Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Das Problem und die Diskussion darüber ist so alt wie Ubuntu selbst. Die Ursache liegt meiner Meinung nach darin, dass man die riesige Debian-Paketsammlung übernimmt, die sich auf 5 Jahre unmöglich warten lässt. Selbst Debian hat dies bei der Einführung des neuen LTS-Modells (oldoldstable) erkannt und den LTS-Support auf einen Kernbestandteil reduziert. Eine andere Lösung wäre eine allgemeine Reduzierung der Paketquellen auf den Umfang von z.B. Fedora oder openSUSE. Damit verlagert man dann aber nur das Problem, weil die Anwender in noch größerem Ausmaß Drittanbieterquellen einbinden, um an die gewünschte Software zu gelangen. Diese sind dann wieder genau so unsicher, wie bisher universe. Rolling Release selbst bringt weder eine Lösung, noch ist sie Zielgruppenorientiert. Es bringt keine Lösung, weil es ja trotzdem eine aktive Entwicklercommunity benötigen würde, welche die Pakete baut und aktuell hält. Zur Zielgruppe wurde ja bereits was gesagt. Ubuntu auf dem Desktop ist für die Masse, Ubuntu auf dem Server für die Finanzierung von Canonical. Beides verträgt sich nicht mit einem RR-Entwicklungsmodell. Der Artikel ist deshalb nicht inhaltlich falsch, aber er wurde von c't natürlich terminlich genau passend zur 16.04 veröffentlicht um mal wieder ein reißerisches Thema zu haben.
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53622
Wohnort: Berlin
|
Cruiz schrieb: Rolling Release selbst bringt weder eine Lösung
Das ist falsch. Rolling-Release-Distributionen liefern die aktuelle Version der Software aus. Somit also auch die, in denen Sicherheitslücken gefixt wurden. noch ist sie Zielgruppenorientiert.
Es gibt auch RR-Distributionen, die die selbe Zielgruppe wie Ubuntu anvisieren.
Es bringt keine Lösung, weil es ja trotzdem eine aktive Entwicklercommunity benötigen würde, welche die Pakete baut und aktuell hält.
Der Satz widerspricht sich. Denn Rolling-Release-Distributionen bauen (durch ihre aktive Entwicklercommunity) die Pakete und halten sie aktuell. Für 100% der vorhandenen Pakete wird das auch dort nicht funktionieren, für den Großteil funktioniert das aber bei etlichen seit Jahren.
|
swkh
(Themenstarter)
Anmeldungsdatum: 10. April 2015
Beiträge: 610
|
tomtomtom schrieb:
Es gibt auch RR-Distributionen, die die selbe Zielgruppe wie Ubuntu anvisieren.
An welche denkst du dabei?
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53622
Wohnort: Berlin
|
swkh schrieb: An welche denkst du dabei?
Vor allem Manjaro_Linux und PCLinuxOS. openSUSE wendet sich dann zwar auch an Einsteiger, sagt aber selber, dass das für Leap und die "Half-Rolling"-Version Tumbleweed nicht gilt.
|
Salamander76
Anmeldungsdatum: 14. März 2014
Beiträge: 205
|
Hatte heute auch schon den heise Artikel gelesen und war ein wenig über die "Unsicherheit" von Ubuntu verwundert. Zumindest die Moun Paketverwaltung zeigt doch an, für welches Paket es Aktualisierungen von Canonical gibt und für welche nicht. Daher war es für mich auch nicht überraschend, dass z.B. keepassx nicht darunter fällt. Also muss ich entweder mit dem fehlenden Releasesupport leben oder aber auf ein anderes Produkt mit Support ausweichen. Oder aber die Passwörter in Klartext in einer Datei hinterlegen was deutlich unsicherer ist (zumindest dann, wenn man die nicht auch verschlüsselt). So bringt mir eine Distribution mit rolling releases auch keinen Mehrwert, denn da muss ich ja auch entweder auf andere Pakete ausweichen oder eben wieder nicht unterstützte Quellen einbinden. Und alleine auf die Distribution zu schauen ist aus meiner Sicht auch zu wenig. Ich kann mir ja auch bei Firefox etc. Add-ons installieren, die ein gutes Einfallstor sein können. Da bin ich mit einer Distribution mit rolling releases auch nicht sicherer dran. Betreibt man einen Server mit Internetanbindung, dann muss man sowieso doppelt und dreifach schauen was man so als Dienste und Software laufen lässt...
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5106
|
tomtomtom schrieb: MoonKid schrieb:
Wurde auch nie anders kommuniziert als das ausschließlich main und restricted LTS-Support genießen. Es gibt mit ubuntu-support-status sogar ein Programm um sich exakt anzeigen lassen, welche installieren Programme wie lange unterstützt werden (bzw. ob überhaupt).
Canonical mag das so "kommunizieren", aber z.B. in Sicherheitskonzepte ein Artikel der Ubuntu-Neulingen ja gerne verlinkt wird, steht diesbezüglich nada. Und auch sonst wird ja Neulingen immer wieder die undifferenzierte Floskel vorgeknallt, dass ja bei Linux alles rasend schnell gefixt würde. Das stimmt eben so undifferenziert nicht und insofern muss man solchen Artikel wie auf heise dankbar sein, mögen sie auch ein wenig reißerisch daher kommen, was sie im übrigen hinsichtlich Sicherheitslücken auf anderen Systemen auch immer gerne sind. Und ich finde schon, dass das eine Stolperfalle - gerade für OS-Wechsler ist - die nicht so offensichtlich ist. Zumal ja auch Neulinge immer damit gelockt werden, dass ja bei Linux-Distris die Softwareauswahl so riesig sei, wenn sie nach Ersatz für ein geliebtes altes Programm von einem anderen OS umsteigen. Nur ist man dann eben doch recht schnell mal bei multi- oder universe. Ich finde jedenfalls an dem Artikel nichts falsch, zumal ich jetzt keine inhaltlichen Fehler sehe und man über Sicherheit gar nie genug aufklären kann. Das stellt auch IMO den Sinn von 5 Jaren LTS nicht unerheblich in Frage, denn nicht wenigen LTS-Nutzer haben sicher die Vorstellung, dass stabil eben auch sicher sein sollte - stimmt ja für die Kernpakete dann zwar auch - aber was nützt einem dann die Option von Multi- und Universe überhaupt? Auch wenn Multi- und Universe wiederum nicht automatisch ungefixt bedeuten. Und wie gesagt, nicht vergessen, dass das mit den unterschiedlichen Quellen von Einsteigern nicht unbedingt gleich erfasst und durchschaut wird - ging mir z.B. damals auch so. Also in dem Bereich ist Aufklärung daher nicht falsch eher im Gegenteil. Heißt ja deswegen nicht gleich, dass man Ubuntu LTS deswegen komplett in die Tonne treten muss. Aber der Finger wurde in die richtige Wunde gelegt, gut so. Gruß,
Martin
|
Reinarden
Anmeldungsdatum: 29. September 2014
Beiträge: 1044
|
Newubunti schrieb:
Das stellt auch IMO den Sinn von 5 Jaren LTS nicht unerheblich in Frage,
Bei fast allen Ubuntu-Derivaten sind es allerdings „nur“ drei Jahre: Xubuntu, Kubuntu, Lubuntu, Ubuntu GNOME, Ubuntu MATE. (Siehe hier.) D.h. damit fährt man „zwei Jahre sicherer“ als mit fünf Jahren… ☺ Und gewissen Umfragen hier im Forum zufolge, die ich jetzt aber natürlich nicht mehr finde, benutzt ein großer Teil der Forumsbenutzer diese Derivate. Ich glaube mich erinnern zu können, an die 50% oder sogar mehr? Und ich glaube mich an ähnliche, jedoch deutschlandweit erhobene Umfragen erinnern zu können, wonach diese Schlank-Derivate (wie Xubuntu) ebenfalls einen großen Anteil unter den Ubuntu-Benutzern haben – wobei ich die Zahlen nun leider nicht mehr im Kopf habe. Vielleicht kennt jemand Einzelheiten? (Und noch etwas, was die LTS-Bedeutung für Schreibtisch-Benutzer relativiert: Wenn wir beobachten, welch große Geschwindigkeits- und Kompatibilitäts-Fortschritte allein die Graphikkarten-Unterstützung in Linux jedes Jahr macht, dank neuem Kernel+Xorg plus freien Treibern (vor allem Radeon), dann sind doch einige Benutzer inzwischen sehr geneigt, schon aus praktischen Gründen jährlich das aktuelle Jahres-Ubuntu aufzuspielen; zumal das Sichern und Rückspielen des „home“-Ordners fast geschenkt ist.)
|
Salamander76
Anmeldungsdatum: 14. März 2014
Beiträge: 205
|
Newubunti schrieb: Zumal ja auch Neulinge immer damit gelockt werden, dass ja bei Linux-Distris die Softwareauswahl so riesig sei, wenn sie nach Ersatz für ein geliebtes altes Programm von einem anderen OS umsteigen. Nur ist man dann eben doch recht schnell mal bei multi- oder universe.
Vom Prinzip her ist es ja auch nicht falsch auf diese Tatsache aufmerksam zu machen, ganz im Gegenteil. Nur suggeriert dieser Artikel, dass Ubuntu in der Hinsicht das ganz mieserabel macht, während bei anderen OSen alles ganz toll ist.
Ein Microsoft pflegt halt auch kein Steuerprogramm von ALDI, entweder der Hersteller behebt Sicherheitslücken etc oder man hat diese halt auf dem System. Wegen diesen Lücken ist doch nicht automatisch das OS schlecht. Ja, man hätte sowohl in muon als auch in apt-get nochmal den Hinweis bei den jeweiligen Paketen bzgl. Support geben können. Die Frage ist halt, ob nicht gerade der Neuling dann trotzdem installiert, weil ihm die Konsequenzen nicht wirklich klar sind. Bearbeitet von jug: Zitatesyntax repariert.
|
Newubunti
Anmeldungsdatum: 16. Februar 2008
Beiträge: 5106
|
Salamander76 schrieb: Nur suggeriert dieser Artikel, dass Ubuntu in der Hinsicht das ganz mieserabel macht, während bei anderen OSen alles ganz toll ist.
Der Artikel suggeriert hinsichtlich anderer OSe rein gar nichts. Da geht es einzig und alleine um Ubuntu LTS. Es steht auch nicht darin, dass Ubuntu es besonders schlecht mache, sondern eben nur dass und wo die Lücken bestehen. Gruß,
Martin
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Ich finde das ist schlichtweg moderne Aufmachung. Der Mensch braucht Schlagzeilen, um aufmerksam zu werden und wenn man sich über irgendwas aufregen kann, weiß es bald jeder. Insofern wird das Ganze - wie bei allen anderen Themen - nicht so heiß gegessen, wie es gekocht wird. Und ich finde es ist ein großer Unterschied zu eben erwähntem Windows, dass Zusatzsoftware überhaupt mit Updates versorgt wird. Da ist ja (Stand Win 7) nichts in der Richtung erkennbar gewesen und jeder kocht sein eigenes Süppchen, weswegen man auch von ständigen Einzelupdates schier erschlagen wird. Nebenbei gab es erst Anfang des Jahres ein "Sicherheitsupdate" in Win 7, welches in unserem Werk zu den dubiosesten Dingen geführt hat. (War irgendwas mit kyrillischen Zusätzen oder so...kann mich leider nicht genau erinnern). Die sind ebenso wenig fehlerfrei, wie alle anderen Systeme und ja, auch in Linux-OSs machen Menschen Fehler...oh je! Das Thema Sicherheit ist ganz klar wichtiger denn je. Aber ich finde man sollte bei Dingen wie chmod 777&Co anfangen und nicht bei eventuellen Sicherheitslücken von einigen Paketen. Je mehr das Bewusstsein geschult wird, desto besser. Die Hauptfehlerquelle, auch an einem Ubuntu-Rechner, ist nach wie vor der Mensch in Form des Anwenders. Ich liebe es auch rumzutesten, mein System zu verkonfigurieren und reisse damit sicherlich auch ab und an große Lücken. Dafür hab ich meine Netbooks. Wenns sicherer zugehen soll, hab ich meinen Desktop-Rechner, auf dem das installiert ist, was ich wirklich brauche (und den Luxus eines Homeservers, der mit der minimalsten Ausstattung an Software leben muss). Kurzum: Auf Schwächen aufmerksam machen ist immer gut, nicht nur bei Software. Aber man sollte auch da die Kirche im Dorf lassen und versuchen das "Große Ganze" zu sehen und nicht nur ein Details, welches gerade mal wieder irgendwo die Runde macht. Hey, wir leben in einer Zeit, in der es sogar im AppleStore Schadsoftware gibt... 😉
|
The_Wizard
Anmeldungsdatum: 8. Dezember 2008
Beiträge: 421
Wohnort: Augsburg
|
Hallöchen zusammen! Habe mir fast gedacht, daß der Artikel von Heise Online solche eine Diskussion hier auslösen wird! 😀 Versteh das irgendwie nicht, habt ihr nie in euren Programmquellen nachgesehen? Ich bin nun seit Lucid Lynx 10.04 (LTS) ausschließlich mit LTS-Versionen unterwegs, jetzt mit 14.04. Wenn man wie ich über Synaptic seine Programme installiert, dann sieht man doch sofort die veralteten Versionen dort! Genau aus dem Grund habe ich auch immer viele PPAs installiert, damit ich bei einigen Programmen wenigstens einigermaßen auf dem neuesten Stand bin. ClamAV ist z. B. solch ein Kandidat, das veraltete Teil dort in den original Quellen kann man doch in die Tonne klopfen! Die Entwickler von ClamAV sollten mal wieder hingehen und an ihrer Datenbank was ändern, so daß die Distributoren gezwungen werden, wieder den neuesten ClamAV einzupflegen! Ich kann doch keinen Server mit LTS anbieten und dann ist die Sicherheitssoftware nicht mehr zu gebrauchen, ClamAV 0.98.7 wird jetzt am 29.04 1 Jahr alt, aktuell ist inzwischen ClamAV 0.99.1! Bei anderen Anwendungen wie zum Beispiel LibreOffice oder GIMP finde ich die Aktualität hingegen irrelevant, neue Funktionen braucht man so gut wie nie als reiner Anwender. Vor allem aus der Sicht, daß die meisten Leute sowieso den ganzen Umfang der Anwendungen gar nicht kennen! Ich mach mir da also eher weniger Gedanken und bleibe bis zum EOL bei Trusty Tahr 14.04, der Support geht ja noch bis 2019 und wer weiß, ob mein Rechner überhaupt so alt wird!
|
MalSaulusMalPaulus
Anmeldungsdatum: 4. November 2014
Beiträge: 286
Wohnort: Bayern
|
Ich verstehe eh nicht, warum die Distributionen alles selber bereitstellen wollen. Lasst doch den Hersteller bzw. Programmierer der Software selber diese bereitstellen. Da spart man sich die ganze Arbeit mit dem Erstellen der Pakete und die User haben immer aktuelle Software mit den neusten Bugfixes.
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Weil nicht jede neueste Version von allem, mit allem anderen kompatibel ist. Oder wie willst du Abhängigkeiten auflösen, wenn einer Programm0.0100.03 braucht und der andere aber noch mit Programm0.0099.01 arbeitet? Einer muss ja Ordnung reinbringen...
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
MalSaulusMalPaulus schrieb: Ich verstehe eh nicht, warum die Distributionen alles selber bereitstellen wollen. Lasst doch den Hersteller bzw. Programmierer der Software selber diese bereitstellen. Da spart man sich die ganze Arbeit mit dem Erstellen der Pakete und die User haben immer aktuelle Software mit den neusten Bugfixes.
Was hat das jetzt mit dem Thema hier zu tun? Kannst du ja machen, das nennt sich dann Linux_From_Scratch. Ist wahrscheinlich nicht was du meintest, ok … spinnen wir den Gedanken mal weiter. Du willst aber schon eine Paketverwaltung haben, für die man Pakete bauen kann? Jeder „Programmierer“ paketiert seine Software also für verschiedene Paketverwaltungsformate, ja? Gute Idee, dann kommt er nie mehr zum Programmieren und baut nur noch Pakete und kümmert sich um Inkompatibilitäten. Software braucht glibc 2.23, für die Paketverwaltung gibt es aber erst Version 2.22 … Entwickler muss warten bis anderer Entwickler seine Software paketiert hat … Oder sollen sich damit die Anwender selbst rumschlagen? Der Entwickler paketiert einfach ein *.deb und stellt das auf seine Webseite, und die Nutzer müssen dann hoffen, dass die Abhängigkeit von einem anderen Entwickler passend erfüllt wurde? Tolle Welt, jeder lädt irgendwelche *.deb-Pakete auf irgendwelchen Webseiten runter und installiert die … woher kenne ich das nur? Ach ja, von der Virenschleuder, Windows! Und was ist wenn ein Entwickler nur *.deb anbietet und der andere nur *.rpm? Darf sich auch der Nutzer mit rumschlagen? Vielleicht könnte diese Arbeit ja irgendwer übernehmen. Den Entwicklern das Paketieren abnehmen, den Nutzern die Kompatibilitätsprobleme abnehmen und alles an einer zentralen (hoffentlich) vertrauenswürdigen Stelle zum Download anbieten? Wie nannte man das noch? Distributionen vielleicht? 😉 ~jug
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53622
Wohnort: Berlin
|
jug schrieb: Der Entwickler paketiert einfach ein *.deb und stellt das auf seine Webseite, und die Nutzer müssen dann hoffen, dass die Abhängigkeit von einem anderen Entwickler passend erfüllt wurde? Tolle Welt, jeder lädt irgendwelche *.deb-Pakete auf irgendwelchen Webseiten runter und installiert die … woher kenne ich das nur?
Hört sich nach diesem neuen snap-Format an. Aber das bringt ja selbst seine Abhängigkeiten mit. Einfacher Taschenrechner = 600MB-Paket und so lustige Sachen. ^^
|