Skipper schrieb:

Wäre es nicht sinnvoller das MOTU Media Team PPA zu empfehlen? Die Pakete dort sind häufig backports.

das Archiv enthält gerade drei (!) Pakete die nicht bauen. Das disqualifiziert mMn das PPA sofort als von schlechter Qualität. Desweiteren weise ich einfach mal auf unseren Ikhaya Artikel von heute hin.

Es kommt auf die Qualität der Pakete an, die bauen. In dem MOTU Media Team sind die Leute drin, die auch die Pakete für Debian und Ubuntu erstellen.

Aus dem Ikhaya Artikel von heute:

PPAs von einfachen Anwendern, welche eine neue Version bereitstellen, die auch in eine der nächsten Ubuntuversionen Einzug halten wird, werden nicht mehr geduldet. Es werden nur noch PPAs von den Softwareprojekten selbst, sowie von den Paketbetreuern, die spezielle Backport-Quellen anbieten, akzeptiert.

Danach wäre das PPA von c-korn nicht mehr erlaubt, das PPA vom MOTU Media Team hingegen schon.

Skipper schrieb:

Es kommt auf die Qualität der Pakete an, die bauen. In dem MOTU Media Team sind die Leute drin, die auch die Pakete für Debian und Ubuntu erstellen.

das stimmt zwar, aber zum Beispiel die KDE Maintainer haben ein extra staging ppa um zu verhindern, dass nicht bauende Pakete überhaupt im richtigen PPA erscheinen können

Aus dem Ikhaya Artikel von heute:

PPAs von einfachen Anwendern, welche eine neue Version bereitstellen, die auch in eine der nächsten Ubuntuversionen Einzug halten wird, werden nicht mehr geduldet. Es werden nur noch PPAs von den Softwareprojekten selbst, sowie von den Paketbetreuern, die spezielle Backport-Quellen anbieten, akzeptiert.

Danach wäre das PPA von c-korn nicht mehr erlaubt, das PPA vom MOTU Media Team hingegen schon.

nach der Logik schon. Was mir am PPA nicht gefällt ist, dass es so viel anderes auch noch enthält: xine, vdr, mplayer, etc.

Können wir nicht einfach PPAs aus den Artikeln raushalten? Alle halbe Jahr gibt es doch eh eine neue Version.

martingr schrieb:

Was mir am PPA nicht gefällt ist, dass es so viel anderes auch noch enthält: xine, vdr, mplayer, etc.

Wenn sehr großes Interesse besteht, dann könnte ich eine Aufspaltung des PPAs anregen.

Können wir nicht einfach PPAs aus den Artikeln raushalten? Alle halbe Jahr gibt es doch eh eine neue Version.

Das wäre wohl das sinnvollste. Wer wirklich was neueres braucht, der kann auch ein PPA finden.

Skipper schrieb:

martingr schrieb:

Was mir am PPA nicht gefällt ist, dass es so viel anderes auch noch enthält: xine, vdr, mplayer, etc.

Wenn sehr großes Interesse besteht, dann könnte ich eine Aufspaltung des PPAs anregen.

Kommt drauf an wie viele es nutzen. Generell denke ich, dass pro Anwendung ein PPA sinnvoll wäre, damit man eben nicht die Büchse der Pandora öffnet

Können wir nicht einfach PPAs aus den Artikeln raushalten? Alle halbe Jahr gibt es doch eh eine neue Version.

Das wäre wohl das sinnvollste. Wer wirklich was neueres braucht, der kann auch ein PPA finden.

Hab das PPA gerade entfernt

Allerdings lässt sich der 2 Fensterdarstellungsfehler nur durch ein Update über das PPA bereinigen, da bei VLC nicht mehr an der 0.9er Version (Grundausstattung bei 8.10 & 9.04 mit besagtem Fehler) gefixt wird. Ähnlich wie bei Ubuntu, richtet sich die Kraft nach vorne, gebündelt auf die neue Version. Wenn nötig, suche ich auch gerne einen Forenlink ¹ bei VLC raus.

Sollte es jetzt besser sein evtl. das Paket wieder bei getdeb.net hosten zu lassen und dann auf diese Quelle zu verweisen? Wir können eigentlich froh sein, sojemand wie Chr. Korn zu haben, der sich die Mühe macht das Paket bei Launchpad-PPA einzustellen.

~Robin

/edit: ¹ VLC-Forenlink, siehe drittletzter Beitrag

robin aka HongBao schrieb:

Allerdings lässt sich der 2 Fensterdarstellungsfehler nur durch ein Update über das PPA bereinigen, da bei VLC nicht mehr an der 0.9er Version (Grundausstattung bei 8.10 & 9.04 mit besagtem Fehler) gefixt wird. Ähnlich wie bei Ubuntu, richtet sich die Kraft nach vorne, gebündelt auf die neue Version. Wenn nötig, suche ich auch gerne einen Forenlink ¹ bei VLC raus.

Von mir aus darf man gerne eine Sektion Problemlösung aufführen und es dort aufnehmen. Jedoch wäre es mir lieber wenn es eine Paketquelle nur für VLC gäbe.

Danach wäre das PPA von c-korn nicht mehr erlaubt

Im obigen PPA ist ausschließlich VLC und die dazu benötigten Libs, plus Qt 5.1.1, weil VLC mindesten Qt 5.1.1 verlangt.

Ebenfalls diktiert VLC die Versionsnummern der Libs.

C-Korn hat also ein 100 Prozentig korrektes PPA, welches mit dem bestehenden Ubuntu System harmoniert.

KDE PPA bietet Qt.5.2 an und ersetzt die Qt 5.1 Version ohne Probleme.

C-Korn-VLC läuft ebenfalls damit einwandfrei....

Beides einzeln und in Kombination unter Jaunty getestet.

Henrikx schrieb:

Danach wäre das PPA von c-korn nicht mehr erlaubt

Im obigen PPA ist ausschließlich VLC und die dazu benötigten Libs, plus Qt 5.1.1, weil VLC mindesten Qt 5.1.1 verlangt.

wow was es bei dir alles gibt: Qt 5. Das soll es erst in ein paar Jahren geben. Und hier haben wir genau das Problem, dass Qt darin ist. Es hat schon seinen Grund, warum Qt 4.5.x nicht zurückportiert wurde. So etwas gehört in die Updates wenn es geht, wenn nicht dann nicht. Warum ist nur 4.5.1 drinnen, wenn es schon 4.5.2 gibt? Was ist wenn 4.5.2 eine schwerwiegende Sicherheitslücke schließt? Ich hoffe das macht klar, warum ich ein PPA ablehne, welches eine Bibliothek mitliefert.

That said: ich bin Entwickler mit den Qt Libs. Eine Software sollte niemals eine minor fordern. Das ist dann ganz klar entweder ein Fehler im Paket oder direkt bei VLC.

Warum ist nur 4.5.1 drinnen,

Weil zur Zeit des Erscheinens von VLC Qt 4.5.2 noch nicht da war.

Henrikx schrieb:

Warum ist nur 4.5.1 drinnen,

Weil zur Zeit des Erscheinens von VLC Qt 4.5.2 noch nicht da war.

ist ein Punkt, aber warum wird das Bugfix Release nicht nachgereicht? (Gleiche Frage stelle ich mir generell auch für Ubuntu - ich finde es mehr als schlecht, dass Ubuntu noch 4.5.0 im default hat und bin da auch dem Kubuntu PPA dankbar)

aber warum wird das Bugfix Release nicht nachgereicht?

Darauf habe ich keine Antwort, weil ich mir die selbe Frage stelle.

Fein,

es kommt eine vernünftige Diskussion in Gang. Einer könnte mal versuchen den Ubuntero des PPA's, Christoph Korn daraufhin zu befragen. Vielleicht rennt man ja damit offene Türen ein?

s.a.: https://launchpad.net/~c-korn/+archive/vlc/+sourcepub/611229/+listing-archive-extra

btw: Qt entwickelt sich rasch, positiv (was ich persönlich nach dem Verkauf an Nokia nicht erwartet hätte) und so, wie es aussieht ist's dann in KarmicKoala aktuell:

• Packagesearch Qt4 Es hängt wohl mit der Distributionspolitik von Ubuntu zsm. das es in Jaunty noch 4.5.0 ist ;_)

Es ist doch schön, wenn Ubuntu und dessen Varianten im grossen Teich der Distributionen konkurrenzfähig bleiben. Ich bin dem Kubuntu/backports/ppa auch dankbar, so lässt sich auch 2ManDVD, der Nachfolger von ManDVD, bereits unter Jaunty installieren.

Netter Gruss
robin

P.S.: Der Hinweis 2-Fensterfehler und VLC-Version 1.0 steht übrigens bei Problemlösungen an 1.Stelle. Könnte evtl. etwas ausgereifter formuliert sein.

/edit: Hab das, zumindest im Hinblick auf die Problemlösung, nun eindeutiger formuliert.

Also ich versuche jetzt noch mal zu Begründen, warum ich das VLC PPA für sehr gefährlich halte: das PPA liefert die benötigten Abhängigkeiten mit ohne sich weiter um diese zu kümmern. Für den Fall von Qt sieht man das recht eindeutig, da dort 4.5.1 nur angeboten wird, obwohl das PPA aus dem es kopiert wurde 4.5.2 enthält. Der Aufwand das PPA mit der neuesten Qt Version zu versorgen ist minimal. Es kommt durchaus mal vor, dass den Kubuntu Maintainern Fehler beim Paktbau passieren und diese werden in den KDE Quellen nachgeliefert, jedoch nicht in der VLC. Von Sicherheitsupdates braucht man gar nicht erst zu sprechen.

Für mich ist das komplette PPA somit nicht vertrauenswürdig. Ich kann nur den Fall Qt betrachten, da ich mich damit halt auskenne. Ich muss - für mich - davon ausgehen, dass die anderen Abhängigkeiten nicht besser gepflegt sind.

Im Ikhaya Thread hat robin ja gesagt, dass ich nicht nur an die KDE User sondern auch an die GNOME User denken soll. Gerade das mache ich ja. Ich gehe davon aus, dass ein GNOME User Qt aus dem PPA hätte und nicht aus dem Kubuntu PPA. In dem Fall würde er bei Sicherheitslücken nicht mit Updates versorgt. Canonical würde 4.5.0 patchen vermutlich ohne auf das dann aktuelle 4.5.x zu gehen und im Kubuntu PPA würde 4.5.x veröffentlicht. Ein Nutzer nur mit der VLC Quelle wäre Angriffen ausgeliefert und Mediendaten lassen sich leicht missbrauchen (z.B. Bufferoverflows).

Robin hat auch vorgeschlagen, dass ich Kontakt aufnehmen soll zum PPA Maintainer. Tut mir Leid, dazu hab ich weder die Zeit noch die Lust. Ich sehe es nicht als meine Aufgabe an Fehler in PPAs zu beheben. Das Thema wird nun doch recht lange hier diskutiert und ich bin persönlich überrascht, dass noch niemand Kontakt zum Maintainer aufgenommen hat.

Für mich würde sich das Problem auch nicht lösen mit 4.5.2 wird nachgeliefert. Da ich nicht überprüfen kann, ob in der Zukunft der Maintainer seine Arbeit machen würde. Da ist für mich die Vergangenheit zwingend.

Ich hoffe ich konnte jetzt gut erklären wo für mich das große Sicherheitsrisiko dieser Quelle liegt.

Hallo,

martingr +1

Genau das ist ja das Problem bzw. der Grund, warum es (schon immer) eine Fremdquellen-Warnung gibt. Ist nur das Prog an sich drin ist das ok, sobald aber andere Sachen drin sind, die z.B. mit den Original Libs der Ubuntu-Installation kollidieren wird es ... sagen wir mal riskant.

Wenn jemand ein PPA im wahrsten Sinne des Wortes "personal" (only) nutzt ist das ja ok, aber nicht mehr, wenn man Software öffentlich anbietet. Ich kann persönlich auch nicht nachvollziehen, warum man dann nicht ein PPA für VLC alleine macht...

Egal, das ist schon halb OT und gehört hier gar nicht diskutiert.

Die Änderung von martinggr ist IMO auf jeden Fall ok.

Gruß, noisefloor