es jedermann/jederfrau genauso frei, sich wieder von Ubuntu zu verabschieden.

redknight schrieb:

Der Artikel hier hat nichts mit Canonical zu tun.

Aber mit Ubuntu und die Übertragung der Daten erfolgt durch Ubuntu. Fakt ist - und das war meine Aussage - dass in dem Artikel bisher stand, dass es bei Ubuntu keine ungewollten Hintergrundübertragungen gäbe und das als Beispiel für eine ungewollte Hintergrundübertragung, die Übertragung von Tintenfüllständen im Artikel steht.

Und ein Paket, das nun mal, wir müssen uns mit der Situation abfinden, zum Installationsumfang gehört, muss anders behandelt werden als die Gefahren, denen man sich durch unbedachtes Fehlbedienen aussetzen kann.

Was willst Du damit aussagen, dass vorinstallierte Spyware wenige schlimm ist?

Du hältst Dich einfach nicht an die Definition von Spyware, die Du hier selber ins Spiel gebracht hast und führst nun wieder ein Kriterium auf, dass es in dieser Definition gar nicht gibt.

Die entscheidenden Punkte bei Spyware sind, dass die Übertragung der Daten ohne Wissen oder Zustimmung des Nutzers erfolgt.

In der Definition steht weder etwas von Deinstallierbarkeit noch von einer Differenzierung in Vorinstalliertes und ungewollt verschuldetes Installieren von Datenübertragungs-Software.

Es soll ja auch durchaus Menschen geben, die eine derartige Funktion für sinnvoll erachten. Man sollte also _emotionslos_ Vor- und Nachteile darlegen

Auch das hat mit der Definition von Spyware nichts zu tun.

und dem user so die Möglichkeit geben, selbst zu entscheiden.

Selbst entscheiden ist dagegen immer ein gutes Kriterium, setzt allerdings gesichertes und nicht mutmaßliches Wissen voraus. Und Du setzt einfach voraus, dass der Nutzer das Wissen im Fall der Shopping-Lens hat und er muss es - im Sinne von Datenschutz-Bestimmungen - nun mal gesichert haben und nicht nur haben können.

Die Shopping-Lens überträgt Suchanfragen, die ich in die Dash eingebe an an Canonical und dann irgendwie aufbereitet an Amazon. Das ist qualitativ sogar noch schlimmer, als die Übertragung von Tintenfüllständen.

Aha, das ist ein Punkt. Vom Standpunkt der Datensicherheit ist es aber qualitativ weniger schlimm. Denn durch die Kommunikation des besagten Treibers mit dem Hersteller direkt ist es möglich, dass der Hersteller die exakte Zeit meines Ausdrucks mit meiner IP-Adresse und damit meiner Person in Verbindung bringt und damit Verbrauchsprofile für exakt meine Person erstellt. Amazon kann durch die (angekündigte) Anonymisierung der Daten und der Proxy-Funktion von Canonical kein Profil von mir erstellen und die Daten auch nicht speziell meinem Account zuordnen.

Jetzt klammerst Du schon mal aus - zu Deinem Abschluss-Satz dieses Absatzes komme ich gleich noch - dass das Canonical genauso möglich ist. Canonical kann all das was Du hier aufzählst auch anfertigen.

Das entscheidende beim Datenschutz ist, dass sich die Daten aus Deinem Kontrollbereich herausbewegen. Was anschließend damit geschieht, ist reine Vertrauenssache und entzieht sich der persönlichen Einflussnahme. Das bedeutet nämlich praktisch auch, dass selbst wenn Du Canonical vertraust, immer noch die Möglichkeit besteht, dass ein Mitarbeiter bei Canonical oder ein Dritter die Daten illegal abfängt und dann weiter vernetzt. Die Konsequenz ist dann praktisch genauso, wie wenn Canonical das selbst legal tun würde. Das so etwas in der Praxis häufiger vorkommt, als uns lieb ist, dafür gibt es genug Beispiele.

Deswegen ist die Aufklärung über das Senden der Daten der entscheidende Knackpunkt, ebenso wie das vermeiden von unnötigen Datenerhebungen. Und Aufklärung betreibt hier Canonical mit der Shopping-Lens - sowie es in 12.10 - geschieht nicht.

Du kannst mir aber auch gerne die Stelle auf ubuntu.com zeigen, auf der das mit der Datenübertragung deutlich hervorgeht. Das einzige was für Deine These spricht, ist der Link "legal notice". Zu dem habe ich oben schon einiges gesagt.

Wenn Du jetzt sagst, du vertraust auch Canonical nicht, ist dir die Meinung gestattet, allerdings darfst Du dann konsequent auch keine Software von Canonical nutzen.

Das ist richtig, setzt aber wiederum voraus, dass ich erst mal weiß, dass Canonical Dinge tut, die mein Vertrauen erschüttern. Und meine Konsequenz wird in der Tat sein, dass Ubuntu 12.04 mein letztes Ubuntu sein wird, wenn Canonical das weiter so handhabt wie mit 12.10.

Allerdings musst Du zugeben, dass die Konsequenz beim Drucker genau die gleiche sein müsste.

Nochmals: Ich bin weder mit der automatischen Installation noch der Information seitens Canonical zufrieden, aber es ist auch nicht der Angriff, als der es gern dargestellt wird. Das herauszustellen, fehlt mir bisher, in jeder Art Edit die hier vorgeschlagen wurde.

Das ist sachlich zunächst richtig. Allerdings erfolgt diese von Dir geforderte Differnzierung in der bisherigen Fassung des Artikels - also bevor die Lens-Problematik angesprochen wurde - auch schon nicht in dem Abschnitt mit den ungewollten Datenübertragungen.

Ich hatte in meinem Post zu dem Edit genau das gleich gefordert - hinsichtlich der Lens - was Du jetzt hier vorschlägst. Eine sachliche genaue Beschreibung des Vorgangs, indem ich selber schrieb, dass das Wort "Spyware" dabei gar nicht fallen müsste.

Allerdings habe ich darüber hinaus gefordert, dass man dann in dem besagten Abschnitt auch eine entsprechende Verhältnismäßigkeit herstellt.

Warum man diese Verhältnismäßigkeit nicht herstellen soll müssen, hast Du hier überhaupt nicht überzeugend darlegen können, stattdessen hast Du ziemlich künstliche Unterscheidungen der beiden Sachverhalte vorgenommen.

Gruß, Martin

Hallo,

den Satz von redknight finde ich übrigens wichtig:

Die DATENSICHERHEIT hat nur bedingt etwas mit der Anwendungssicherheit zu tun.

Im Artikel geht es in der Tat primär um Systemsicherheit, also das keiner bzw. nicht von draußen nach drinnen kommt. "Andersrum" wird im Artikel quasi nicht thematisiert.

Ist IMHO auch ein eigenes Thema, weil "von drinnen nach draußen" andere Schutzmaßnahmen und Konfigurationen braucht als "von draußen nach drinnen".

Gruß, noisefloor

noisefloor schrieb:

Die DATENSICHERHEIT hat nur bedingt etwas mit der Anwendungssicherheit zu tun.

Im Artikel geht es in der Tat primär um Systemsicherheit, also das keiner bzw. nicht von draußen nach drinnen kommt. "Andersrum" wird im Artikel quasi nicht thematisiert.

Aber dort steht doch auch was über Spyware und Trojaner? Beides Programme die von innen Daten nach außen schicken.

Hallo,

ja, schon. Darum will man ja auch in der Regel verhindern, dass die Dinger auf's System kommen (außen → innen) und nicht "nur" die Kommunikation derer mit ??? vermeiden (innen → außen). Das ist ja schon die Notbremse 😉

Gruß, noisefloor

Und wenn ich, z.B. von meinem Xubuntu aus ein

apt-get install unity

mache, kommt das Programm dann nicht von außen?

noisefloor schrieb:

Hallo,

den Satz von redknight finde ich übrigens wichtig:

Die DATENSICHERHEIT hat nur bedingt etwas mit der Anwendungssicherheit zu tun.

Im Artikel geht es in der Tat primär um Systemsicherheit, also das keiner bzw. nicht von draußen nach drinnen kommt. "Andersrum" wird im Artikel quasi nicht thematisiert.

1. Bin ich der Auffassung, dass der Artikel eine derartige scharfe Trennung zwischen Daten- und Systemsicherheit nicht vornimmt, weil er in der Einleitung schon mal ganz allgemein nur von Malware spricht.

2. Zitiere ich jetzt - nicht zum ersten mal - die von mir bemängelte Stelle:

* Sie blockiert unerwünschte Zugriffe auf das Internet für Programme, die man absichtlich oder unabsichtlich (Viren, Trojaner) auf seinem Computer installiert hat. Beispielsweise Druckertreiber, die Verbrauchsdaten an den Hersteller melden, Medienplayer, die ihre Hersteller über die eigenen Musikvorlieben aufklären oder versteckte Spionageprogramme. Unter der Software, die über die Ubuntu-Quellen installiert werden kann (die jeden Anwendungsbereich abdeckt, aber unter Umständen nicht das eigene Lieblingsprogramm enthält), gibt es keine solchen Spionageprogramme.

Wenn es in diesem Abschnitt nicht um die Richtung von innen nach außen geht, dann weiß ich auch nicht. Im übrigen ist der zweite Satz - wenn man die Beispiele davor sieht - für 12.10 schlichtweg falsch.

3. Bin ich der Auffassung, dass es bei Privat-Systemen - und das dürfte ja wohl immer noch die Großzahl der Ubuntu-System sein - letztlich vornehmlich um Datensicherheit geht. Und selbst wenn es nicht um diese gehen sollte - in dem Artikel - dann sind die Beispiele in dem zitierten Abschnitt einfach schlechte Beispiele.

4. Ist der Abschnitt fachlich fragwürdig, weil suggeriert wird, dass man mit einer PFW Kontakt von innen nach außen sicher erkennen und unterbinden könne. Es wäre IMO überhaupt kein Schaden für den Artikel, wenn man den zitierten Abschnitt - so wie er im Moment ist - streichen würde.

Gruß, Martin

Hallo,

strfisch

kommt das Programm dann nicht von außen?

Sicher - aber du _willst_ bei der Installation ja, dass es von außen kommt. Ein bewusster Vorgang. Das wäre ja so, als wenn du z.B. unter Win wissentlich eine .exe-Datei runterlädtst und ausführst, bei der du weißt, das ein Trojaner drin ist.

Ansonsten gebe ich Newubunti in weiten Teilen seines letzten Posts recht. Der ganze Artikel war ja schon mehrmals in der Kritik, weil er in Teilen vielleicht wirklich nicht mehr zeitgemäß ist... Der Artikel datiert zurück auf September 2005. Da war die Situation anders. a) war Linux / Ubuntu damals noch ein echter Underdog (gegenüber Win). b) Waren damals "echte" Viren noch halbwegs aktuell, während heute andere Malware viel verbreitetet ist.

Das Problem des Artikels ist IMHO, dass er schwer umschreibbar / aktualisierbar ist. Besser wäre - wenn - ein kompletter Re-Write. Dann gerne auch mit dem Fokus auf die Sicherheit (-skonzepte) von Desktops. Wer sich dazu berufen fühlt - nur zu. ☺

Gruß, noisefloor

noisefloor schrieb:

strfisch

kommt das Programm dann nicht von außen?

Sicher - aber du _willst_ bei der Installation ja, dass es von außen kommt. Ein bewusster Vorgang. Das wäre ja so, als wenn du z.B. unter Win wissentlich eine .exe-Datei runterlädtst und ausführst, bei der du weißt, das ein Trojaner drin ist.

Nee, ich weis eben nicht, dass da Spyware/Trojaner drin ist. Sonst würde ich es ja nicht installieren.