Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
Ubunux schrieb: Der Start des Schnapsladens war ja sehr vielversprechend, das haben sie aber sowas von locker getestet, was macht da schon das bisschen Malware ... 😎
Da kann man tatsächlich diskutieren.. hätte der snap-Entwickler, wenn es die snaps nicht gegeben hätte, eventuell sogar einen Weg in die offiziellen Repos gefunden? Sind die offiziellen Repos wirklich sicherer als die snaps? Das weiß ich wirklich nicht. Da habe ich auch noch nichts darüber gelesen.
|
Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
Achso ja, was ich noch sagen wollte. Natürlich hat Canonical das dutzend an snaps getestet. An mir zum Beispiel, ich bin ja offizielles Versuchskaninchen mit meinem Ubuntu 19.10. Als das eine Dutzend, das klappt schon. 😉 Aber komm! Unleash the Kraken - äh lasst mal alle snaps raus und sehen, was dann passiert. Arma-get-it-on! 🤣
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12084
|
Dogeater schrieb: Da GIMP auch bei Fedora schon länger als Flatpak installiert wird, sehe ich da keine Ambitionen als Versuchskaninchen.
Inwiefern negieren Fedoras Handlungen die Möglichkeit etwaiger ähnlicher Ambitionen Canonicals? Oder verstehe ich Dich falsch? Dogeater schrieb: Sind die offiziellen Repos wirklich sicherer als die snaps? Das weiß ich wirklich nicht. Da habe ich auch noch nichts darüber gelesen.
Natürlich beweist ein bisheriges Fehlen von Malware in den Repos nicht, dass sie prinzipiell sicherer sind. Trotzdem misstraue ich aufgrund des Fehlens (zumindest mir) bekannter Malware-Fälle in der langen Geschichte der Repos gegenüber bereits zwei bekannter Fälle in der weitaus kürzeren Geschichte des Snap-Stores ohne weitere Details über deren beider internen Abläufe Letzterem ersteinmal weitaus weniger.
|
nurguggen
Anmeldungsdatum: 20. Juni 2018
Beiträge: Zähle...
|
Klar sind offizielle Repos sicherer als Snap, probier mal in Debian Quellen einen Mining bot zu schleusen. Ein Ding nahe der Unmöglichkeit.
|
Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
V_for_Vortex schrieb: Inwiefern negieren Fedoras Handlungen die Möglichkeit etwaiger ähnlicher Ambitionen Canonicals? Oder verstehe ich Dich falsch?
Der GIMP negiert die Behauptung des Ubuntu-Versuchskaninchen-seins. Nicht mehr und nicht weniger.
|
Ubunux
Anmeldungsdatum: 12. Juni 2006
Beiträge: 16178
|
GIMP habe ich nur als Beispiel angeführt, es gab und gibt noch immer Beispiele, wo User sich unbewusst eine Snap-App durch Ubuntu Software installiert haben. Wären diese Apps in Ubuntu Software deutlich als Snap-App gekennzeichnet würde ich nichts sagen, so sehe ich es als Versuch an, User als Versuchskaninchen zu mißbrauchen und da negiert dein Beispiel mit GIMP bei Fedora überhaupt nichts!
|
Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
Das würde voraussetzen, dass die Ubuntu-Store-Entwickler generell wissen, was sie tun. 😉
|
nurguggen
Anmeldungsdatum: 20. Juni 2018
Beiträge: 83
|
Ubuntu Snap Entwickler... du meinst Canonical, nenn das Kind doch beim Namen!
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12084
|
Dogeater schrieb: Der GIMP negiert die Behauptung des Ubuntu-Versuchskaninchen-seins. Nicht mehr und nicht weniger.
Also verstand ich Dich richtig. (freu 😀 ) Dann bleibt meine Frage, inwiefern Fedoras Handlungen die Möglichkeit solcher Ambitionen Canonicals negieren? Es sind zwei verschiedene Anbieter und Paketformate.
|
Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
Weil der GIMP halt die eine Ausnahme ist, die in beiden Welten ähnlich angeboten wird. Vielleicht werden die GIMP snaps und Flatpaks von derselben Person maintained? Könnte ja sein. Jedenfalls kann man ausgerechnet aus dem GIMP keine Schlüsse ziehen, dass Canonical euch als Versuchskaninchen missbraucht. So sehe ich das. Sucht euch ein anderes snap als Beispiel aus. Mich würde es garnicht wundern, wenn jemand jetzt spontan einen Einfall hat.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28316
|
Hallo,
Der Start des Schnapsladens war ja sehr vielversprechend, das haben sie aber sowas von locker getestet, was macht da schon das bisschen Malware ...
Das Malware Problem in Quellen ist omnipräsent, das ist kein snap-Problem. Bei PyPi gab es manipulierte Python-Module, bei NPM manipulierte Module für node.js, im Google App Store für Android gab es Schadsoftware, ... Alles, was halbwegs Reichweite hat, ist interessant, um Malware zu verteilen. Und bei dezentralen Lösungen wie Flatpak geht das IMHO noch viel einfacher als bei zentralen Lösungen wie snap Store, PyPi etc. Gruß, noisefloor
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12084
|
noisefloor schrieb: Das Malware Problem in Quellen ist omnipräsent, das ist kein snap-Problem. Bei PyPi gab es manipulierte Python-Module, bei NPM manipulierte Module für node.js, im Google App Store für Android gab es Schadsoftware, ...
… und eben im jungen Snap-Store ebenfalls bereits, aber in den viel länger existierenden Apt-Quellen meines Wissens noch nicht (ich lasse mich da gerne eines besseren belehren). Aus Benutzersicht ist mir da auch erstmal egal, ob das prinzipbedingt oder mangelhafte Kontrolle im Snap-Store ist, es ist bislang ein nicht unerhebliches Argument gegen den Store. Und die App-Stores von Google & Co. sind für mich absolut kein glänzendes Vorbild, das ist richtig. 😉
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28316
|
Hallo,
aber in den viel länger existierenden Apt-Quellen meines Wissens noch nicht
Das stimmt. Was IMHO daran liegt, dass sie älter sind - damals, als die Welt noch gut war 😉 Bei PyPi und NPM war es AFAIK auch so, dass die Schadsoftware in Modulen mit ähnlichen Modulnamen verpackt war (z.B. panda statt pandas ) und die Macher der Schadsoftware darauf spekuliert haben, dass jemand aus Versehen das falsche Paket installiert. Da es bei snap genau läuft weißt ich nicht, aber das es vieles noch nicht als snap gibt, hat man da mehr Möglichkeiten, manipulierte Pakete "namhafter" Software hochzuladen. In den Paketquellen ist ja vieles seit Jahren vorhanden und Maintainer zugewiesen. Da könnte man jetzt IMHO nicht so ohne weiteres ein z.B. PostgreSQL Paket in die Quellen schieben, was neben der DB an sich auch einen Keylogger und Remote Backdoor Zugang installiert. Gruß, noisefloor
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 52312
|
noisefloor schrieb: Das stimmt. Was IMHO daran liegt, dass sie älter sind - damals, als die Welt noch gut war 😉
Das hat nichts mit älter zu tun, sondern daran, wie die Software dorthin kommt. Die Pakete in den offiziellen Paketquellen werden aus dem Quellcode gebaut, die Veränderungen/Anpassungen für die Distribution sind aus dem dazugehörigen debian.tar.gz ersichtlich. Wer Pakete in die Quellen laden darf ist reglementiert. In den Snapstore kann jedoch prinzipiell jeder alles hochladen.
|
Udalrich
Anmeldungsdatum: 15. Mai 2019
Beiträge: Zähle...
|
tomtomtom schrieb: noisefloor schrieb: Das stimmt. Was IMHO daran liegt, dass sie älter sind - damals, als die Welt noch gut war 😉
Das hat nichts mit älter zu tun, sondern daran, wie die Software dorthin kommt. Die Pakete in den offiziellen Paketquellen werden aus dem Quellcode gebaut, die Veränderungen/Anpassungen für die Distribution sind aus dem dazugehörigen debian.tar.gz ersichtlich. Wer Pakete in die Quellen laden darf ist reglementiert. In den Snapstore kann jedoch prinzipiell jeder alles hochladen.
Das ist genau der Punkt. Endlich sagt hier mal jemand das Offensichtliche.
|