staging.inyokaproject.org

Das man nicht jedesmal einen Roman schreiben kann ist schon klar, nur wer dem Link zu dem Artiel Fremdpakete folgt und sich nicht auskennt, wird doch wohl eher abgeschreckt.

Es ist halt die Frage, ob das bei jeder Software gleich gerecht fertigt ist, sowohl was das Risiko bezüglich Schadsoftware als auch das Risiko bezüglich technische Beschädigung des Systems anbelangt.

Gruß, Martin

Newubunti schrieb:

Es ist halt die Frage, ob das bei jeder Software gleich gerecht fertigt ist, sowohl was das Risiko bezüglich Schadsoftware als auch das Risiko bezüglich technische Beschädigung des Systems anbelangt.

Man könnte sowas bei Firefox vielleicht weg lassen, aber wo macht man dann die Grenze, wer entscheidet, was nun vertrauenswürdig ist und was nicht? Finde die Lösung besser, wenn der User sich da selbst Gedanken macht, der Artikel ist echt gut und sollte auch einem Anfänger ne gute Entscheidungsgrundlage bieten.

Wer sein System einfach nur benutzen will, der braucht sich nicht weiter Sorgen zu machen und wer immer alles als bleeding edge braucht, der muss sich halt informieren.

stfischr schrieb:

, der Artikel ist echt gut und sollte auch einem Anfänger ne gute Entscheidungsgrundlage bieten.

Ich sehe nicht, dass der Artikel einem Anfänger eine wirkliche Entscheidungsgrundlage bietet. Er erklärt dem Anfänger die potentiellen Risiken, lässt ihn dann aber damit allein.

Und gerade was Schadsoftware anbelangt ist es doch so, dass die Risiken, die ich bei etwa Firefox habe, eben so hoch sind, wie bei der Distribution selbst. Ntürlich könnte Mozilla es einfach mal versuchen, den Leuten Schadcode unter zu schieben, aber das könnte Canonical bei Ubuntu per Update ebenso machen.

Wo da der Unterschied hinsichtlich Fremdquelle und Distribution selber besteht, möge man mir dann mal bitte plausibel erklären. Hinzu kommt, wie soll den der Nutzer letztlich sicher sein, dass er Moziall oder sonst wem vertrauen kann? Das kann er gar nicht selbst entscheiden, sofern er den Code nicht lesen kann.

Und bei Software, die vom Distributor als Standardprogramm verwendet wird, würde ich eine Warnung weglassen, soweit nicht im speziellen Einzelfall technische Unverträglichkeiten bekannt sind.

Ich sag jetzt nicht, dass der Fremdquellen-Hinweis nicht auch seine Berechtigung hat, aber ich finde schon, dass er inflationär eingesetzt wird. Ob das im Endeffekt dann wirklich etwas bringt, möchte ich mal dahingestellt lassen.

Im Prinzip ist bereits die Distribution selbst eine Fremdquelle auf dem Rechner des Anwenders.

Gruß, Martin

Newubunti schrieb:

Ich sehe nicht, dass der Artikel einem Anfänger eine wirkliche Entscheidungsgrundlage bietet. Er erklärt dem Anfänger die potentiellen Risiken, lässt ihn dann aber damit allein.

Nunja, es ist nunmal am Anwender die finale Entscheidung zu treffen, wenn du jetzt hinschreibst "Firefox ist ok" und dann gibts mal nen Problem mit ner Libary und das halbe Ubuntu funktioniert nicht mehr dann hätte man sich auch den gesamten Artikel sparen können.

Und gerade was Schadsoftware anbelangt ist es doch so, dass die Risiken, die ich bei etwa Firefox habe, eben so hoch sind, wie bei der Distribution selbst. Ntürlich könnte Mozilla es einfach mal versuchen, den Leuten Schadcode unter zu schieben, aber das könnte Canonical bei Ubuntu per Update ebenso machen.

Jupp, aber wie im Artikel schon steht, man muss jemand vertrauen, Canonical vertraut man, sonst würde man Ubuntu nicht nutzen. Und für Fremdquellen muss man irgendwo ne Grenze ziehen. Und da es sehr schwer ist da ne vernünftige Grenze zu ziehen, sagt man halt alle Fremdquellen werden gleich behandelt. Es kommt auch auf die Menge der Quellen an, wenn ich nur Ubuntu vertraue, ist die Wahrscheinlichkeit geringer, dass was passiert, als wenn ich 50 Quellen drin hab (größere Angriffsfläche).

Wo da der Unterschied hinsichtlich Fremdquelle und Distribution selber besteht, möge man mir dann mal bitte plausibel erklären. Hinzu kommt, wie soll den der Nutzer letztlich sicher sein, dass er Moziall oder sonst wem vertrauen kann? Das kann er gar nicht selbst entscheiden, sofern er den Code nicht lesen kann.

Nein wenn ich den Code selbst lese, dann brauche ich nichtmehr vertrauen. Vertrauen ist, wenn ich den Code nicht lese.

Und bei Software, die vom Distributor als Standardprogramm verwendet wird, würde ich eine Warnung weglassen, soweit nicht im speziellen Einzelfall technische Unverträglichkeiten bekannt sind.

Wenn du das Managen willst gerne. Ansonsten wäre es einfacher nur die Warnungen weg zu lassen, wo man weiß, das es keine Unverträglichkeit gibt. Aber egal wie rum, irgendwer müsste da groß angelegte Tests machen, ich hab dafür nicht genug Freizeit. Und dann muss man auch noch dem vertrauen, der die Tests angeblich gemacht hat ...

Im Prinzip ist bereits die Distribution selbst eine Fremdquelle auf dem Rechner des Anwenders.

Nein Fremdquelle ist alles was nicht in den Ubuntu-Repros ist.

Wie gesagt, wenn du Ubuntu nicht vertraust, darfst du es nicht installieren, wenn du einer Fremdquelle nicht vertraust dito. Du vertraust darauf, das Firefox seine Versionen ausgiebig auf allen Ubuntukonfigurationen getestet hat und die nötige Sicherheit bereitstellt. Aber das ist eben deine eigene Einschätzung. Du kannst jetzt nicht rumrennen und jedem User erzählen, dass deine Einschätzung die einzige richtige ist.

Kann die Kritik nachvollziehen. Hab mir auch schon darüber Gedanken gemacht und bin dabei auf die Frage gekommen, ob es nicht sinnvoll wäre, eine Seite zu gestalten, auf der alle wichtigen PPAs gesammelt werden, oder gibts so etwas vielleicht sogar schon? Könnte man ja auch hier im Wiki machen, oder?

Interessant fänd ich das halt vor allem für die Endanwendungsprogramme, wie eben Firefox, Eclipse, Virtualbox, Amarok etc.. Systemsoftware wie xorg etc. sollten da weniger rein oder halt zumindest deutlich abgegrenzt.

€ Zum Sicherheitsproblem: Das ist natürlich gegeben, aber evtl. würde so eine Liste dies sogar verbessern. Weil vermutlich ist es so, dass jemand der nicht all zu viel Ahnung von dem ganzen hat auch so nur nach "Firefox 4 Ubuntu" bei Google sucht und dann das erste PPA das er dafür findet einbindet. Von daher wäre so eine Liste vielleicht sogar ein Vorteil.

DrKolossos schrieb:

Interessant fänd ich das halt vor allem für die Endanwendungsprogramme, wie eben Firefox, Eclipse, Virtualbox, Amarok etc.. Systemsoftware wie xorg etc. sollten da weniger rein oder halt zumindest deutlich abgegrenzt.

Das fände ich auch sehr interessant und vor Allem hilfreich.

Kleiner Hinweis am Rande: Eigentlich ist z.B. im Falle Firefox Canonical die "Fremdquelle"...und nicht Mozilla. 😉

DeJe schrieb:

DrKolossos schrieb:

Interessant fänd ich das halt vor allem für die Endanwendungsprogramme, wie eben Firefox, Eclipse, Virtualbox, Amarok etc.. Systemsoftware wie xorg etc. sollten da weniger rein oder halt zumindest deutlich abgegrenzt.

Das fände ich auch sehr interessant und vor Allem hilfreich.

Kleiner Hinweis am Rande: Eigentlich ist z.B. im Falle Firefox Canonical die "Fremdquelle"...und nicht Mozilla. 😉

und vor allem sind auch jegliche warnhinweise bzgl ppa absurd wenn die ppa von mozilla direkt zur verfügung gestellt wird... diese warnhinweise sind mir schon lang ein dorn im auge, die schrecken die nutzer viel zu sehr ab, jemand der nicht so warm mit computern ist wird sich doch nie trauen treiber (die er unter umständen braucht, und die auch stabil sind) aus nem xorg ppa zu installieren, wenn da groß drauf steht : " Warnung!!! ULTRAGEFÄHRLICH!!!" .

esnervt schrieb:

und vor allem sind auch jegliche warnhinweise bzgl ppa absurd wenn die ppa von mozilla direkt zur verfügung gestellt wird...

Ich sehe, du hast die News vom Mozilla-Sicherheits-GAU nicht mitbekommen.

Eher zum Thema (aber eher Richtung Ubuntu): Ich dachte, Ubuntu wollte in den nächsten Versionen einführen, dass man auch Updates rolling release mäßig für bestimmte Programme wie eben den Firefox-Browser oder LibreOffice etc.pp. bekommen kann. Also über die offiziellen Paketquellen. Muss man halt dann "firefox4" statt "firefox" installieren. War doch so geplant, oder nicht?

Also:

Windows bietet ein Grundsystem. Stimmt. Es hat keinerlei Paketverwaltung, also muss man sich um die Aktualisierung seiner Programme selber kümmern.

Wenn man immer und unbedingt die neueste Version haben will, kann man das unter Linux genauso machen, auch richtig.

Zu den PPAs:

Die Fremdquellen-Warnung steht dort nicht umsonst. Es ist nicht die Regeln, dass die Pakete in den PPAs vom Hersteller des Programmes stammen.

Vielmehr handelt es sich bei PPAs um komplett ungeprüfte Fremdquellen, in die der Ersteller so ziemlich alles hineinpacken kann.

Auch gibt es viele PPAs mit Entwicklungsversion von Programmen.

Da es aber unter den Ubuntu-Anwendern (und gerade den Anfängern) anscheinend immer mehr Mode wird, sich ungeprüft PPAs zu den Quellen hinzuzupacken, die oft umfangreicher sind als die eigentlichen Quellen, ist diese Warnung mehr als angebracht.

Sie wird halt nur von den meisten völlig ignoriert und wir dürften die Folgen hier im Support ausbaden.

Doofb43r schrieb:

nicht mit PPA's kommen, die man in Ubuntu integrieren kann. Aber sowas will kein Einsteiger machen; bzw. birgt viele Gefahren mit sich.

Installationen und unterschiedliche Aktualisierungsmodelle von .exe-Files von sonstwoher zusammengeklaubt sind natürlich so viel sicherer und einfacher.

Du machst im Übrigen den Fehler, Dich überhaupt auf Diskussionen mit Windows-Usern einzulassen (wenn Du da nicht sattelfest bist).

ChemicalBrother schrieb:

esnervt schrieb:

und vor allem sind auch jegliche warnhinweise bzgl ppa absurd wenn die ppa von mozilla direkt zur verfügung gestellt wird...

Ich sehe, du hast die News vom Mozilla-Sicherheits-GAU nicht mitbekommen.

ah und das kann canonical natürlich nicht passieren. ich sehe!

edit: und die rolling release pakete von canonical... da hat halt ein innovativer kopf laut nachgedacht, aber natürlich wurde das im keim erstickt.

DrKolossos schrieb:

nur nach "Firefox 4 Ubuntu" bei Google sucht und dann das erste PPA das er dafür findet einbindet.

Und der sucht dann auf einmal im Wiki und zwar nicht nach "Firefox 4" sondern nach "Liste mit PPAs"? Hört sich sehr wahrscheinlich an ...

DeJe schrieb:

Das fände ich auch sehr interessant und vor Allem hilfreich.

Wie gut, dass es das schon gibt: Firefox

stfischr schrieb:

DrKolossos schrieb:

nur nach "Firefox 4 Ubuntu" bei Google sucht und dann das erste PPA das er dafür findet einbindet.

Und der sucht dann auf einmal im Wiki und zwar nicht nach "Firefox 4" sondern nach "Liste mit PPAs"? Hört sich sehr wahrscheinlich an ...

Naja, man könnte ja von den jeweiligen Seiten der Programme dort hin verlinken, dann könnte ich mir das durchaus vorstellen. Aber auch wenn mein Beispiel vielleicht wirklich nicht das beste war, so wäre es wohl trotzdem für viele hilfreich. Was spricht denn gegen so eine Liste? Das Sicherheitsproblem, ja, aber ich glaube eben nicht, dass es damit verschlimmert wird, oder seht ihr das anders?

Doofb43r schrieb:

Windows released jede 2-3 Jahre eine neue Version und in der Zwischenzeit ändert sich diese Grundbasis nicht. Anders als bei den Programmen, welche man installieren kann: die hat man eigl immer auf dem neusten Stand.

Und dieses Modell kenne ich unter Linux eigl. nur von Chakra.

Unter Linux kenne ich es gar nicht, ich habe aber Chakra auch noch nie benutzt. Aber unter FreeBSD (und unter Open- und NetBSD meines Wissens auch) ist das das Standardverhalten, denn hie gibt es eine klare Trennung zwischen der "Base", also dem Betriebssystem, und der zu installierenden Software. Man kann hier also ziemlich problemlos die Software, die über die Ports (sozusagen das Pendant zu Repositories) aktualisieren und hat immer das neuste vom neuen OHNE die Base anzutasten. Man kann hier sogar NUR das Betriebssystem aktualisieren und die installierte Software unangetastet lassen. Ein Konzept, was ich unter Linux doch ein wenig vermisse. Das klingt alles kompliziert, aber an sich ist es recht simpel ☺

Chakra Linux basiert auf Arch

http://distrowatch.com/table.php?distribution=chakra