Mike1
Anmeldungsdatum: 2. Januar 2008
Beiträge: 2092
Wohnort: Niederösterreich
|
adun schrieb: Es ist vollkommen unmöglich einen halbwechssicheren Netzzugang mit Adobes Flashplugin an Bord zu gestalten. Die Forderung danach geht ins absurde. C't und BSI hätten sich damit bis auf die Knochen blamiert.
Nach dem man das Flashplugin sowieso nicht installiert mitliefern darf hätte man wenigstens nen Installer auf eigene Gefahr anbieten können. Gibt schließlich Websiten bei denen (bescheuerterweise) essentielle Sachen wie die Navigation mit Flash gemacht sind.
|
primus_pilus
Ehemalige
Anmeldungsdatum: 8. Oktober 2007
Beiträge: 9144
Wohnort: NRW
|
Mike1 schrieb: Nach dem man das Flashplugin sowieso nicht installiert mitliefern darf hätte man wenigstens nen Installer auf eigene Gefahr anbieten können. Gibt schließlich Websiten bei denen (bescheuerterweise) essentielle Sachen wie die Navigation mit Flash gemacht sind.
Ich denke mal die CD ist für den Einsatz im Bereich Online-Banking gedacht. Oder kennt ihr jemanden der ernsthaft nur mit einem Live System arbeitet?
|
schwalbe93
Anmeldungsdatum: 14. September 2008
Beiträge: Zähle...
|
ich weiß auch nicht, was daran so kompliziert ist, sowas zu erstellen. Man nimmt einfach Ubuntu mit dem Firefox und den Tor-Botton. Fertig!!!
|
DSL-Surfer
(Themenstarter)
Anmeldungsdatum: 20. Oktober 2007
Beiträge: 882
Wohnort: Osthessen
|
Hallo, hier noch ein paar Infos zur "Sicher surfen CD": Das Boot-Menü sieht folgende 3 Startvarianten vor (grafisch komprimiert dargestellt): Ungültiges MakroDieses Makro ist nicht verfügbar Im Firefox ist das Add-on "Flashblocker" von Hause aus nicht aktiviert; man kann dies aber natürlich machen. Aktiviert ist "NoScript". Zur Flash-Problematik schreibt das Heft:
"Der verbreitete Flash-Player gibt Internetvideos wieder. Da er tief im Browser verwurzelt ist, sind Fehler in dieser Software besonders gefährlich. Auf der "Sicher surfen CD" kommt stattdessen das sichere Programm Gnash zum Einsatz.
Einziger Nachteil: Gnash funktioniert nicht mit allen Videoportalen."
Zu dem Scroll-Problem von Firefox habe ich Euch hier mal ein Video hoch geladen (2,6 MB): http://kongshare.com/?d=Dukh7cgqM7-BadScroll.avi Ihr hört es ja: Selbst die Überbelastung des Mausrades bringt nichts ... Gruß DSL-Surfer
|
Mike1
Anmeldungsdatum: 2. Januar 2008
Beiträge: 2092
Wohnort: Niederösterreich
|
DSL-Surfer schrieb: Zu dem Scroll-Problem von Firefox habe ich Euch hier mal ein Video hoch geladen (2,6 MB): http://kongshare.com/?d=Dukh7cgqM7-BadScroll.avi
Ich klick auf »here« um den Download zu starten und es tut sich gar nichts ☹
|
MattiasSchlenker
Anmeldungsdatum: 2. September 2009
Beiträge: Zähle...
|
Astorek schrieb:
Zum Thema: Jepp, da hat die Computerbild entweder einen mächtigen Bock geschossen, oder für diese Eventualität wenigstens eine Möglichkeit bereitgestellt, Flash einfach nachzuinstallieren. (Ich glaube aber Ersteres...)
Hi, Punkt zwei trifft zu! Flash war ein ziemliches Dilemma: Entweder etwas relativ instabiles (Flash 10, mit PaX) oder etwas komplett löchriges (Flash 9) auszuliefern, kam nicht in Frage. Dazu kommt, dass ein Flashplugin im Adressraum des FF-Prozesses läuft, bei Gnash die kritische Komponente jedoch als eigener Prozess. Es gibt jedoch einen ganz einfachen Weg, Flash nachzuinstallieren (Fragen nur per Mail an mich). Ich war an der Entwicklung dieser CD beteiligt und es gab einige gute Gründe, keine gewöhnliche Desktop-Distri als Basis zu verwenden. Da waren zunächst die Forderungen des BSI nach Integration eines Mandatory Access Control Mechnismus (hierfür kommt SMACK von Casey Schaufler zum Einsatz) und PaX als Schutz vor Speicherüberläufen. Beide machen einige Änderungen an Startscripten, Pfaden etc. erforderlich, zudem musste volle Kontrolle über die Build-Optionen aller Pakete vorhanden sein. Basis ist daher eben LFS mit einer Sammlung von Start-, Build- und Abhängigkeitserkennungs-Scripten, an denen ich seit einer ganzen Weile arbeite (→ blog.lesslinux.org). Die gesamte Build-Umgebung wird ab ca. 17. September zum Download bereitstehen (davor nur GPL-konform Sourcen und die Buildparameter der einzelnen Pakete). PaX und SMACK sind Performance-Hogs. Falls Ihr einen Vergleich haben wollt, mache ich bei einem der nächsten Updates mal einen Build ohne Branding mit einem ganz normalen Standardkernel. Dann könnt Ihr selbst mal ausprobieren, wie groß der Impact ist. Einer der Punkte, der gegen die Verwendung einer Desktop-Distri als Basis sprach, war eine stärkere Modularität des Live-Systems als bei Ubuntu, Knoppix und Co. typisch ist. Statt einem Container mit dem gesamten RootFS und einem Overlay-Filesystem kommen eben für /opt, /usr, /lib, die Kernelmodule eigene Container zum Einsatz. Das erlaubt ein recht kompaktes Updates mit Xdeltas. Bei der Aktualisierung von /opt lege ich ein Xdelta opt.xd3 ins Containerverzeichnis, die Bootscripte finden das Delta und wenden es an. So können auch kleinere Updates verteilt werden, ohne dass es Probleme gibt. Wer sich weiter umschaut, wird zudem erkennen, dass viele Programme in /bin oder /sbin nur Softlinks auf die Busybox in /static/bin im Initramfs sind. Das System ist an sich sehr flexibel aufgebaut. Wir haben hier experimentell eine 200MB-Version gebaut, die sich komplett und ohne NFS-Server (alles im InitramFS) via PXE booten lässt (vielleicht erinnert sich noch jemand an meine PXE-DamnSmall-Mods?). Daneben sind viele andere Anwendungen denkbar, die eben mehr Flexibilität erfordern als mit einer "full fledged" Distri erreichbar. Das ganze ist eben konsequent als primäres Live-System für besondere Zwecke ausgelegt. Mit einer kompletten Desktop- oder Server-Distri können und wollen wir es nicht aufnehmen, schon weil ein kleines Team von ein paar Leuten eben nur eine hohe dreistellige, maximal niedrig vierstellige Zahl von Paketen betreuen kann.
|
MattiasSchlenker
Anmeldungsdatum: 2. September 2009
Beiträge: 7
|
burli schrieb: Ich vermute, da läuft alles über VESA Treiber. Da kann man keine Performance erwarten
Beim "Schnellstart" wird Xvesa verwendet. Der ist kompakt und dead simple zu starten und läuft auch dort, wo Xord mit dem Vesa-Modul zickt. Beim "Komplettstart" kann man zwischen Xvesa und Xorg auswählen. Xorg hier aber auch nur mit freien Treiber. Xv hat damit bei einigen Karten brauchbare 2D-Beschleunigungen, bei anderen nicht. YMMV. Ein Tipp für diejenigen, die sich als Root im System umschauen wollen. Mit dem Bootparametert allowsudosu=1 darf man in der Shell dann auch sudo su ausführen. Natürlich wird dabei das beim Start (nur "Komplettstart") vergebene Passwort abgefragt.
|
DSL-Surfer
(Themenstarter)
Anmeldungsdatum: 20. Oktober 2007
Beiträge: 882
Wohnort: Osthessen
|
Mike1 schrieb: DSL-Surfer schrieb: Zu dem Scroll-Problem von Firefox habe ich Euch hier mal ein Video hoch geladen (2,6 MB): http://kongshare.com/?d=Dukh7cgqM7-BadScroll.avi
Ich klick auf »here« um den Download zu starten und es tut sich gar nichts ☹
Bei mir geht es! Hat noch jemand Probleme mit dem Download? @ MattiasSchlenker Vielen Dank für die ausführlichen und interessanten Infos aus erster Hand.. Ist eigentlich beabsichtigt, die CD künftig im Netz zum Download anzubieten oder bekommt man diese ausschließlich als Beilage der Computer-BILD? Gruß DSL-Surfer
|
Mike1
Anmeldungsdatum: 2. Januar 2008
Beiträge: 2092
Wohnort: Niederösterreich
|
DSL-Surfer schrieb: Mike1 schrieb: DSL-Surfer schrieb: Zu dem Scroll-Problem von Firefox habe ich Euch hier mal ein Video hoch geladen (2,6 MB): http://kongshare.com/?d=Dukh7cgqM7-BadScroll.avi
Ich klick auf »here« um den Download zu starten und es tut sich gar nichts ☹
Bei mir geht es! Hat noch jemand Probleme mit dem Download?
Interessant auch wie Midori auf das »here« reagiert:
mike@mikespc:~$ midori
** Message: NP_Initialize
** Message: NP_Initialize succeeded
** Message: NP_Initialize
** Message: NP_Initialize succeeded
Segmentation fault
mike@mikespc:~$ Mit Kazehakase klappt es aber ☺
|
MattiasSchlenker
Anmeldungsdatum: 2. September 2009
Beiträge: 7
|
DSL-Surfer schrieb:
@ MattiasSchlenker Vielen Dank für die ausführlichen und interessanten Infos aus erster Hand.. Ist eigentlich beabsichtigt, die CD künftig im Netz zum Download anzubieten oder bekommt man diese ausschließlich als Beilage der Computer-BILD?
Es wird – wie bereits angedeutet – neutrale Builds (Testbuilds) geben, die ohne Computerbild-Branding zum freien Download bereitstehen. Die werden nicht im Update-Stream der CoBi-Version stehen und eben auch nicht weiteren Prüfungen durchs BSI unterliegen. Dazu kommt natürlich, dass ich die gesamte Build-Umgebung in einer Form bereitstellen werde, die geringe Hürden auftut. Konkret: Ein VMware-Image mit einem Ubuntu als Build-Umgebung (unser System ist noch nicht zu 100% "self containing"). Es liegt mir und den Kollegen in Hamburg viel daran, dass auch Ideen von außerhalb Eingang finden. Klar, dass Builds für die CB-Leserschaft vielleicht etwas stärker "simplifiziert" werden als Builds, die ich für die Community mache – aber das ist halt so ein Zielgruppending, dass auch die Community respektieren sollte, wenn ihr an der Verbreitung von Linux gelegen ist. Im Übrigen darf jedes verwendete Konzept hinterfragt und diskutiert werden. SMACK schien uns wegen der recht einfachen Konfiguration für eine "narrow purpose" System geeigneter als SELinux oder AppArmour, ich bin aber auch offen für Erfahrungsberichte zu Tomoyo und bin bereit, diese mit dem BSI zu diskutieren. Was ich nicht leiden kann, ist eine Diskussion, die mit Vorurteilen aufgeladen ist: Das BSI ist ein neutraler IT-Dienstleister des Bundes, das Sicherheitskonzepte für die Kommunikation des Auswärtigen Amtes mit seinen Botschaften ausarbeitet, wertvolle Hinweise zur Sicherung von Firmennetzen genauso liefert, wie Tipps für den privaten Surfer mit eher geringen Kenntnissen. Der TÜV kann mehr als nur Druckkessel überwachen und HU-Plaketten verteilen. Und auch in der CoBi-Redaktion gibt es viel Fachwissen und eben das Wissen, wo man Verstärkung von außen zukaufen kann.
|
Spaßki
Anmeldungsdatum: 21. Oktober 2006
Beiträge: Zähle...
|
Astorek schrieb: <(Computerbild bildet da genauso keine Ausnahme wie die meisten anderen, die für Anfänger zugeschnitten sind) den Eindruck erwecken, diese Zusammenstellung stamme nur von Redakteuren
Ein Blick in die Computerbild verriet mir nicht die Linux-Grundlage.
|
primus_pilus
Ehemalige
Anmeldungsdatum: 8. Oktober 2007
Beiträge: 9144
Wohnort: NRW
|
MattiasSchlenker schrieb: Was ich nicht leiden kann, ist eine Diskussion, die mit Vorurteilen aufgeladen ist: Das BSI ist ein neutraler IT-Dienstleister des Bundes
Nicht wirklich. Das BSI untersteht direkt dem Bundesministerium des Innern. Neutral würde ich das nicht nennen. Quelle: Bundesgesetzblatt vom August 2009 (PDF)
|
MattiasSchlenker
Anmeldungsdatum: 2. September 2009
Beiträge: 7
|
primus pilus schrieb: MattiasSchlenker schrieb:
Was ich nicht leiden kann, ist eine Diskussion, die mit Vorurteilen aufgeladen ist: Das BSI ist ein neutraler IT-Dienstleister des Bundes
Nicht wirklich. Das BSI untersteht direkt dem Bundesministerium des Innern. Neutral würde ich das nicht nennen.
Dem untersteht der Bundesdatenschutzbeauftragte auch. So what?
|
primus_pilus
Ehemalige
Anmeldungsdatum: 8. Oktober 2007
Beiträge: 9144
Wohnort: NRW
|
MattiasSchlenker schrieb: Dem untersteht der Bundesdatenschutzbeauftragte auch. So what?
Da besteht schon ein großer Unterschied. Tja, so what. Die werden schon nichts Unrechtes tun. Der Laden ist ja nur ein Enkel des BND. Aber die tun ja auch nichts Unrechtes ... oder? ☺
|
MattiasSchlenker
Anmeldungsdatum: 2. September 2009
Beiträge: 7
|
primus pilus schrieb: MattiasSchlenker schrieb: Dem untersteht der Bundesdatenschutzbeauftragte auch. So what?
Da besteht schon ein großer Unterschied. Tja, so what. Die werden schon nichts Unrechtes tun. Der Laden ist ja nur ein Enkel des BND. Aber die tun ja auch nichts Unrechtes ... oder? ☺
Die Diskussion ist müßig. Ich bin diese und nächste Woche privat sehr beschäftigt, wir können danach ja mal versuchen, einen Chat mit den bei der Umsetzung beteiligten Stellen (CoBi, BSI, TÜV, /me) zu Motivation, Umsetzung und Designentscheidungen durchzuführen. Jetzt bei einem quelloffenen System, das außerhalb des BSI (natürlich im Rahmen von BSI-Sicherheitsvorgaben) umgesetzt wurde, Verschwörung zu wittern, ist wenig zielführend.
|