DerMaex
Anmeldungsdatum: 3. Januar 2009
Beiträge: 820
Wohnort: Las Palmas/Gran Canaria
|
tomtomtom schrieb:
Es gibt weiterhin keine offiziellen PPAs.
Sie bezeichnen es auf ihrer Launchpad-Seite als ihr offizielles PPA, und wenn ich von denen Software bereitgestellt bekommen möchte, ist für mich interessant, was sie selber für eine Bezeichnung wählen, und nicht vollkommen ungeprüfte dritte Stellen 😲 Wenn sie ein PPA erstellen, werden sie ja wohl selber entscheiden dürfen, ob das ihr offizielles, oder ihr unoffizielles ist.
|
Frieder108
Anmeldungsdatum: 7. März 2010
Beiträge: 8989
|
Hallo DerMaex natürlich ist es ein bischen "Wortklauberei", aber offizielle PPAs gibt es in der Tat nicht - es gibt nur PPAs Les mal hier, da ist das auch ganz nett erklärt ☺
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
Doch gibts. Offizielles PPA Die neueste stabile Version der Entwickler erhält man über ein "Personal Package Archiv" (PPA)
https://wiki.ubuntuusers.de/liferea
|
DerMaex
Anmeldungsdatum: 3. Januar 2009
Beiträge: 820
Wohnort: Las Palmas/Gran Canaria
|
Hi Frieder108, den Link kannte ich schon 😉 Klar ist es Wortklauberei, denn es kommt auf die Sichtweise an. Wenn ich ein PPA erstelle, dann ist es mein offizielles PPA. Aus meiner Sicht, aus der Sicht von Ubuntu natürlich nicht, aber who cares? Ich zitiere mal ein p(p)a(a)r Sachen daraus:
Niemand garantiert Ihnen, dass die Software hinter einer PPA mit Ihrem Betriebssystem oder Ihrer Version überhaupt funktioniert.
Wieso Niemand? - Wenn der Betreiber des PPAs, dem ich vertraue, mir erklärt, dass es unter dieser Version mit der jeweiligen Hardware funktioniert, kann man doch nicht von Niemand sprechen. Und wer sollte es denn sonst garantieren? Ubuntu, das ohne jeglicher Garantie oder Gewährleistung ausgeliefert wird? Niemand garantiert Ihnen dauerhaften Support für die heruntergeladene Software. Als der offizielle Support von TrueCrypt eingestellt wurde, haben alle Anbieter, die diese Software in Ihrer PPA hatten, die Dateien einfach gelöscht. Tippen Sie dann sudo apt-get update in ein Terminal-Fenster ein, bekommen Sie mehrmals die Fehlermeldung 404. Ein absolut unrühmliches Beispiel, mit dem ja nun wirklich niemand so schnell gerechnet hätte. - Das ist aber nichts, was nicht auch ähnlich mit einer ganzen Distribution mal passieren könnte. Und dass nicht mehr betriebene PPAs manuell gelöscht werden müssen, also ein bisschen Eigenverantwortung verlangen, erachte ich nicht weiter als schlimm. - Aus diesem Grund sollte man auch nur PPAs einbinden, denen man Vertrauen entgegenbringt.
|
tomtomtom
Supporter
(Themenstarter)
Anmeldungsdatum: 22. August 2008
Beiträge: 53625
Wohnort: Berlin
|
verdooft schrieb: Doch gibts. Offizielles PPA Die neueste s
Nö, da hat nur wer im Wiki geschlampt. 😛
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
Sogar offizielle Fremdquellen gibts:
Seit Mai 2015 existiert eine offizielle Fremdquelle 🇬🇧, die die Installation deutlich erleichtert.
https://wiki.ubuntuusers.de/Cloud-Dienste Achso, völlig ungeprüfte, inoffizielle (aus Sicht Ubuntus/Canonicals) Dokumentation in Form von Wikiartikeln, ich verstehe. Vielleicht könnte man das auf der Startseite des Wikis (https://wiki.ubuntuusers.de/Startseite) mal deutlich erwähnen und die offizielle Produktdokumentation empfehlen.
|
tomtomtom
Supporter
(Themenstarter)
Anmeldungsdatum: 22. August 2008
Beiträge: 53625
Wohnort: Berlin
|
verdooft schrieb: Sogar offizielle Fremdquellen gibts:
Das ist ein Oxymoron.
Achso, völlig ungeprüfte, inoffizielle (aus Sicht Ubuntus/Canonicals) Dokumentation in Form von Wikiartikeln, ich verstehe.
Natürlich sind sämtliche Wikiartikel frei von Fehlern. Wie sollte es auch anders sein.
Vielleicht könnte man das auf der Startseite des Wikis (https://wiki.ubuntuusers.de/Startseite) mal deutlich erwähnen und die offizielle Produktdokumentation empfehlen.
Vorschläge dazu gehören in die Diskussion zum Wikiartikel.
|
n00bfl
Anmeldungsdatum: 22. August 2015
Beiträge: 230
|
ich glaub, tomtomtom und verdooft reden aneinander vorbei , wenn sie den Begriff "offiziell" meinen tomtomtom meint offiziell aus Sicht von Canonical/Ubuntu - aus dieser Warte gibt es natürlich keine "offiziellen" Fremdquellen verdooft aber mein, offiziell aus Sicht der Programmentwickler, die ja durchaus PPAs Betreuen können die dann aus Sicht der Entwickler (z.b. Mozilla) offiziell sein können
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
Genau n00bfl, das ist es. Damit dass PPAs nicht von Canonical geprüft sind, gehe ich natürlich konform. Ich verstehe nur nicht, wenn Canonical z.B. die Sourcen von Programm xyz kompiliert und das Resultat in ein Paket packt, warum ich einem PPA, in dem Entwickler/-innen den Sourcen aktualisieren und daraus Pakete mit neuen Features und Fehlerbehebungen bauen, per se weniger vertrauen sollte. Eben weil der komplette Source von Canonical auch nicht durchgesehen wird. Ob Pakete mit den installierten Paketen der offiziellen Ubuntu Quellen funktionieren kann man selbst prüfen. PPA hinzufügen, Programm updaten/installieren, starten, damit arbeiten. Tut es, was es soll, ist es geprüft. Natürlich wieder nicht von Canonical. Und: Wenn Canonical nicht den ganzen Source kontrolliert, vertraut Canonical den Entwickler(inne)n, wenn deren Source und was daraus gebaut wird in den Paketquellen landet. Worin liegt der Unterschied, wenn man den Entwickler(inne)n auch vertraut?
|
n00bfl
Anmeldungsdatum: 22. August 2015
Beiträge: 230
|
Ob Pakete mit den installierten Paketen der offiziellen Ubuntu Quellen funktionieren kann man selbst prüfen. PPA hinzufügen, Programm updaten/installieren, starten, damit arbeiten. Tut es, was es soll, ist es geprüft. Natürlich wieder nicht von Canonical.
das ist so nicht ganz richtig.. das ist dann richtig, wenn du ein paket aus einer source einmal installierst und dann die source löscht.. aber angenommen, nur rein theoretisch, ich bin z.b. ein kleiner freak, betreibe meine ganz eigene kleine ppa mit irgend einem nützlichen kleinen tool, das richtig geil funzt.. du installierst es und bist voll happy und liebst meine ppa.. in zwischenzeit.. ich weiss nicht.. tick ich irgendwie aus und pack ganz gemeinen code in das paket, blos weil ich es kann.. und du dann, so nichts ahnend, machst fröhlich ein Systemupdate und dann kackt dein System ab, wegen meinem gemeinen Code - und das Programm das vorher wunderbar lief ist plötzlich ein gemeines, systemzerstöhrendes Monster geworden. Klar, das ist etwas aus der Luft gegriffen, aber ein theoretisch sehr gut denkbares Szenario (und wer z.b. ein Android Handy hat weiss dass dieses Szenario durchaus realistisch ist, da dort tagtäglich "nette kleine tool" gemeinen Schadcode nachladen) - Dieses Risiko ist zwar Theoretisch auch bei den Offiziellen Ubuntusources möglich, aber sehr viel Unwahrscheinlicher, da dort eben mehr Kontrolle schon vor dem Bereitstellen der Quellen existiert und Cannonical natürlich ein sehr grosses Interesse daran hat, soetwas nicht zu tun. bei einer PPA kann das geschehen, weil du nicht wirklich überprüfen kannst, wer dahinter steht.. ich mein ich kann mich ja auch "official xfce nightly PPA" nennen - du wirst das nicht überprüfen können ob ich das wirklich bin Insofern ist es mit PPA eigentlich wie wenn man bei Windows von irgendwelchen obskuren Quellen irgend ein Programm herunterläd und installiert - plötzlich muss man immer Sorge tragen, dass nicht irgend jemand irgend etwas gemeines macht (und seis nur diese nerfige Ask toolbar, die jede Setup.exe installieren will) - während das Konzept von einer Zentralen Repository, die von einem Team Zentral gewartet wird eine Sicherheitsschicht zwischen Entwickler und Endanwender einlegt. Das Verhindert sicher nicht den einen oder anderen blödfug ( z.b. Shellschock) - macht es aber einem gemeinen kleinen freak wesentlich schwieriger, deinen Computer zu infiltrieren. und klar, am Ende bleibts eine Frage des Vertrauens.. Vertraue ich Canonical (ich z.b. nicht so ganz, ich vertraue Debian) oder vertraue ich einem PPA betreiber (auch da vertrau ich nicht)
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 29067
Wohnort: WW
|
Hallo, im aktuellen Linux-Magazin ist übrigens ein Artikel, in dem ein Ubuntu-Core Entwickler erklärt, was Ubuntu (und auch Debian) beim Paketieren (von Paketen für main ) alles so machen und prüfen.
Natürlich sind sämtliche Wikiartikel frei von Fehlern. Wie sollte es auch anders sein.
Na ja.... sagen wir mal so: das ist die Vision 😉 Gruß, noisefloor
|
optimq
Anmeldungsdatum: 7. Dezember 2009
Beiträge: 1409
|
tomtomtom schrieb: verdooft schrieb: Dann erklär doch bitte mal kurz, was an der Prüfung durch Canonical (ob die Pakete in den jeweiligen Ubuntuversionen installierbar sind, funktionieren und den Standards entsprechen? Die ganzen Sourcen schaut sich Canonical auch nicht durch) verlässlicher sein soll als an dem Qualitätsbewusstsein von Entwicklerinnen/Entwicklern oder gar motivierten anderen Menschen, die aktualisierte Programmversionen in PPAs bereitstellen, ihre Pakete in Testumgebungen testen und Rückmeldungen der Anwenderinnen und Anwender entgegen nehmen, etwaige Fehler beheben.
Von "verlässlicher" steht nirgends etwas. Die in den Ubuntu-Paketquellen enthaltenen Paketquellen sind gegeneinander getestet, der Rest nicht. Ziemlich einfach. Und dein Vertrauen in die Entwickler, die auf Launchpad in allen Ehren: Darüber wird massenweise fragwürdige Software verteilt. Man erinnere sich z.B. an die qt4-fsarchiver-Pakete, die mal eben das System für den Nutzer unbrauchbar machen konnten oder die bumblebee-Version, die mal eben /usr gelöscht hat... Auch wenn hier anscheinend bei vielen die Meinung herrscht, alles, was bei Launchpad in einem PPA liegt oder in einem Wiki-Artikel erwähnt wird, wäre "quasi offiziell" etc. pp.: Das sind immer ungeprüfte Quellen und da kann jeder hochladen, was er gerade für richtig hält. Ich betreibe auch ein Launchpad-PPA, aber trotzdem warne ich davor, Fremdquellen zu benutzen. Denn man muss immer selbst recherchieren und beurteilen, was man da an Quellen hinzufügt...
Hallo zusammen! Um es mal an dem Beispiel "ppa:canonical-kernel-team/ppa" Launchpad zu konkretisieren. Wird hier nur der Name "Canonical" verwendet oder gar missbraucht? Oder steckt Canonical da tatsächlich dahinter, bzw. Angestellte davon? Und werden die Pakete / PPA, in gewisser Weise, dann von Canonical überprüft, bevor sie auf Launchpad erscheinen? Gruß Andi
|
tomtomtom
Supporter
(Themenstarter)
Anmeldungsdatum: 22. August 2008
Beiträge: 53625
Wohnort: Berlin
|
optimq schrieb: Um es mal an dem Beispiel "ppa:canonical-kernel-team/ppa" Launchpad zu konkretisieren. Wird hier nur der Name "Canonical" verwendet oder gar missbraucht? Oder steckt Canonical da tatsächlich dahinter, bzw. Angestellte davon?
Wie du auf Launchpad eindeutig erkennen kannst wird die Quelle von Canonical-Mitarbeitern geführt. Und zwar nicht, um für die Masse als Fremdquellen genutzt zu werden, sondern zu Entwicklungszwecken. Genauso steht in der PPA-Beschreibung auch, dass man dieses PPA nicht nutzen soll.
Und werden die Pakete / PPA, in gewisser Weise, dann von Canonical überprüft, bevor sie auf Launchpad erscheinen?
Du solltest dich wohl mal mit dem Ablauf der PPA-Erstellung befassen. Das ist ein automatisierter Ablauf, egal von wem sie hochgeladen werden.
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4020
|
Unter der Annahme, dass Canonical nicht den ganzen Source der eigenen Quellen kontrolliert, bin ich jetzt zu dem Ergebnis gekommen: Läd man Source von einer Entwicklerin oder einem Entwickler, kompiliert den, installiert, vertraut man einer/einem. Verwendet man die offiziellen Paketquellen von Canonical vertraut man Canonical und der Entwicklerin/dem Entwickler. Also ist das Risiko bei Nutzung der offiziellen Paketquellen doppelt so hoch, dass was nicht geht oder schädlich ist. Ist stark vereinfacht dargestellt, natürlich kommen da noch die Compilerentwickler/-innen, die Hoster/-innen etc. dazu, aber das betrifft die Entwicklerin/den Entwickler als direkte Quelle und den Umweg über Canonical genauso, dieses +1 (Canonical) beteiligter bleibt.
|
tomtomtom
Supporter
(Themenstarter)
Anmeldungsdatum: 22. August 2008
Beiträge: 53625
Wohnort: Berlin
|
verdooft schrieb: Unter der Annahme, dass Canonical nicht den ganzen Source der eigenen Quellen kontrolliert
Nochmal: Nicht der Code wird kontrolliert, sondern die Kompatibilität der Pakete.
Also ist das Risiko bei Nutzung der offiziellen Paketquellen doppelt so hoch, dass was nicht geht oder schädlich ist.
Genau. Und 64-Bit-Software braucht doppelt soviel Speicher wie 32-Bit-Software...
|