tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53611
Wohnort: Berlin
|
verdooft schrieb: Andererseits denke ich mir, wenn ich Pakete auf Launchpad bereitstellen würde, würde ich auf höchstmögliche Qualität achten und keine Schadsoftware einbauen.
Dir ist das Prinzip der vollkommen ungeprüften Fremdquellen bekannt? Und die Tatsache, dass Launchpad nie dafür gedacht war, wofür es heute missbraucht wird?
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
Naja, Libreoffice halte ich für ungeprüft, egal obs in den Ubuntuquellen ist oder sonstwo, dafür ists einfach zu umfangreich. Dieses Prüfen wird maßlos übertrieben, letztlich prüfen die Anwender und Anwenderinnen die Software, ob die tut, was die soll. Und da kann manchmal die neuere Version mit neuen Features und behobenen Fehlern auch besser abschneiden... Canonical ist britisch? Also kanns auch von den Geheimdiensten dazu verpflichtet werden, Sicherheitslücken einzubauen. Im Zweifelsfall müssten also alle Sourcepakete nochmal extern geprüft und nur daraus gebaute Binärpakete verwendet werden. Ich halte Canonial nicht für das ultimative Böse, aber dass da eine "anbetungswürdige" und allein gültige Überprüfung stattfindet, halte ich für ein Gerücht, auch dass ein Entwickler/eine Entwicklerin von Software weniger vertrauenswürdig ist.
|
tomtomtom
Supporter
(Themenstarter)
Anmeldungsdatum: 22. August 2008
Beiträge: 53611
Wohnort: Berlin
|
verdooft schrieb: Canonical ist britisch? Also kanns auch von den Geheimdiensten dazu verpflichtet werden, Sicherheitslücken einzubauen. Im Zweifelsfall müssten also alle Sourcepakete nochmal extern geprüft und nur daraus gebaute Binärpakete verwendet werden. Ich halte Canonial nicht für das ultimative Böse, aber dass da eine "anbetungswürdige" und allein gültige Überprüfung stattfindet, halte ich für ein Gerücht, auch dass ein Entwickler/eine Entwicklerin von Software weniger vertrauenswürdig ist.
Du möchtest dich mit dem System mal vertraut machen, bevor du da vollkommen unqualizierte Äußerungen dazu triffst...
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
tomtomtom schrieb: Du möchtest dich mit dem System mal vertraut machen, bevor du da vollkommen unqualizierte Äußerungen dazu triffst...
Dann erklär doch bitte mal kurz, was an der Prüfung durch Canonical (ob die Pakete in den jeweiligen Ubuntuversionen installierbar sind, funktionieren und den Standards entsprechen? Die ganzen Sourcen schaut sich Canonical auch nicht durch) verlässlicher sein soll als an dem Qualitätsbewusstsein von Entwicklerinnen/Entwicklern oder gar motivierten anderen Menschen, die aktualisierte Programmversionen in PPAs bereitstellen, ihre Pakete in Testumgebungen testen und Rückmeldungen der Anwenderinnen und Anwender entgegen nehmen, etwaige Fehler beheben. Dass nur Canonical qualitätsbewusst prüft halte ich für ein Dogma. Ohne die vielen tausend Entwickler und Entwicklerinnen, auf die sich Canonical bei der Paketauswahl auch verlässt, wäre Ubuntu gar nicht möglich, also würdige ich deren Arbeit, indem ich ihre aktuellen Produkte verwende, zu denen Entwickelnde vermutlich auch lieber Support geben ("wie, du verwendest xyz aus den Paketquellen von Ubuntu 14.04? Dann update erstmal auf die aktuelle Softwareversion, da ist das Problem längst behoben/das Feature abc integriert."). Immerhin steht in den meisten PPAs oder auf den Entwicklerseiten auch der Source zur Verfügung, ist also ein sehr transparenter Vorgang. Ist im Fremdquellenartikel schön beschrieben:
Dass man als Ubuntu-Anwender der Ubuntu-Foundation und der Firma Canonical soweit vertraut, sollte klar sein, denn ansonsten muss man sich eine andere Distribution suchen. Inwieweit man Dritten das gleiche Vertrauen entgegenbringt, muss jeder Anwender für sich selbst entscheiden.
|
tomtomtom
Supporter
(Themenstarter)
Anmeldungsdatum: 22. August 2008
Beiträge: 53611
Wohnort: Berlin
|
verdooft schrieb: Dann erklär doch bitte mal kurz, was an der Prüfung durch Canonical (ob die Pakete in den jeweiligen Ubuntuversionen installierbar sind, funktionieren und den Standards entsprechen? Die ganzen Sourcen schaut sich Canonical auch nicht durch) verlässlicher sein soll als an dem Qualitätsbewusstsein von Entwicklerinnen/Entwicklern oder gar motivierten anderen Menschen, die aktualisierte Programmversionen in PPAs bereitstellen, ihre Pakete in Testumgebungen testen und Rückmeldungen der Anwenderinnen und Anwender entgegen nehmen, etwaige Fehler beheben.
Von "verlässlicher" steht nirgends etwas. Die in den Ubuntu-Paketquellen enthaltenen Paketquellen sind gegeneinander getestet, der Rest nicht. Ziemlich einfach. Und dein Vertrauen in die Entwickler, die auf Launchpad in allen Ehren: Darüber wird massenweise fragwürdige Software verteilt. Man erinnere sich z.B. an die qt4-fsarchiver-Pakete, die mal eben das System für den Nutzer unbrauchbar machen konnten oder die bumblebee-Version, die mal eben /usr gelöscht hat... Auch wenn hier anscheinend bei vielen die Meinung herrscht, alles, was bei Launchpad in einem PPA liegt oder in einem Wiki-Artikel erwähnt wird, wäre "quasi offiziell" etc. pp.: Das sind immer ungeprüfte Quellen und da kann jeder hochladen, was er gerade für richtig hält. Ich betreibe auch ein Launchpad-PPA, aber trotzdem warne ich davor, Fremdquellen zu benutzen. Denn man muss immer selbst recherchieren und beurteilen, was man da an Quellen hinzufügt...
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
tomtomtom schrieb:
Von "verlässlicher" steht nirgends etwas.
"vollkommen ungeprüft" wird aber laufend erwähnt.
Die in den Ubuntu-Paketquellen enthaltenen Paketquellen sind gegeneinander getestet, der Rest nicht. Ziemlich einfach.
Also wer ein PPA anbietet, testet die Pakete doch auch mit den Ubuntupaketquellen, zusätzlich machen das die Anwenderinnen/Anwender. Von vollkommen ungeprüft kann also keine Rede sein. Canonical ist ja nicht der einzige Prüfer auf dem Planeten.
Und dein Vertrauen in die Entwickler, die auf Launchpad in allen Ehren: Darüber wird massenweise fragwürdige Software verteilt.
Ist mir noch nicht begegnet und ich habe ca. 50 Fremdquellen im Einsatz. Es kam mal eine Datei in zwei Paketen vor, das war das größte "Problem", welches ich bisher (dafür schon mehrfach) hatte.
Man erinnere sich z.B. an die qt4-fsarchiver-Pakete, die mal eben das System für den Nutzer unbrauchbar machen konnten oder die bumblebee-Version, die mal eben /usr gelöscht hat...
Dafür hat man ja Backups, /usr ist auch weg, wenn die Festplatte kaputt ist. Damit könnte man die bumblebee-Version sogar als lehrreich einstufen.
Fehler passieren auch in den offiziellen Paketquellen, Anwender und Anwenderinnen fragen dann hier nach, wie sie wieder zu einer grafischen Oberfläche und dadurch einem für sie brauchbaren Zustand kommen.
Das sind immer ungeprüfte Quellen und da kann jeder hochladen, was er gerade für richtig hält.
Kann Canonical das nicht? Gegen Amazonintegration waren viele, war der Firma aber egal. Die Programmierer und Programmiererinnen können in ihre Anwendungen auch einbauen, was sie wollen, es dokumentieren oder nicht. Canonical verpackt das dann und es ist in den offiziellen Paketquellen. Canonical entscheidet, was in die Paketquellen gelangt und was nicht, das nicht dort vorhandene wird als "Fremdquelle" dämonisiert, in eine solche Abhängigkeit begebe ich mich nicht und schaue mich in den Weiten des Webs nach weiteren Perlen um, und wenns ein Pi Berechnungsprogramm ist, das mehrere Threads verwendet. Denn ich entscheide, was ich an Software verwenden möchte, nicht die Auswahl von Canonical.
Ich betreibe auch ein Launchpad-PPA, aber trotzdem warne ich davor, Fremdquellen zu benutzen. Denn man muss immer selbst recherchieren und beurteilen, was man da an Quellen hinzufügt...
Richtig, wobei die Pakete in den Fremdquellen eben doch geprüft werden, nur nicht durch Canonical, sondern durch den Betreuer/die Betreuerin, welche man sogar persönlich kennen kann oder man sogar selbst sein kann.
Inwieweit man Dritten das gleiche Vertrauen entgegenbringt, muss jeder Anwender für sich selbst entscheiden.
(aus dem Artikel Fremdquellen) Daraus lese ich, dass es völlig in Ordnung ist, einer (nicht allen) Fremdquelle(n) mindestens genauso zu vertrauen wie Canonical, so handhabe ich das auch.
|
tomtomtom
Supporter
(Themenstarter)
Anmeldungsdatum: 22. August 2008
Beiträge: 53611
Wohnort: Berlin
|
verdooft schrieb: Also wer ein PPA anbietet, testet die Pakete doch auch mit den Ubuntupaketquellen
Die Supporterfahrung hier lehrt: Nein, leider nicht. Da gibt es schon genügend Pakete, die sich nicht einmal installieren lassen. Aus dem Stegreif fiele mir da simon ein. Oder das wine-ppa, was regelmäßig zur Dependency_hell führte.
Von vollkommen ungeprüft kann also keine Rede sein.
Doch, denn diese Pakete sind nicht mit den Paketquellen geprüft...
Ist mir noch nicht begegnet und ich habe ca. 50 Fremdquellen im Einsatz. Es kam mal eine Datei in zwei Paketen vor, das war das größte "Problem", welches ich bisher (dafür schon mehrfach) hatte.
Schön, wenn DIR das noch nicht begegnet ist. Den Supportern hier allerdings schon gehäuft. Also in der Regel nicht selbst, sondern bei Usern, die mit Problem exakt daraus hier aufschlagen.
Dafür hat man ja Backups, /usr ist auch weg, wenn die Festplatte kaputt ist. Damit könnte man die bumblebee-Version sogar als lehrreich einstufen.
Das ist natürlich ein unschlagbares Argument für die Nutzung von Fremdquellen.
Fehler passieren auch in den offiziellen Paketquellen
Natürlich. Da wird aber auch schonmal drauf reagiert, während etliche PPAs teilweise über Jahre nicht betreut werden.
Kann Canonical das nicht?
Wozu sollte es? Nochmal: Das ist nicht Sinn und Zweck von Launchpad. Richtig, wobei die Pakete in den Fremdquellen eben doch geprüft werden, nur nicht durch Canonical, sondern durch den Betreuer/die Betreuerin, welche man sogar persönlich kennen kann oder man sogar selbst sein kann.
Und das bedeutet dann, bezogen auf Ubuntu, dass diese Pakete vollkommen ungeprüft sind...
|
Tids
Anmeldungsdatum: 29. Oktober 2008
Beiträge: 3065
Wohnort: Naumburg (Saale)
|
Ich selbst hatte ein Repo(PPA) erstellt, wo bestimmte Pakete beim installieren ein Trigger auslösen und das Nutzerbild + den Nutzernamen von allen Nutzern vom Computer abgreifen und auf meinen Server hoch laden. Beim entfernen des Paketes wurde zudem der SWAP Ausgehangen und Netzwerk, bzw WLAN getrennt. Es war damals für mich nur gedacht als Experiment ob das möglich ist, wann etwas dagegen unternommen wird (zumal alles in der Repobeschreibung stand auf english). Irgendwann wurde es wohl zum Spaß dann rum gesendet. Irgendwann kam dann die Mail von Canonical, bzw vom Launchpad Team irgendwas. Das ich gegen den Code of Conduct verstoßen habe und mein Repo eingefroren wird. Das tolle daran war aber, dass es weiterhin verfügbar war und ich mich selbst erst bei Launchpad wieder melden musste, damit ich ein Update in das Repo bringen konnte, was diese Uploadfunktion eben deaktiviert. Am ende saß ich auf irgendwas um die 3.000Bilder/Namen auf dem Server. Also überprüft wird da nix, gehandelt noch viel weniger. Wer PPA nutzt ist wirklich den Erstellern ausgeliefert, dass sie keinen Scheiß bauen. Zumal man immer sehen muss, dass ein *.deb mit Root-rechten installiert wird und daher so gut wie alles darf. Also eben wirklich vom löschen des $HOME, bis zum Upload der Daten. Ubuntus Sicherheitskonzept in der Hinsicht ist allein die Verschlossenheit der eigenen Repositories und eben dieses Sicherheitskonzept hebelst du mit einem PPA aus.
|
n00bfl
Anmeldungsdatum: 22. August 2015
Beiträge: 230
|
hm.. natürlich kann auch in den offiziellen Repositorys Mist drinn sein, der entweder von canonical oder schon von debian übersehen wurde. allerdings ist da die chance geringer, das schwerwiegende bugs ins system gelangen, da das insgesammt einen sehr umfangreichen per review prozess hinter sich hat. so gelangen nur solche pakete in die deb testing repository, die mindestens zehn tage lang keinen bug aufgewiesen haben und diese pakete werden dann auch noch von canonical geprüft. trotzdem kann da immer mal wieder mist passieren (shellshock z.b.) bei ppas ist der reviewprozess niemals so ausgereifft und viele betreiben ppas blos zum testen der eigenen pakete (gerade wenns um nightly updates geht) - da muss man gar nicht mal böse absicht unterstellen, sondern einfach ein ganz normaler prosuktionsprozess. man arbeitet vielleicht im team und will das die teammitarbeiter auf die daily builds zurückgreiffen könne um sie dann eben zu testen. Und selbst bei *stable* ppas ist eben der reviewprozess nie so umfangreich wie er bei offiziellen repos sein kann, weil da einfach viel weniger manpower dahinter steckt. ich verzichte ganz bewusst auf fremdquellen.. brauche ich dringend ein paket das in der offiziellen repo nicht auftaucht gucke ich in der sid repo (ja, ich nutze debian), oder such nach einem deb paket direkt vom hersteller (ist erst einmal nötig gewesen) - ist natürlich theoretisch auch riskant, aber so kann kein update ein zuvor fehlerfreies deb paket durch ein fehler in einer ppa zerschiessen. ich versteh diesen *es muss immer das neuste* sein wahn bei software sowieso nicht. software muss etwas reifen wie wein. es kann für ein betatest system sinnvoll sein, ständig den neusten shitt zu haben, aber doch nicht für ein produktivsystem. da will ich stabilität und geprüfte software.. und da ist es mir egal ob das nun eine paketversion 1.10.25 oder 1.10.26 ist. ich hab mich ja auch bewusst für ein grundsolides system entschieden, warum soll ich diese entscheidung revidieren, in dem ich *unstable* ppas hinzufüge? meine 2 cent zum thema
|
DerMaex
Anmeldungsdatum: 3. Januar 2009
Beiträge: 820
Wohnort: Las Palmas/Gran Canaria
|
Mir selber geht es nur darum, ob ich dem, der ein PPA zur Verfügung stellt vertraue, oder nicht. Ob dieses PPA von Canonical, die ihr Betriebssystem ohne jegliche Garantie oder Gewährleistung zur Verfügung stellt, überprüft wurde, oder von dem Ersteller des PPAs, ist mir persönlich vollkommen gleichgültig, weil es schlicht und einfach, für mich natürlich, keine Rolle spielt. - Es gibt weder von dem einen, noch von dem anderen, irgendeine Garantie. Reine Vertrauenssache. Ich kann aber gut verstehen, wenn Leute Canonical mehr Vertrauen entgegenbringen als zb. Firefox, Libreoffice, Linrunner,... nur sollten diese sich dann nicht wundern, wenn sie nicht von jedem für ganz voll genommen werden...
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Hallo DerMaex, du scheinst den Punkt nicht ganz getroffen zu haben. Weder die Firefox, noch die LibreOffice Entwickler stellen per PPA Pakete für Ubuntu bereit. Das machen immer Drittpersonen, die man i.d.R. nicht kennt. Wie kann man da Vertrauen haben? An den Paketen in den Ubuntu-Paketquellen arbeiten Angestellte von Canonical und andere bekannte (!) Mitglieder der Community. Da weiß man wer dahinter steht und warum er das macht. Das schützt einen nicht zu 100%, aber das Mehr-Augen-Prinzip greift auch hier. Was in einem PPA passiert ist dagegen vollkommen ungeprüft und wenn jemand - siehe Tids Beispiel - böswillig ist, geht das schnell nach hinten los.
|
DerMaex
Anmeldungsdatum: 3. Januar 2009
Beiträge: 820
Wohnort: Las Palmas/Gran Canaria
|
Hallo Cruiz, gerade bei Firefox (Mozilla Team) und bei Libreoffice (Libreoffice Packaging Team) habe ich Vertrauen, zumindestens nicht weniger Vertrauen als in Canaonical. Warum sollte ich denen auch weniger vertrauen? Bei tlp von linrunner ist es genau das gleiche. Warum sollte ich seiner Software weniger Vertrauen als Software, die von Canonical, natürlich ohne jeglicher Garantie, überprüft wurde? Und dadurch, dass ich in meinem vorigen Beitrag eh mehrere Male darauf hingewiesen habe, dass es meine Meinung ist, und um mich geht, ändert sich daran auch nichts. Reine Vertrauenssache. Und wer wem mehr vertraut, ist, glaube ich, nicht streitbar, sondern jedem sein eigenes Ding.
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Und schon bist du einem Fehler aufgesessen. Aber schön, dass das hier mal so exemplarisch gezeigt wird. Das LibreOffice-PPA ist z.B. weder offiziell, noch steht da formell die Document Foundation hinter - auch wenn es Überschneidungen beim Personal gibt. Die Document Foundation verbreitet ihre Software nämlich direkt als DEB-Datei. Hinzu kommt, dass dies in Gruppen-PPA ist und somit für den Nutzer noch weniger nachvollziehbar, wer da eigentlich den Upload durchgeführt hat.
|
DerMaex
Anmeldungsdatum: 3. Januar 2009
Beiträge: 820
Wohnort: Las Palmas/Gran Canaria
|
Also sorry, ich bin da mit Sicherheit keinem Fehler aufgesessen, weil mir das durchaus bewusst war. Abgesehen davon... hier liest man öfters, dass es überhaupt keine offiziellen PPAs geben kann, weil das vollkommen unüberprüfte Fremdquellen sind 😀 Dass, von Spitzfindigkeiten mal abgesehen, das PPA vom Mozilla-Team ein offizielles darstellt war eher Zufall bei meiner Wahl der unter "zb.: " angeführten PPAs.
|
tomtomtom
Supporter
(Themenstarter)
Anmeldungsdatum: 22. August 2008
Beiträge: 53611
Wohnort: Berlin
|
DerMaex schrieb: Dass, von Spitzfindigkeiten mal abgesehen, das PPA vom Mozilla-Team ein offizielles darstellt
*hust* Es gibt weiterhin keine offiziellen PPAs.
|