ubuntuusers.de

mrbeyer hat geschrieben:

Der Begriff "Hersteller" lässt sich in der Hinsicht sicherlich weit fassen; jedes Paket wurde ja "hergestellt", ob der Hersteller deshalb vertrauenswürdig ist oder nicht, kann man per se nicht sagen.

Es ging natürlich um die Hersteller der bereitgestellten Software. Schau mal was du oben zitiert hast.
mrbeyer hat geschrieben:

Aber nicht nur wegen des Sicherheitsaspekts missfällt mir das. Auch wegen diverser Paketabhängigkeiten. Wenn z.B. ein Programm versionshöhere Abhängigkeiten hat als ein anderes installiertes Programm kann es schnell zur unschönen Systemzerfrickelung kommen.

Deswegen werden auch in den seltensten Fällen direkte Abhängigkeitsversionen angegebenen sondern "oder höher" - oder, idealerweise, gar keine weiteren Abhängigkeiten (siehe OOo oder NeroLinux).

Hallo alle Miteinander,

tja, wozu braucht man Fremdquellen?

Ich bin gerade dabei auf der digicam gespeicherte Videos in Mpeg umzuwandeln. (zum angucen auf Auf dem DVD Player)
ffmpeg habe ich also aus den "Ubuntu Quellen" geladen. ( auch als Übung zum Umgang mit dem Terminal)
Es hat nicht funktioniert

Erst im Forum hier habe ich erfahren dass ffmpeg aus den Medibuntu Quellen geeignet ist.
Nur dieses Programm (aus den Medibuntu Quellen) kann mp3 Codecs umwandeln.

Wenn ich als Linux Neuling lese

Achtung Fremdquellen gefährden ihr System...

Und wenn ich dann unter dem Punkt Update sinngemäß erfahre:

Fremdpakete können Abhängigkeiten erzeugen die während des Updates nicht aufgelöst werden können

sowas versetzt mich immer in Panik und ich denke mir dann willst du sowas wirklich riskieren?
Zumal, die Videos habe ich längst auf meinem alten Windows PC umgewandelt.
Ich wollte es aber auch unter UBuuntu probieren.

Aber ich brauche diese Fremdquelle um unter Ubuntu die o.g. Aufgabe zu erfüllen.

Wie ist den hier die Erfahrung mit Medibuntuquellen bezüglich der o.g. Warnungen vor Fremdquellen?

Wie ihr seht habe ich das Wiki ausführlich gelesen.

Videos umzuwandeln das empfinde ich nicht gerade als Spezi Anwendung, das machen sicher viele Leute
Deshalb gehören solche Programme auch in die offiziellen Quellen.

Zum Schluss ich bin ein Neuling hier. Ich will und möchte etwas dazulernen.
Aber solnange Nutzer gezwungen sind wegen einiger Anwendungen auf Fremdquellen umzusteigen, finde ich den Ton den hier einige anschlagen doch etwas übertrieben.

liebe Kritiker :
Was soll ich tun? auf eine Anwendung verzichten um der Sicherheit willen?
oder eine Anwendung installieren mit dem Risiko das nächste Update nicht zu überleben.

Gruß David Marien

David Marien hat geschrieben:

Wie ist den hier die Erfahrung mit Medibuntuquellen bezüglich der o.g. Warnungen vor Fremdquellen?

Die Medibuntu-Quellen haben einen guten Ruf. Dass da explizit schädliche Software drüber kommt ist also eher unwahrscheinlich. Generell sind die Warnungen vor Fremdquellen hier im Wiki absichtlich sehr deutlich gehalten, um Leute davon abzuhalten einfach alle Quellen einzutragen, derer sie habhaft werden können.

So weit ich weiß, stimmen die Medibuntu-Leute ihre Pakete immer sorgfältig auf die jeweilige Ubuntu-Version ab, so dass es auch keine Inkompatibilitäten geben sollte. Jedenfalls so lange nicht dein halbes System schon aus Fremdquellen gespeist wird. Das trifft aber nicht auf alle Quellen zu, deren URLs so im Umlauf sind. Einige schaufeln dir haufenweise Beta-Versionen auf dein System, auch für wirklich essenzielle Systembestandteile, ohne dass du die Übersicht behalten kannst, und wenn du dann z.B. auf die nächste Ubuntu-Version upgraden willst, endet dein System in einem völlig chaotischen Zustand.

Es ist also nicht die Absicht der Warnungen, generell von Fremdquellen abzuraten, sondern sie eben auf genau die Fälle zu beschränken, wo man sie wirklich braucht, wie bei dir mit ffmpeg. Man sollte also jede einzelne Fremdquelle für sich selber begründen können und am besten sicherstellen (über Apt-Pinning oder indem man nur einzelne Pakete aus der Quelle herunterlädt,) dass man aus dieser Quelle keine anderen Pakete erhält.

otzenpunk hat geschrieben:

So weit ich weiß, stimmen die Medibuntu-Leute ihre Pakete immer sorgfältig auf die jeweilige Ubuntu-Version ab, so dass es auch keine Inkompatibilitäten geben sollte. Jedenfalls so lange nicht dein halbes System schon aus Fremdquellen gespeist wird. Das trifft aber nicht auf alle Quellen zu, deren URLs so im Umlauf sind. Einige schaufeln dir haufenweise Beta-Versionen auf dein System, auch für wirklich essenzielle Systembestandteile, ohne dass du die Übersicht behalten kannst, und wenn du dann z.B. auf die nächste Ubuntu-Version upgraden willst, endet dein System in einem völlig chaotischen Zustand.

Es ist also nicht die Absicht der WarnunDavid Marien hat geschrieben:

Wie ist den hier die Erfahrung mit Medibuntuquellen bezüglich der o.g. Warnungen vor Fremdquellen?

Die Medibuntu-Quellen haben einen guten Ruf. Dass da explizit schädliche Software drüber kommt ist also eher unwahrscheinlich. Generell sind die Warnungen vor Fremdquellen hier im Wiki absichtlich sehr deutlich gehalten, um Leute davon abzuhalten einfach alle Quellen einzutragen, derer sie habhaft werden können.
gen, generell von Fremdquellen abzuraten, sondern sie eben auf genau die Fälle zu beschränken, wo man sie wirklich braucht, wie bei dir mit ffmpeg. Man sollte also jede einzelne Fremdquelle für sich selber begründen können und am besten sicherstellen (über Apt-Pinning oder indem man nur einzelne Pakete aus der Quelle herunterlädt,) dass man aus dieser Quelle keine anderen Pakete erhält.

Hallo alle miteinander,

Warum muss ich eigentlich auf Fremdquellen zurückgreifen?
Das hängt sicherlich mit Lizenzen der div. Staaten und Firmen zusammen.
Kann Canonical nicht kostenpflichtige Pakete anbieten?

So könnte man einerseits Lizenzgebüren zahlen und zusätzlich Geld verdienen.
Andererseits müsste der Nutzer nur für äußerst spezielle Software auf Fremdquellen zurückgreifen.
So wäre Sicherheit und Nutzerbedürfnis gut miteinander vereint

Gruß David Marien ☺

Aus aktuellen Anschlass spiele ich Totengräber...

Wir haben mal wieder ein großes Update der Hardy sources.list. Es sind einige wenige Quellen weggefallen und auch etliche hinzugekommen.

http://oshelpdesk.org/?p=614

Sorry, wenn ich das sehe und der Schmarn sogar noch auf den Planeten kommt, dann wird mir schlecht!

Chrissss schrieb:

Aus aktuellen Anschlass spiele ich Totengräber...

Wir haben mal wieder ein großes Update der Hardy sources.list. Es sind einige wenige Quellen weggefallen und auch etliche hinzugekommen.

http://oshelpdesk.org/?p=614

Sorry, wenn ich das sehe und der Schmarn sogar noch auf den Planeten kommt, dann wird mir schlecht!

Hab denen schon vor 2 Stunden einen Kommentar auf den Blogeintrag geschrieben, aber der wurde noch nicht freigeschaltet. Und ich bezweifle dass das was wird.

~jug

Chrissss schrieb:

Sorry, wenn ich das sehe und der Schmarn sogar noch auf den Planeten kommt, dann wird mir schlecht!

mir auch, konsequenterweise sollten die ab jetzt auch den kpl. Support hier übernehmen bei Problemen, die durch solch eine sources.list enstehen. Dieser Eintrag sollte so schnell wie möglich aus dem Planeten gelöscht werden oder zumindest mit einem entsprechenden Kommentar seitens des Teams von UU.de versehen werden.

jug schrieb:

Hab denen schon vor 2 Stunden einen Kommentar auf den Blogeintrag geschrieben, aber der wurde noch nicht freigeschaltet. Und ich bezweifle dass das was wird.

Mittlerweile sind wenigstens die Kommentare freigeschaltet worden...

Also, die Hardy-Sourceslist ist voll mit Gutsy- und Feisty-Paketquellen. Die will ich nicht wirklich haben.

Im Planet ist es immerhin nicht mehr. Frage mich aber auch, wie man auf die Idee für eine solche Liste kommt. Über die Antwort des "admins"

Dass man nicht alles und jedes installieren sollte sollte eigentlich jedem Nutzer bewusst sein. Egal ob er seit Jahren oder seit gestern Linux verwendet. Unter Windows ist es ja nicht viel anders mit “fremden” Programmen

musste ich dagegen schmunzeln. Dieser extrem gute Umgang mit Fremdprogrammen unter Windows erklärt dann sicherlich auch die Verbreitung von Viren und Würmern, die per E-Mail-Anhang verschickt werden.

Da frage ich mich: Sind Linux-Nutzer wirklich soviel schlauer? (Ich gehe mit guten Beispiel voran und sage: "Nein, von mir kann ich das nicht behaupten!" *g*)

Gruß, Dee

PS: Sorry fürs leichte Off-Topic!

Guten Morgen, gut, dass ich das hier lese. Der erste Beitrag hier hat mir mal die Augen geöffnet. Ich habe zwar bei mir nur die für mich wichtige Paketquellen hinzugefügt, dachte aber immer, dass nur die Programme, die ich von dort installiere auch aktualisiert bekomme. Dabei ist es ja klar, dass jede Software aktualisiert werden kann (wie das Beispiel im ersten Beitrag ja zeigt)!

Vielen Dank für die Info!

Frage: Wie finde ich heraus, ob solche Quellen sicher sind? z.B medibuntu.org

Straightforward schrieb:

Frage: Wie finde ich heraus, ob solche Quellen sicher sind? z.B medibuntu.org

Du suchst im Internet nach Benutzer, die diese Repositories benutzen (eventuell haben sie einen Erfahrungsbericht veröffentlicht, um zum Beispiel vor bestimmten Quellen zu warnen oder sie zu "empfehlen").

Ausserdem plädiere ich auf bestimmte Aufnahme-Regeln für Blogs im Planet, die man vielleicht gemeinsam im Wiki erarbeiten und dann demokratisch als Gemeinschaft abstimmen können.

Grüsse
moe pot

Bisher war ich immer "kontra" gegen Fremdquellen, aber bei näherer Betrachtung, und entsprechender Behandlung dieser, sprich, ich benutze diese zum testen in einer Testumgebung um Fehler zu finden. Leider ist dies aber so wie es beworben wird nicht der Fall, prinzipiell sage ich wenn die Quelle signiert ist benutze ich sie, da dies aber bei den meisten Quellen nicht der Fall ist, und die wenigsten User "wirklich wissen was Sie tun" sollte man mehr als tunlichst die Finger davon lassen.

Ein guter Vergleich wären Nahrungsmittel, diese würde ich doch auch nicht von jedem kaufen, sondern bevorzugt bei dem "Erzeuger" den ich kenne und wo ich weiß wie hergestellt wurde.

Es ist nicht schwer in ein offizielles Repo zu kommen, zumindest kann man es versuchen, siehe www.geole.info ist immer ein guter Hinweis, aber wie sieht die Realität aus, alle die ein kleines Repo aufziehen, haben vll. 1 oder 2 Tools, wenn sie sich mal ein wenig mehr zusammensetzen würden und nicht so drauflos "werkeln" würden, denke ich käme am Ende auch etwas befriedigenderes raus.

Naja, wenn sie den Support übernehmen, wäre es schon okay. 😛

Straightforward schrieb:

Frage: Wie finde ich heraus, ob solche Quellen sicher sind? z.B medibuntu.org

Die Artikel im Wiki zum Thema Paketverwaltung, vor allem Paketquellen Fremdquellen, geben da einen ganz guten Leitfaden an die Hand, denke ich. Ansonsten ein bisschen Recherche gepaart mit gesundem Menschenverstand. Ist die Paketquelle direkt vom Entwickler einer Software die auch viel eingesetzt wird (z. B. gscan2pdf) oder von einem angesehen Portal (z. B. http://www.kubuntu.org), habe ich weniger Bedenken die in meine sources.list aufzunehmen, als wenn ich nur einen Blog-Eintrag zu einer Quelle finde.

Andy1 schrieb:

prinzipiell sage ich wenn die Quelle signiert ist benutze ich sie,

Ob eine Quelle signiert ist, oder nicht, ist dafür völlig irrelevant. Jeder kann eine Quelle aufmachen und die Pakete darin signieren. Das verhindert zwar, dass andere Leute bei einem Einbruch in den Server gefälschte Pakete dort ablegen können, sagt aber überhaupt nichts (wirklich gar nichts) darüber aus, ob der Betreiber selber evtl. ein krummer Hund oder einfach nur unfähig ist.