Fredo schrieb:
Der Artikel strotzt ja nur so vor Sicherheitswarnungen. Damit ich das halbwegs einschätzen kann: Warum ist der Apache eine Sicherheitslücke? Gilt das nur für den vollen Apache (apache2), oder auch für die abgespeckte Version (apache2.2-bin), die ja eigentlich nicht auf Port 80 lauschen dürfte?
Ein Apache an sich ist keine Sicherheitslücke. Eine Installation und Aktivierung desselben öffnet aber einen Serverport, und unterläuft damit die Ubuntu-Richtlinie, dass eine Desktop-Installation erstmal keine offenen Ports haben sollte. (Von wohldefinierten Ausnahmen wie DHCP und Avahi abgesehen.) Das ist in diesem Fall etwas, womit der User evtl. nicht rechnet, wenn er bloß mal für eine Datei ein Filesharing-Tool installieren möchte. Insbesondere weil damals, als der Artikel geschrieben wurde, ab sofort bei jedem Systemstart der Apache gestartet wurde, selbst wenn man g-u-s nur einmal testweise benutzt hatte. Wie das jetzt aussieht, ob der Apache nur bei Bedarf gestartet wird, oder ob er auf seinem Non-Standard-Port ständig läuft, weiß ich nicht. Ein anderer Port alleine ist jedenfalls bloß security by obscurity. Wenn er dagegen nur on-demand gestartet wird wenn man das Programm startet, und bei Beendigung von g-u-s mit beendet wird, ist das was anderes. Das ein Port auf ist, wenn man einen Freigabedienst startet, sollte man sich denken können.
Dass man das Programm generell nicht auf "Rechnern mit sensiblen Daten" verwenden sollte, ist natürlich eher Quatsch, denn der Apache wird ja selber oft als Webserver für sensible Daten eingesetzt. Man sollte halt nur darüber informiert sein, was da im Hintergrund passiert.
Ist Giver/Empathy+telepathy-salut auch ein Sicherheitsrisiko?
Sagen wir es mal so: Der Apache ist durch seine Verbreitung im Serverbereich ein big target. Es könnte also sein, dass entsprechende Exploits schneller gefunden werden und sich weiter verbreiten, als von Giver oder Empathy. Sicherheitslücken könnte es natürlich in beidem geben. Der Apache hat auch evtl. weitaus mehr Funktionalität als man für g-u-s braucht, und auch in dieser "sinnlosen" Funktionalität könnte eine Lücke gefunden werden. Aber auf der anderen Seite wird der Apache wahrscheinlich öfter einer Überprüfung unterzogen. Das ist also eigentlich eine schwachsinnige Abwägung mit zu vielen Unbekannten. Es geht nur darum, dass man weiß, was man sich da mit installiert, und das eigene Risiko dabei selber einschätzen kann.
Dafür ist g-u-s einfach einzurichten. Ich nehme sonst ja immer einfach Empathy+Bonjour (was ähnlich funktionieren sollte wie Giver), aber bei großen Dateien läuft mir da der Arbeitsspeicher voll und die Übertragung bricht ab. Mit g-u-s kann ich zur Not einfach wget nehmen, das klappt immer. Aber das müssen wir hier ja eigentlich nicht diskutieren. 😉
Ich würde in dem Fall scp nehmen, weil ich sowieso auf jedem Rechner sshd installiert habe. Aber das ist am Ende eben jedem selber überlassen.