|
Anmeldungsdatum: Beiträge: 3381 |
Da kann man tatsächlich diskutieren.. hätte der snap-Entwickler, wenn es die snaps nicht gegeben hätte, eventuell sogar einen Weg in die offiziellen Repos gefunden? Sind die offiziellen Repos wirklich sicherer als die snaps? Das weiß ich wirklich nicht. Da habe ich auch noch nichts darüber gelesen. |
|
Anmeldungsdatum: Beiträge: 3381 |
Achso ja, was ich noch sagen wollte. Natürlich hat Canonical das dutzend an snaps getestet. An mir zum Beispiel, ich bin ja offizielles Versuchskaninchen mit meinem Ubuntu 19.10. Als das eine Dutzend, das klappt schon. 😉 Aber komm! Unleash the Kraken - äh lasst mal alle snaps raus und sehen, was dann passiert. Arma-get-it-on! 🤣 |
Anmeldungsdatum: Beiträge: 12084 |
Inwiefern negieren Fedoras Handlungen die Möglichkeit etwaiger ähnlicher Ambitionen Canonicals? Oder verstehe ich Dich falsch?
Natürlich beweist ein bisheriges Fehlen von Malware in den Repos nicht, dass sie prinzipiell sicherer sind. Trotzdem misstraue ich aufgrund des Fehlens (zumindest mir) bekannter Malware-Fälle in der langen Geschichte der Repos gegenüber bereits zwei bekannter Fälle in der weitaus kürzeren Geschichte des Snap-Stores ohne weitere Details über deren beider internen Abläufe Letzterem ersteinmal weitaus weniger. |
|
Anmeldungsdatum: Beiträge: 83 |
Klar sind offizielle Repos sicherer als Snap, probier mal in Debian Quellen einen Mining bot zu schleusen. Ein Ding nahe der Unmöglichkeit. |
|
Anmeldungsdatum: Beiträge: 3381 |
Der GIMP negiert die Behauptung des Ubuntu-Versuchskaninchen-seins. Nicht mehr und nicht weniger. |
Anmeldungsdatum: Beiträge: 16178 |
GIMP habe ich nur als Beispiel angeführt, es gab und gibt noch immer Beispiele, wo User sich unbewusst eine Snap-App durch Ubuntu Software installiert haben. Wären diese Apps in Ubuntu Software deutlich als Snap-App gekennzeichnet würde ich nichts sagen, so sehe ich es als Versuch an, User als Versuchskaninchen zu mißbrauchen und da negiert dein Beispiel mit GIMP bei Fedora überhaupt nichts! |
|
Anmeldungsdatum: Beiträge: 3381 |
Das würde voraussetzen, dass die Ubuntu-Store-Entwickler generell wissen, was sie tun. 😉 |
|
Anmeldungsdatum: Beiträge: 83 |
Ubuntu Snap Entwickler... du meinst Canonical, nenn das Kind doch beim Namen! |
|
Anmeldungsdatum: Beiträge: 12084 |
Also verstand ich Dich richtig. (freu 😀 ) Dann bleibt meine Frage, inwiefern Fedoras Handlungen die Möglichkeit solcher Ambitionen Canonicals negieren? Es sind zwei verschiedene Anbieter und Paketformate. |
|
Anmeldungsdatum: Beiträge: 3381 |
Weil der GIMP halt die eine Ausnahme ist, die in beiden Welten ähnlich angeboten wird. Vielleicht werden die GIMP snaps und Flatpaks von derselben Person maintained? Könnte ja sein. Jedenfalls kann man ausgerechnet aus dem GIMP keine Schlüsse ziehen, dass Canonical euch als Versuchskaninchen missbraucht. So sehe ich das. Sucht euch ein anderes snap als Beispiel aus. Mich würde es garnicht wundern, wenn jemand jetzt spontan einen Einfall hat. |
|
Ehemaliger
Anmeldungsdatum: Beiträge: 28316 |
Hallo,
Das Malware Problem in Quellen ist omnipräsent, das ist kein snap-Problem. Bei PyPi gab es manipulierte Python-Module, bei NPM manipulierte Module für node.js, im Google App Store für Android gab es Schadsoftware, ... Alles, was halbwegs Reichweite hat, ist interessant, um Malware zu verteilen. Und bei dezentralen Lösungen wie Flatpak geht das IMHO noch viel einfacher als bei zentralen Lösungen wie snap Store, PyPi etc. Gruß, noisefloor |
|
Anmeldungsdatum: Beiträge: 12084 |
… und eben im jungen Snap-Store ebenfalls bereits, aber in den viel länger existierenden Apt-Quellen meines Wissens noch nicht (ich lasse mich da gerne eines besseren belehren). Aus Benutzersicht ist mir da auch erstmal egal, ob das prinzipbedingt oder mangelhafte Kontrolle im Snap-Store ist, es ist bislang ein nicht unerhebliches Argument gegen den Store. Und die App-Stores von Google & Co. sind für mich absolut kein glänzendes Vorbild, das ist richtig. 😉 |
|
Ehemaliger
Anmeldungsdatum: Beiträge: 28316 |
Hallo,
Das stimmt. Was IMHO daran liegt, dass sie älter sind - damals, als die Welt noch gut war 😉 Bei PyPi und NPM war es AFAIK auch so, dass die Schadsoftware in Modulen mit ähnlichen Modulnamen verpackt war (z.B. Da es bei snap genau läuft weißt ich nicht, aber das es vieles noch nicht als snap gibt, hat man da mehr Möglichkeiten, manipulierte Pakete "namhafter" Software hochzuladen. In den Paketquellen ist ja vieles seit Jahren vorhanden und Maintainer zugewiesen. Da könnte man jetzt IMHO nicht so ohne weiteres ein z.B. PostgreSQL Paket in die Quellen schieben, was neben der DB an sich auch einen Keylogger und Remote Backdoor Zugang installiert. Gruß, noisefloor |
|
Supporter
Anmeldungsdatum: Beiträge: 52312 |
Das hat nichts mit älter zu tun, sondern daran, wie die Software dorthin kommt. Die Pakete in den offiziellen Paketquellen werden aus dem Quellcode gebaut, die Veränderungen/Anpassungen für die Distribution sind aus dem dazugehörigen In den Snapstore kann jedoch prinzipiell jeder alles hochladen. |
Anmeldungsdatum: Beiträge: 472 |
Das ist genau der Punkt. Endlich sagt hier mal jemand das Offensichtliche. |
