Renate55
Anmeldungsdatum: 13. Januar 2009
Beiträge: 716
|
Sh4kal schrieb:
Wer sein System gefährdet (vor allem durch öffentliche Dienste), der gefährdet damit auch potentiell seine Mitmenschen. Kompromitierte Server/Dienste werden vorallem zu Spam- und Virenschleudern. In einem weltweiten Netz davon zu sprechen, dass man durch ein schlechtes System nur sich selbst gefährdet, ist ziemlich blauäugig.
Das stimmt im Grundsatz. Nur irgendwann wird man Fünfe grade sein lassen müssen, wenn Nicht-IT-Leute, egal ob Laie oder semiprofessionell überhaupt noch Internet nützen. Welches System außer vielleicht Ubuntu Lts ohne multiverse und universe darf so ein Nutzer dann überhaupt ohne Gewissensbisse nutzen?
Keine Ahnung ob Apple Rechner sicher sind, Windows Rechner sind es nicht. Wer bei kürzeren Release Zyklen nicht rechtzeitig updatet ein Risiko. Vielleicht ist auch proprietäre Software für interne Geräte oder Peripherie ein Risiko, angeschlossene USB Sticks, da könnte die Firmware manipuliert sein, ein versäumtes Bios Update, daß sich der Laie vielleicht nicht traut. Irgendwann ist das ein Faß ohne Boden, Computer einmotten und aufpassen, daß auch niemand anders rankommt. Die Verantwortung anderen keinen Schaden zuzufügen muß auch irgendwo eine Grenze haben. Android Geräte auch da ein Risiko. Es werden kaum alle Apple Preise zahlen und falls nicht mehr supportet neu kaufen. Am Ende bleibt es ein Kompromiss zwischen Sicherheit und dem Anspruch, das Gerät den eigenen Bedürfnissen entsprechend zu nutzen und natürlich auch, was es kostet. Eine professionelle Sicherung, soviel ist der Laie oder auch Semiprofessionelle einfach nicht bereit zu zahlen. Theoretisch könnten auch Kriminelle ein Sicherheitsleck schneller finden als Canonical. In meinen Augen ist Lts zwei Jahre bis zur nächsten Lts genutzt für Laien schon zu empfehlen. Auch mit multiverse und universe. Die meisten Maintainer kümmern sich um gravierende Sicherheitslecks. Wer besorgt ist kann den Supportstatus abfragen.
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Kannst du mal bitte den Unsinn ein bisschen zurückfahren @Steffen FG?
politisch korrekt: man betreibt mit Vorliebe Fingerpointing. "Der hat ein unsicheres System", statt vor seiner eigenen Haustür zu kehren. Ist heutzutage politisch korrekt, sich immer nur um die Probleme anderer zu kümmern, statt um seine eigenen.
Wenn jemand ein unsicheres System hat, dann ist das so, und das kann, soll und muss man auch erwähnen, wenn man das sieht. Wo wird denn dabei Fingerpointing betrieben? Wenn ich keinen owncloud Server betreibe, darf ich trotzdem Leute darauf hinweisen dass ihr owncloud nicht sicher ist, oder? Da es natürlich auch im eigenen Interesse liegt, möglichst sicher zu fahren, versucht man auch selbst nach bestem Wissen und Gewissen sein System zu sichern. Wer reagiert denn verschnupft darauf wenn Leute mit höherer Aufmerksamkeit (und evtl mehr Wissen) für einen Fehler darauf hinweisen? Also, jetzt mal von großen Unternehmen abgesehen. Wenn Leute hier sich geweigert haben, auf Sicherheitshinweise einzugehen, waren das stets Anfänger - ich hab noch keinen von den Leuten gesehen, die normal auf sowas hinweisen, die selbst auf etwas hingewiesen wurden und sich nicht darum gekümmert haben. Ich versteh nicht wo dein Ärger über eine Situation, die es nicht gibt, herkommt - Stört es dich dass Leute mit mehr Wissen Leuten mit weniger Wissen helfen, indem sie auf Probleme hinweisen? Ist in meinen Augen der Sinn des Forums hier ... Das mit den kompromittierten Servern... mein Gott, das liest sich ja so wie: "Ubuntu LTS installiert und 5 Sekunden später sind schon 10.000 Spam-Mails rausgegangen." Was soll denn das? Was hat das denn mit Ubuntu LTS zu tun? Hier wird ja gerade so getan, als wäre das die einzige Gefahr, die es gibt: Oh mein Gott! Es ist eine Ubuntu LTS! Da kann man doch nur mit dem Kopf schütteln.
Warum soll das ein Problem von Ubuntu alleine sein? Das habe ich nie behauptet. Ich hab absolut keine Ahnung was diese Aussage von dir eigentlich soll. Fakt ist, wenn auf einem System Dienste laufen, die öffentlich übers Internet zugänglich sind, dann ist das System in potentieller Gefahr, wenn veraltete/verbuggte Version verwendet werden. Das ist bei Ubuntu so, das ist bei Debian so, das ist bei Windows so, usw. Das ist einfach ein Grundprinzip der Administration. Bei Ubuntu ist es aber so, dass solche Serverdienste (populäres Beispiel ist wie schon erwähnt owncloud) teilweise ohne Maintainer in universe/multiverse liegen und mit der Installation durch unbedarfte Anfänger-Serveradmins das System potentiell (wenn es eine Lücke gibt, die dazu ausgenutzt werden) angreifbar oder eben sogar übernehmbar ist. Ich habe diese Möglichkeit nicht bewusst groß geredet, es ist aber eben genau das Thema, was hier die ganze Zeit schon diskutiert wird. Meine Aussage bezog sich aber auch eigentlich auf deine generelle Aussage, dass kompromitierte Systeme nur das Problem des Besitzers ist. Darauf bist du aber zum Glück gar nicht eingegangen, weil du mich offenbar missverstanden hast. Bot- und Spamnetze sind eine Gefahr für jeden Internetnutzer, Punkt. Und diese Netzwerke werden auf Basis von kompromitierten Server- und Desktopsystemen aufgebaut. Damit ist deine Aussage einfach falsch - mehr wollte ich auch eigentlich gar nicht sagen mit meinem Kommentar. Ich habe übrigens schon min. 2 Posts zu den Kurzzeits-Releases und zur dadurch entstehenden "Gefahr" geschrieben. Darauf gab es keinerlei Reaktion. Warum nicht?
Jeder, der sich auf ubuntu.com das Image für die Installation runterlädt, wird klar und deutlich auf den Supportzeitraum hingewiesen. Die LTS Version steht sogar hervorgehoben da. Die Zwischenreleases sind sowieso eher als technical previews zu verstehen - als Releases, die neue Features einbringen und optimieren sollen, bis sie in die nächste LTS Version aufgenommen werden. Das muss nicht jedem klar sein (so deutlich wird das ja auch nicht), aber wer diese Releases wählt und sich dann keine Gedanken mehr um Updates macht, handelt eben einfach fahrlässig - Weil er klar auf die 9 Monate hingewiesen wurde. Irgendwo ist dann auch mal ein "selbst schuld" angebracht - Vor allem wenn Leute es dann schaffen sich die Entwicklerversion runterzuladen (ich weiß gar nicht wie die soweit kommen) und sich wundern warum das nicht funktioniert. Man muss wohl nun wirklich kein Computerexperte sein um von nine months of security and maintenance updates darauf zu schließen, dass es danach KEINE Sicherheitsupdates mehr gibt. @Renate55: Mir ging es ja auch nur um Server-/Internetdienste. Ist das so schwer zu verstehen? Wenn du der Meinung bist, dass man ja einen Serverdienst betreiben können sollte ohne Wissen ... Naja. Merkwürdiger Standpunkt. Und generell bist du immer für die Sicherheit deiner Besitztümer verantwortlich - du bist ja auch dafür verantwortlich, dass die Bremsen in deinem Auto funktionieren. Und wenn du die Bremsen nicht selbst reparieren kannst, dann musst du dir trotzdem Gedanken darum machen, ob damit alles in Ordnung ist und im Zweifel das jemanden begutachten lassen. Das Argument "ja ich hab ja das Wissen dafür nicht, ich wollte nur mit dem Auto fahren" zählt nicht, wenn du ein Schulkind auf dem Zebrastreifen übefährst. Und bevor jetzt jemand rumnörgelt dass das Beispiel mit dem Auto schlecht gewählt ist weil im Internet ja keiner stribt bei einem Fehler: Das nicht, aber Angriffe durch Botnetze, die aus gekaperten PCs/Servern bestehen, können Unternehmen schädigen, die auf ihre Internetpräsenz angewiesen sind oder die durch DDoS-Angriffe von anderen Vorgängen in ihrer Infrastruktur abgelenkt werden. Da hängen auch Existenzen dran. Mal ganz abgesehen davon dass eine schlechte Sicherheit des Systems auch dafür sorgen kann, dass du selbst enorme Probleme kriegen kannst - wenn dir z.B. deine Zugangsdaten zum Onlinebanking gestohlen werden. Da kannst du den Angreifern auch nicht sagen "aber ich wollte nur die Vorteile meines PCs ohne mich ernsthaft damit beschäftigen zu müssen" - dein Geld kriegst du von denen bestimmt nicht wieder mit der Argumentation. Was will ich mit dem ganzen Text eigentlich sagen? Naja, eigentlich nur dass man Sicherheitsprobleme nicht kleinreden und nicht die ich-will-dazu-gar-nichts-lernen-Schiene fahren sollte. Das funktioniert in keinem anderen Teil des Lebens, nur bei Computern und Smartphones scheint das gesellschaftlich akzeptabel zu sein. Natürlich ist die Gefahr durch Pakete ohne Maintainer in universe/multiverse eher gering, das will ich gar nicht abstreiten. Ich wäre aber dafür, dass kritische Pakete, wie eben Serverdienste, da direkt ausselektiert werden, wenn es keinen Maintainer gibt. Und der ganze Rest vom Text hier drüber ist irgendwie Grundsatzdiskussion.
|
Steffen_FG
Anmeldungsdatum: 11. Juni 2008
Beiträge: 1449
|
Kannst du mal bitte den Unsinn ein bisschen zurückfahren @Steffen FG?
nein, denn das ist kein Unsinn, sondern nur der in etwas eigenartige Worte gekleidete Hinweis, dass der ganze Thread vollkommener Blödsinn ist. Merkst du, dass es sich nur um einen Punkt dreht, der schon lange nicht mehr als Problem existiert? Hast du das gemerkt, oder nicht? Dieser Thread dreht sich um eine unsichere Owncloud-Version, die schon lange nicht mehr im Repo liegt! Hast du das gemerkt? Der Bug ist beseitigt. Das konkrete Problem existiert nicht mehr. Ich habe oben schonmal festgehalten (für dich gern noch einmal): - es existieren Warnhinweise in der Paketverwaltung, wenn ein Paket "nur" von der Gemeinschaft betreut wird und evtl. nicht mehr aktualisiert wird - es ist ein größeres Sicherheitsrisiko, wenn PPA verwendet werden - es gibt keine Bezifferung der Gefährdung. Und ja, mein Gott, wenn man im Internet surft und einen Server im Internet betreibt, ist das alles hochgefährlich usw. Zufrieden? Warum muss man denn immer alles 1000fach auswalzen und nochmal extra betonen, dass es gefährlich ist, wo es eh jeder weiß, dass es gefährlich ist? Was soll man denn tun, als eigenverantwortlich für seine eigene Sicherheit sorgen? Sorgt man dann nicht auch für die Sicherheit anderer? Oder muss man sich extra nochmal extra engagieren, damit dem anderen ja nichts zustößt? Ist es nicht ein Gebot der Logik, dass man andere nicht gefährdet, wenn man sich selbst nicht gefährdet? Die Grundaussage dieses Threads ist: Ubuntu LTS ist per se gefährlich, weil irgendwelche Pakete nicht aktualisiert werden. Und das ist totaler Schwachsinn, gegen den ich argumentiere, ohne nochmals (bitte bitte nicht!) betonen zu müssen, dass das Leben gefährlich ist und tödlich endet. Wenn man dann schreibt, dass anderes auch gefährlich ist und dass es besser ist, eine LTS zu nutzen, als eine Kurzzeit-Release, wird das gekonnt ignoriert. Dazu gibt es bei Ubuntu ebenfalls Warnhinweise beim Download der Kurzzeit-Releases. Kommentare dazu gibt es aber erst, nachdem man polemisch wurde und Unsinn schrieb. Eigenartig, aber wahr... Einwände, Kommentare dazu?
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Lies bitte erstmal meinen Beitrag und hör auf, dich so aufzuführen. Das was du mir unterstellst habe ich nie gesagt, du verzerrst meine Aussagen bewusst (weshalb du auch ohne Zitate in deinem Beitrag arbeiten musst). Was hier besprochen wird ist nicht das owncloud Paket, sondern das Konzept des Paketimports aus Debian sid, das zu solchen Situation führt und auch in Zukunft zu solchen Situationen führen könnte. Wenn dich die Diskussion stört, dann lies hier halt nicht mit. Du kannst uns schwer untersagen, hier zu posten, nur weil es dir nicht passt. Wir treffen hier schließlich keine für dich relevanten Entscheidungen, oder? Wenn man dann schreibt, dass anderes auch gefährlich ist und dass es besser ist, eine LTS zu nutzen, als eine Kurzzeit-Release, wird das gekonnt ignoriert. Dazu gibt es bei Ubuntu ebenfalls Warnhinweise beim Download der Kurzzeit-Releases. Kommentare dazu gibt es aber erst, nachdem man polemisch wurde und Unsinn schrieb. Eigenartig, aber wahr... Einwände, Kommentare dazu?
Möchtest du jetzt, dass wir richtige Aussagen von dir feiern und dir groß dazu gratulieren, dass du Recht hast? Ich werde mich darum bemühen, jeden Aspekt deiner zukünftigen Beitrag zu beantworten, es tut mir sehr leid.
|
Steffen_FG
Anmeldungsdatum: 11. Juni 2008
Beiträge: 1449
|
Sh4kal schrieb: Lies bitte erstmal meinen Beitrag und hör auf, dich so aufzuführen. Das was du mir unterstellst habe ich nie gesagt, du verzerrst meine Aussagen bewusst (weshalb du auch ohne Zitate in deinem Beitrag arbeiten musst). Was hier besprochen wird ist nicht das owncloud Paket, sondern das Konzept des Paketimports aus Debian sid, das zu solchen Situation führt und auch in Zukunft zu solchen Situationen führen könnte. Wenn dich die Diskussion stört, dann lies hier halt nicht mit. Du kannst uns schwer untersagen, hier zu posten, nur weil es dir nicht passt. Wir treffen hier schließlich keine für dich relevanten Entscheidungen, oder? Wenn man dann schreibt, dass anderes auch gefährlich ist und dass es besser ist, eine LTS zu nutzen, als eine Kurzzeit-Release, wird das gekonnt ignoriert. Dazu gibt es bei Ubuntu ebenfalls Warnhinweise beim Download der Kurzzeit-Releases. Kommentare dazu gibt es aber erst, nachdem man polemisch wurde und Unsinn schrieb. Eigenartig, aber wahr... Einwände, Kommentare dazu?
Möchtest du jetzt, dass wir richtige Aussagen von dir feiern und dir groß dazu gratulieren, dass du Recht hast? Ich werde mich darum bemühen, jeden Aspekt deiner zukünftigen Beitrag zu beantworten, es tut mir sehr leid.
ich habe deinen Beitrag gelesen und ich habe dort nur eine Grundaussage gelesen, die ich genau so teile: man muss selber denken und ist selbst verantwortlich für das, was man tut. Gleichzeitig willst du aber anscheinend, dass man sich virtuell bei den Händen fasst und sich zuraunt, dass das mit den Serverdiensten im Netz sehr gefährlich ist, wobei das für mich eine Selbstverständlichkeit ist. Wobei das mit dem Auto je genau das ist, was ich sage:
Und generell bist du immer für die Sicherheit deiner Besitztümer verantwortlich - du bist ja auch dafür verantwortlich, dass die Bremsen in deinem Auto funktionieren. Und wenn du die Bremsen nicht selbst reparieren kannst, dann musst du dir trotzdem Gedanken darum machen, ob damit alles in Ordnung ist und im Zweifel das jemanden begutachten lassen. Das Argument "ja ich hab ja das Wissen dafür nicht, ich wollte nur mit dem Auto fahren" zählt nicht, wenn du ein Schulkind auf dem Zebrastreifen übefährst.
man muss selbst denken. Man muss, wenn man ein Serverpaket in egal welcher Release und Distribution einsetzt, sich darüber informieren und wissen, ob es veraltet und unsicher ist.
Man kann auch die Verantwortung dafür nicht auf andere abschieben. Auch nicht der "Autowerkstatt" So sehe ich das. Also stimme ich dem nur teilweise zu. Über den Paketimport von Debian Sid habe ich so aktiv nichts mitbekommen, dafür aber umso mehr "altes Owncloud-Paket", "owncloud", "owncloud", "owncloud"... obwohl dieses spezielle Problem nicht mehr existiert. Und genau das bemängele ich: man dreht sich in diesem Thread im Kreis. Es ist meiner Ansicht nach kein Fortschritt im Sinne dessen, dass man einer Lösung näher kommt, zu erkennen, weil der eine postet: "alles ist gefährlich" der andere postet "Owncloud ist veraltet in Ubuntu-LTS" und der andere weist jegliche Verantwortung für sein tun von sich. So geht das... ich würde gern mal eine Lösung des Problems sehen, bzw. wäre es mir ehrlich gesagt ganz lieb, wenn mal jemand dem Argument zustimmen könnte, dass eine Ubuntu LTS trotzdem um einiges sicherer ist, als eine veraltete Kurzzeit-Release... das tut niemand. Und deshalb "führe ich mich hier so auf". Oder ist diese Aussage etwa falsch?
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Schön dass wir eigentlich eine ähnliche Meinung teilen. Da sollten wir irgendwie auf einen grünen Zweig kommen. Zitier mich mal bitte wo ich Ubuntu so verdammt fertig mache wie du mir das vorhälst. Ich kann jetzt gerne nochmal zum xten Mal sagen, dass Serverdienste, die ins Internet gehangen werden, ein Angriffsvektor mit einem verdammt hohen Potential sind und auch gerne nochmal deutlich sagen dass Pakete aus universe/multiverse, die nichts mit dem Internet zu tun haben, ungefährlich sind (höchstens ärgerlich, wenn es da Bugs gibt, die nicht gefixt werden). Und zum Thema Import aus Debian: Die Pakete, die keinen Maintainer in Ubuntu haben, kommen zu großen Teilen aus Debian - Die werden einfach irgendwann, so wie sie zu dem Zeitpunkt in Debian sind, in Ubuntu kopiert. owncloud ist eine Folge dieser Methodik gewesen und passt deshalb gut als Beispiel. Das Paket wurde aber auch nur aus den Quellen entfernt, weil sich jemand vom Upstream-Team von owncloud auf einer Ubuntu Mailingliste gemeldet und darauf hingewiesen hat. Von selbst wäre das nicht passiert. Einige Leute halten dieses Vorgehen insgesamt für problematisch, und genau darum geht es die ganze Zeit in diesem Thema. Wenn ein Paket in Ubuntu einen Maintainer hat, gibt es auch vermutlich niemanden, der sich das Programm genauer anguckt (wenn nicht, wie bei owncloud geschehen, Upstream sich meldet) und damit ist Paket potentiell ein Problem. Die Lösung für dieses Problem wäre, dass man Pakete aus Debian selektiver importiert - ich sage ausdrücklich nicht, dass dieser Import nicht mehr stattfinden soll. Aber es sollte überlegt werden, ob man nicht Pakete, die in die Kategorie "Bugs können Sicherheitslücken sein" fallen, davon ausschließt. Beziehungsweise dass Pakete, die ihren Maintainer verlieren und in diese Kategorie passen, aus den Quellen genommen werden.
|
Steffen_FG
Anmeldungsdatum: 11. Juni 2008
Beiträge: 1449
|
Zitier mich mal bitte wo ich Ubuntu so verdammt fertig mache wie du mir das vorhälst
nochmal: ich meine damit die Grundaussage dieses Threads generell und nicht dich.
Ich kann jetzt gerne nochmal zum xten Mal sagen, dass Serverdienste, die ins Internet gehangen werden, ein Angriffsvektor mit einem verdammt hohen Potential sind und auch gerne nochmal deutlich sagen dass Pakete aus universe/multiverse, die nichts mit dem Internet zu tun haben, ungefährlich sind (höchstens ärgerlich, wenn es da Bugs gibt, die nicht gefixt werden).
und genau das kann ich (und ich denke, andere auch) nun bald auswendig singen. 😈 zum Thema: ist es nicht auch generell eine Aufgabe des Upstream, tätig zu werden, wenn Sicherheitslücken gefunden werden? Ist es dann nicht auch generell eine Aufgabe des Upstream, sich bei den Distributoren zu melden (wie bei Owncloud geschehen) und entweder eine Aktualisierung des Pakets voranzutreiben oder es aus dem Repo nehmen zu lassen? Meiner Meinung nach ist doch der Distributor nur der "Verteiler"... obwohl andererseits eine Sicherheitslücke dann nur auf Ubuntu bzw. den Distributor abfärbt und nicht auf das einzelne Programm/ Paket... Trotzdem sehe ich da den Upstream irgendwie in einer verantwortlichen Rolle. Oder solche sicherheitskritischen Pakete müssen immer in Main...?
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Steffen FG schrieb: nochmal: ich meine damit die Grundaussage dieses Threads generell und nicht dich.
Okay, tut mir leid. Das kam bei mir sehr als Kritik in meine Richtung an. Hab ich dann wohl missverstanden.
Ich kann jetzt gerne nochmal zum xten Mal sagen, dass Serverdienste, die ins Internet gehangen werden, ein Angriffsvektor mit einem verdammt hohen Potential sind und auch gerne nochmal deutlich sagen dass Pakete aus universe/multiverse, die nichts mit dem Internet zu tun haben, ungefährlich sind (höchstens ärgerlich, wenn es da Bugs gibt, die nicht gefixt werden).
und genau das kann ich (und ich denke, andere auch) nun bald auswendig singen. 😈
Gut so 😬
zum Thema: ist es nicht auch generell eine Aufgabe des Upstream, tätig zu werden, wenn Sicherheitslücken gefunden werden? Ist es dann nicht auch generell eine Aufgabe des Upstream, sich bei den Distributoren zu melden (wie bei Owncloud geschehen) und entweder eine Aktualisierung des Pakets voranzutreiben oder es aus dem Repo nehmen zu lassen? Meiner Meinung nach ist doch der Distributor nur der "Verteiler"... obwohl andererseits eine Sicherheitslücke dann nur auf Ubuntu bzw. den Distributor abfärbt und nicht auf das einzelne Programm/ Paket... Trotzdem sehe ich da den Upstream irgendwie in einer verantwortlichen Rolle. Oder solche sicherheitskritischen Pakete müssen immer in Main...?
Im Prinzip ist es nicht so, nein. Im Upstream findet ja die eigentliche Entwicklung der Software statt. Die sind voll damit beschäftigt. Ein Distributor wiederum ist der, der die Software paketiert und zusammenstellt. Das ist also mehr oder weniger redaktionelle Arbeit, und die muss dafür sorgen dass Bugfixes und neue Versionen die vom Upstream kommen, möglichst schnell (oder passend, bei neuen Versionen) eingebunden werden. Allerdings nehmen Distributoren auch immer eigene Änderungen, Optimierungen und Patches vor - Für die ist Upstream nicht verantwortlich und kann es auch gar nicht sein. Natürlich liegt es irgendwo im Interesse von Upstream, dass die Software auf großen Distributionen gut läuft, aber letztendlich sind sie dafür nicht verantwortlich. Der Job des Distributors ist es, bei neuen Versionen und Bugfixes aktiv zu werden und diese einzufügen. Ich weiß gerade ehrlich gesagt nicht wie ich dir das am besten erklären soll, aber so wie du das denkst ist es auf jeden Fall nicht, das ist nicht Upstreams Job die Pakete in allen möglichen Distributionen aktuell zu halten.
|
Renate55
Anmeldungsdatum: 13. Januar 2009
Beiträge: 716
|
Sh4kal schrieb:
@Renate55: Mir ging es ja auch nur um Server-/Internetdienste. Ist das so schwer zu verstehen? Wenn du der Meinung bist, dass man ja einen Serverdienst betreiben können sollte ohne Wissen ...
im Wiki für owncloud ließe sich ein Hinweis anbringen, nur für fortgeschrittene Anwender und ein Hinweis wegen der Sicherheit. Das ist aber kein Grund vor der Lts Version von Ubuntu ganz allgemein zu warnen oder alle Software aus multiverse und universe in Frage zu stellen.
Und generell bist du immer für die Sicherheit deiner Besitztümer verantwortlich - du bist ja auch dafür verantwortlich, dass die Bremsen in deinem Auto funktionieren. Und wenn du die Bremsen nicht selbst reparieren kannst, dann musst du dir trotzdem Gedanken darum machen, ob damit alles in Ordnung ist und im Zweifel das jemanden begutachten lassen. Das Argument "ja ich hab ja das Wissen dafür nicht, ich wollte nur mit dem Auto fahren" zählt nicht, wenn du ein Schulkind auf dem Zebrastreifen übefährst.
Bisher gibt es keine TÜV Pflicht für Computer. Es ist natürlich im eigenen Interesse beim Onlinebanking nicht bestohlen zu werden. Wer jetzt bei Computersoftware und Dritte kommen zu Schaden kommen wie haftet, - dazu braucht es juristisches Spezialwissen. Ich vermute daß Firmen eher haften als Privatnutzer. Ein Schaden den Kriminelle verursacht haben würde aber bei dem Autovergleich bedeuten, daß Dritte die Bremsen manipulieren. Und dagegen hilft auch kein regelmäßiger Werkstattbesuch. Es macht Sinn die Updates auch einzuspielen und die Release Upgrades nicht zu verbummeln. Es macht aber keinen Sinn den unbedarften und schludrigen Nutzer nun für die kriminelle Energie Dritter verantwortlich zu machen. Der Nutzer kann allenfalls zum Einspielen von Updates verpflichtet sein.
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Renate55 schrieb: Sh4kal schrieb:
@Renate55: Mir ging es ja auch nur um Server-/Internetdienste. Ist das so schwer zu verstehen? Wenn du der Meinung bist, dass man ja einen Serverdienst betreiben können sollte ohne Wissen ...
im Wiki für owncloud ließe sich ein Hinweis anbringen, nur für fortgeschrittene Anwender und ein Hinweis wegen der Sicherheit. Das ist aber kein Grund vor der Lts Version von Ubuntu ganz allgemein zu warnen oder alle Software aus multiverse und universe in Frage zu stellen.
Ich würde mich ja gerne zu der Aussage nochmal äußern, aber ich hab ganz einfach keinen Bock mehr drauf.
Bisher gibt es keine TÜV Pflicht für Computer. Es ist natürlich im eigenen Interesse beim Onlinebanking nicht bestohlen zu werden. Wer jetzt bei Computersoftware und Dritte kommen zu Schaden kommen wie haftet, - dazu braucht es juristisches Spezialwissen. Ich vermute daß Firmen eher haften als Privatnutzer. Ein Schaden den Kriminelle verursacht haben würde aber bei dem Autovergleich bedeuten, daß Dritte die Bremsen manipulieren. Und dagegen hilft auch kein regelmäßiger Werkstattbesuch. Es macht Sinn die Updates auch einzuspielen und die Release Upgrades nicht zu verbummeln. Es macht aber keinen Sinn den unbedarften und schludrigen Nutzer nun für die kriminelle Energie Dritter verantwortlich zu machen. Der Nutzer kann allenfalls zum Einspielen von Updates verpflichtet sein.
Man kann es auch damit übertreiben, Vergleiche bildlich zu nehmen. Nur weil jemand rein juristisch nicht dafür haftet, heißt das nicht dass man von jeder sozialen und logischen Verantwortung frei gesprochen ist - Unser Gesetzgeber ist auch nicht gerade dafür bekannt, sich in die Thematik einzufühlen. Ich mache auch den schludrigen Nutzer nicht für die kriminelle Energie verantwortlich, da kann er natürlich nichts für. Aber es liegt in seiner Macht, sich dagegen zu wehren - und wer das nicht möchte weil er kein Interesse hat sich zu bilden, der öffnet krimineller Energie bewusst die Türen. Computer sind Wunderwerke der Technik und nochmal weit komplizierter als Autos, Züge und was-weiß-ich. Trotzdem ist es bei uns ein gesellschaftlich akzeptierter Standard, von Computern zu verlangen, dass sie einfach funktionieren. Das ist dadurch entstanden dass die Mehrheit der Leute sich gegenseitig in dieser Annahme bestätigen und es als ganz normal nehmen weil ihr Nachbar auch keinen Bock hat, sich mit dem PC zu beschäftigen. In dem Fall macht eine demokratische Mehrheit das aber noch lange nicht richtig. Das ganze hat jetzt aber nun wirklich nichts mehr mit dem Thema zu tun. Tut mir leid für's Abschweifen. Jetzt sollten wir zum Thema zurückkehren und nicht mehr über Verantwortung diskutieren.
|
Steffen_FG
Anmeldungsdatum: 11. Juni 2008
Beiträge: 1449
|
Sh4kal schrieb: Steffen FG schrieb: nochmal: ich meine damit die Grundaussage dieses Threads generell und nicht dich.
Okay, tut mir leid. Das kam bei mir sehr als Kritik in meine Richtung an. Hab ich dann wohl missverstanden.
Ich kann jetzt gerne nochmal zum xten Mal sagen, dass Serverdienste, die ins Internet gehangen werden, ein Angriffsvektor mit einem verdammt hohen Potential sind und auch gerne nochmal deutlich sagen dass Pakete aus universe/multiverse, die nichts mit dem Internet zu tun haben, ungefährlich sind (höchstens ärgerlich, wenn es da Bugs gibt, die nicht gefixt werden).
und genau das kann ich (und ich denke, andere auch) nun bald auswendig singen. 😈
Gut so 😬
zum Thema: ist es nicht auch generell eine Aufgabe des Upstream, tätig zu werden, wenn Sicherheitslücken gefunden werden? Ist es dann nicht auch generell eine Aufgabe des Upstream, sich bei den Distributoren zu melden (wie bei Owncloud geschehen) und entweder eine Aktualisierung des Pakets voranzutreiben oder es aus dem Repo nehmen zu lassen? Meiner Meinung nach ist doch der Distributor nur der "Verteiler"... obwohl andererseits eine Sicherheitslücke dann nur auf Ubuntu bzw. den Distributor abfärbt und nicht auf das einzelne Programm/ Paket... Trotzdem sehe ich da den Upstream irgendwie in einer verantwortlichen Rolle. Oder solche sicherheitskritischen Pakete müssen immer in Main...?
Im Prinzip ist es nicht so, nein. Im Upstream findet ja die eigentliche Entwicklung der Software statt. Die sind voll damit beschäftigt. Ein Distributor wiederum ist der, der die Software paketiert und zusammenstellt. Das ist also mehr oder weniger redaktionelle Arbeit, und die muss dafür sorgen dass Bugfixes und neue Versionen die vom Upstream kommen, möglichst schnell (oder passend, bei neuen Versionen) eingebunden werden. Allerdings nehmen Distributoren auch immer eigene Änderungen, Optimierungen und Patches vor - Für die ist Upstream nicht verantwortlich und kann es auch gar nicht sein. Natürlich liegt es irgendwo im Interesse von Upstream, dass die Software auf großen Distributionen gut läuft, aber letztendlich sind sie dafür nicht verantwortlich. Der Job des Distributors ist es, bei neuen Versionen und Bugfixes aktiv zu werden und diese einzufügen. Ich weiß gerade ehrlich gesagt nicht wie ich dir das am besten erklären soll, aber so wie du das denkst ist es auf jeden Fall nicht, das ist nicht Upstreams Job die Pakete in allen möglichen Distributionen aktuell zu halten.
Okay, habe ich kapiert. Nach meinem Verständnis ist es so, dass alle Pakete in "Main" zu dem Umfang gehören, den Canonical für ihr Business und für die Basis von Ubuntu als wichtig erachten. Und die "Universe" Quelle ist für die Pakete, die für die Community wichtig sind. Richtig? Also gibt es ja jemanden, der das .deb für Owncloud (um bei diesem Beispiel zu bleiben) gebaut hat und der auch dafür gesorgt hat, dass das in die Quelle kommt. Dann muss der das eben aktuell halten. Hat er in diesem Fall nicht bzw. wissen wir nicht, was dahintersteckt (evtl. nicht erfüllbare Abhängigkeiten bei Update oder was). Deshalb wurde es rausgenommen, bzw. ein Dummy-Paket eingesetzt, das dann auf den openSuse-Buildservice verweist, für das aktualisierte Owncloud. Und da steht nun meiner Meinung nach, nachdem ich gelernt habe, was die Aufgabenverteilung ist, doch wieder der Upstream in der Verantwortung: er muss sehen, dass Updates beim User ankommen, bzw. ist er ja selbst auch interessiert daran, dass die Updates beim User ankommen. Und da muss man dann sehen: okay, wir haben hier ein evtl. sicherheitskritisches Programm und das kommt bei Ubuntu nur ins Universe-Repo, weil es für Canonicals Business nicht wichtig ist (nicht aus Schlamperei, sondern weil man irgendwo auch mal einen Strich ziehen muss) ... sollte man das als Upstrem dann nicht lieber sein lassen und besser gleich ein eigenes PPA oder nur .deb-Pakete zum Download anbieten, die dann eine eigene Paketquelle beim openSuse-Buildservice auf dem Rechner des Users einrichten? So machen das einige Anbieter. Google mit Chrome und auch Wuala mit ihrem Cloud-Client tun das so. Das wäre natürlich kompliziert, wenn noch distributionsspezifische Patches dazukommen. Andererseits: dann müsste das aber auch ins "Main", oder? Bei einem Spiel oder sonstigen nicht-sicherheitskritischen Programm kann man ja das Universe-Repo benutzen... dafür scheint es ja auch gedacht zu sein?
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Und da muss man dann sehen: okay, wir haben hier ein evtl. sicherheitskritisches Programm und das kommt bei Ubuntu nur ins Universe-Repo, weil es für Canonicals Business nicht wichtig ist (nicht aus Schlamperei, sondern weil man irgendwo auch mal einen Strich ziehen muss) ... sollte man das als Upstrem dann nicht lieber sein lassen und besser gleich ein eigenes PPA oder nur .deb-Pakete zum Download anbieten, die dann eine eigene Paketquelle beim openSuse-Buildservice auf dem Rechner des Users einrichten?
Upstream wird sich nicht um die 285 Distributionen auf Distrowatch kümmern, das können die schön selber machen. 😉 universe bedeutet nur, dass nicht Mitarbeiter von Canonical der Maintainer (Unterstützer) sind, sondern Leute aus der Community. Und wenn sich derjenige bei Owncloud aus irgendwelchen Gründen nicht oder nicht rechtzeitig oder erst auf Nachfrage darum kümmert, dann ist das eben so. So wäre es auch bei einem PPA, nur dass das vom Konzept her noch unsicherer wäre, da es zu PPAs verleitet, welche ja potentiell gefährlich sein können (nicht nur mit Lücken, sondern auch bewusstem Schadensinteresse oder nicht bedachten Systemkonflikten). Der Maintainer ist dafür verantwortlich, dass er die neuen Versionen vom Entwickler aus Upstream paketiert und zur Verfügung stellt. Upstream stellt nur zur Verfügung, man muss es sich holen - es wird nichts gepusht. Wenn Upstream auch nichts mehr fixen würde, sollte der Maintainer es ansprechen, fixen und ggf. rauswerfen. Passierte schon mal bei Oracle Java, da den Distributoren die Beilegung bzw. Paketierung auf einmal nicht mehr erlaubt wurde... Das liegt also in der Verantwortung des Maintainers - oft kümmert sich einer um mehrere Pakete. Und Canonical hat theoretisch eine Aufsichtspflicht über diese Maintainer bzw. sollte inaktive dann ggf. auch anschreiben und bei Ausfall ggf. ersetzen, denke ich. Aber solange da kein Hahn kräht, passiert das wohl nicht und fällt nicht mal auf, es sei denn, es gibt diverse Treffen, wo jemand dauernd fehlt? Jedenfalls ist das hier wohl das Problem am Konzept gewesen: Es passierte erst was, als gekräht wurde. Das könnte man als konzeptionelle Schwäche oder fehlende wirksame (!) Kontrollinstanz deuten. Bzw. kostete die Wirkung einige Zeit, vielleicht zu viel. Aber was ist schon perfekt - alle Software ist löchrig und bekommt auch nicht immer Updates. Solange sowas die "absolute" Ausnahme bleibt und dann eine Lösung herbeigeführt wird, wird man sich damit wohl irgendwie arrangieren können und müssen, es sei denn, man findet eine wirksamere Kontrollinstanz. Upstream ist dafür jedenfalls nicht verantwortlich und stellt ja auch Updates bereit. Es kann aber sein, dass ein Paket gar keinen Maintainer hat (und es war hier von direkten Kopien aus Debian die Rede, wo wohl nach Paketerstellung manchmal eben keine Updates mehr kommen sollen). Oder dass der Maintainer zufällig zum Projekt beim Upstream gehört und es freundlicherweise für die beliebtesten Distris oder seine bereitstellt (oder gar aus deren Community die Software-Idee entspringt). Dabei vielleicht ebenfalls in seiner Rolle als Maintainer nachlässig ist, weil er keine Lust auf Updates hat, so wie es bei Owncloud ja kommuniziert wurde. Jedenfalls ist das Paket entfernt worden und liegt nun in den Backports (Info war aus einer anderen Quelle), damit kümmert sich nun also wer drum? Vermutlich weiterhin der ehemalige Maintainer bzw. ein neuer? Oder doch etwa ein Ubuntu-Mitarbeiter, der das nun übernehmen muss?
Also wohl ein neuer externer... Grüße, Benno
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17447
|
Die Diskussion um LTS als Sicherheitsrisiko führe ich öfters mal. Genauso wie die Diskussion um die mehr oder wenigen möglichen Alternativen. Variante 1: main/restricted only
Nette Idee, bedeutet aber das du massig Software selbst kompilieren, installieren und aktualisieren musst. Variante 2: Debian
Nette Idee, bedeutet aber das du den Vorteil von LTS (planbarer Release Cycle) opferst. Das Business liebt Dinge die man ein paar Jahre unberührt (Updates ausgenommen) auf nem Server laufen lassen kann. Variante 3: universe/multiverse aktiv lassen
Warten bis der Maintainer bei teils kritischen Lücken reagiert. Variante 3: LFS
Linux From Scratch nutzen und halt alles ständig selbst und neu bauen, technisch möglich, aber massiver Pflegeaufwand und viel Kompetenz erforderlich um sich nicht selbst in den Fuß zu schießen. Fazit
Halten wir also fest:
Maintainer sind Spaßbremsen weil diese eine zusätzliche Komponente sind welche aus unterschiedlichen Gründen Updates verzögern. Stets aktuelle Software ist nur dann möglich wenn man sich das stets aktuelle Release aus den Sourcen zieht, ansonsten hat man mindestens Stunden in der Regel aber sogar Tage unsichere Software auf dem System. Die Alternativen sind nur unterschiedlich schlecht, nicht unterschiedlich gut. Große Paketquellen (Debian) haben einen großen Pflegeaufwand (Personal/Community) Ubuntu LTS ist nicht das Problem, nichtmal ein Teil davon. Problem ist das für universe/multiverse nicht genug Manpower für zeitnahe Updates vorhanden ist.
Ich kenne Unternehmen die z.b. Ubuntu LTS als Basis nutzen, darauf läuft dann aber mal von Basiskrams abgesehen nur selbst gebaute Software. Ich kenne auch Unternehmen und Dienstleister die heute noch ein openSuSE 11.3 als Basis für kritische Systeme nutzen. Usw… leidiges Thema, aber die Diskussion wird das Problem auch nicht lösen 😉 mfg Stefan Betz
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53593
Wohnort: Berlin
|
encbladexp schrieb: Variante 2: Debian
Nette Idee, bedeutet aber das du den Vorteil von LTS (planbarer Release Cycle) opferst.
Mal abgesehen davon, dass da auch nicht alles Sicherheitsupdates bekommt, was noch Support hat. 😉 Beim noch bis Februar 2016 unterstützten squeeze guckt man sich bei so einiger Software lieber nicht nach, was da keine Sicherheitsupdates bekommen hat.
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Wobei ich mich ja auch immer noch frage warum man noch auf oldstable rumdödelt wenn die übernächste Version bald in stable geht. Ich weiß wie das in Unternehmen läuft, aber irgendwie hab ich das Gefühl dass das mit ordentlicher, zentralisierter Administration auch besser gehen würde. Kann mich da aber auch sehr irren, war bisher noch nicht so in die Praxis involviert.
|